クライアント/サーバーランタイムサブシステム

クライアント/サーバーランタイムサブシステム (英語: Client/Server Runtime Subsystem, CSRSS) あるいは csrss.exe はWindows NT系オペレーティングシステムのコンポーネントで、ユーザーモード側のWin32サブシステムを提供する。ほとんどのWin32サブシステム処理はWindows NT 4.0以降でカーネルモードドライバーに移されたため^[1]、CSRSSは基本的にWin32コンソールの処理とGUIのシャットダウンを行う役割を持つ。もっとも、Windows Vista以降ではセキュリティを強化するため、Win32コンソールに関わる処理のほとんどはConHost.exeに移されている。

CSRSSはシステムを処理する上で重要なコンポーネントであるため、このプロセスを終了させるとブルースクリーンに至るなどシステムに重大な障害をもたらす。通常の状況下でcsrss.exeはtaskkillコマンドやWindows タスクマネージャーから終了させることはできないが、Windows Vista以降でタスクマネージャーを管理者権限で実行していれば可能である。Windows 7ではタスクマネージャーでプロセスの終了を試みると、システムに障害が発生することを警告するメッセージが表示される。

概略

CSRSSは次の機能に関わっている^[2]。

プロセスやスレッドの生成と破棄
GetTempFile、ExitWindowsExなど多種のファンクション
Side-by-Sideやマニフェストのサポート
Win32コンソールウィンドウ
仮想DOSマシンのサポート

サブシステムの働き

CSRSSはユーザーモードのシステムサービスとして動作する。ユーザーモードプロセスがコンソールウィンドウで呼び出すファンクション、プロセスやスレッドの生成・破棄およびSide-by-Sideをサポートする。プロセスからのシステムコール要求はWin32ライブラリ (kernel32.dll, user32.dll, gdi32.dll) が肩代わりし、CSRSSが直接カーネルに働きかけるわけではない。しかし、ウィンドウマネージャーやGDIサービスの機能にはカーネルモードドライバー (win32k.sys) が直接呼び出される^[3]。Windows Vista以降ではShatter Attack（英語版）による脆弱性から守るため、Win32コンソールに関わる処理のほとんどはローカルユーザーのコンテキストで動作するConHost.exeに移されている^[4]。