Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Během služby Windows Update existují procesy specifické pro uživatele, ke kterým musí dojít, aby byla aktualizace dokončena. Tyto procesy vyžadují, aby se uživatel přihlásil ke svému zařízení. Při prvním přihlášení po zahájení aktualizace musí uživatelé počkat, až budou tyto procesy specifické pro uživatele dokončeny, než budou moct začít používat své zařízení.
Jak to funguje?
Když služba Windows Update zahájí automatické restartování, ARSO extrahuje odvozené přihlašovací údaje aktuálně přihlášeného uživatele, ukládá je na disk a konfiguruje automatické přihlášení pro uživatele. Služba Windows Update spuštěná jako systém s oprávněním TCB zahájí volání RPC.
Po dokončení restartování služby Windows Update se uživatel automaticky přihlásí prostřednictvím mechanismu Autologon a relace uživatele se obnoví s uloženými tajemstvími. Kromě toho je zařízení zamčeno, aby chránilo uživatelskou relaci. Uzamčení se inicializovalo prostřednictvím Winlogonu, zatímco správu přihlašovacích údajů provádí místní úřad zabezpečení (LSA). Po úspěšné konfiguraci ARSO a přihlášení se uložené přihlašovací údaje okamžitě odstraní z disku.
Díky automatickému přihlášení a uzamčení uživatele v konzole může služba Windows Update dokončit procesy specifické pro uživatele předtím, než se uživatel vrátí do zařízení. Tímto způsobem může uživatel okamžitě začít používat své zařízení.
ARSO zpracovává nespravovaná a spravovaná zařízení odlišně. U nespravovaných zařízení se šifrování zařízení používá, ale nevyžaduje se, aby uživatel získal ARSO. Pro spravovaná zařízení se pro konfiguraci ARSO vyžaduje čip TPM 2.0, SecureBoot a BitLocker. Správci IT můžou tento požadavek přepsat prostřednictvím zásad skupiny. ARSO pro spravovaná zařízení je aktuálně k dispozici pouze pro zařízení připojená k Microsoft Entra ID.
| Aktualizace Windows | vypnutí -g -t 0 | Restartování iniciované uživatelem | Rozhraní API s příznaky SHUTDOWN_ARSO / EWX_ARSO |
|---|---|---|---|
| Spravovaná zařízení – Ano Nespravovaná zařízení – Ano |
Spravovaná zařízení – Ano Nespravovaná zařízení – Ano |
Spravovaná zařízení – Ne Nespravovaná zařízení – Ano |
Spravovaná zařízení – Ano Nespravovaná zařízení – Ano |
Note
Po vyvolání restartování služby Windows Update se poslední interaktivní uživatel automaticky přihlásí a relace se uzamkne. To dává uživateli možnost, aby aplikace na zamykací obrazovce stále běžely i přes restartování služby Windows Update.
Zásady č. 1
Přihlášení a uzamčení posledního interaktivního uživatele automaticky po restartování
Ve Windows 10 je ARSO pro edice serveru zakázané a pro edice klienta není povoleno.
Umístění zásad skupiny: Konfigurace počítače > Šablony pro správu > Součásti Windows > Možnosti přihlášení ve Windows
Zásady Intune:
- Platforma: Windows 10 a novější
- Typ profilu: Šablony pro správu
- Cesta: \Součásti systému Windows\Možnosti přihlášení systému Windows
Podporováno na: Minimálně Windows 10 verze 1903
Description:
Toto nastavení zásad určuje, jestli se zařízení automaticky přihlásí a uzamkne posledního interaktivního uživatele po restartování systému nebo po vypnutí a studeném spuštění.
Nastane pouze v případě, že se poslední interaktivní uživatel před restartováním nebo vypnutím neodhlásí.
Pokud je zařízení připojené ke službě Active Directory nebo Microsoft Entra ID, platí tato zásada pouze pro restartování služby Windows Update. V opačném případě se vztahuje jak na restartování po aktualizaci systému Windows, tak na uživatelské restarty a vypnutí.
Pokud toto nastavení zásad nenakonfigurujete, je ve výchozím nastavení povolená. Když je zásada povolená, uživatel se automaticky přihlásí. Po spuštění zařízení se navíc relace uzamkne se všemi aplikacemi na zamykací obrazovce nakonfigurovanými pro daného uživatele.
Po povolení této zásady můžete nakonfigurovat její nastavení prostřednictvím zásad ConfigAutomaticRestartSignOn. Nastaví režim automatického přihlášení a uzamkne posledního interaktivního uživatele po restartování nebo studeném spuštění.
Pokud toto nastavení zásad zakážete, zařízení nenakonfiguruje automatické přihlášení. Aplikace zamykací obrazovky uživatele se po restartování systému nerestartují.
Editor registru:
| Název hodnoty | Typ | Data |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (Povolení ARSO) |
| 1 (Zakázat ARSO) |
Umístění registru zásad: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Typ: DWORD
Zásady č. 2
Nakonfigurujte režim automatického přihlášení a uzamčení posledního interaktivního uživatele po restartování nebo studeném spuštění.
Umístění zásad skupiny: Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Možnosti přihlášení systému Windows
Zásady Intune:
- Platforma: Windows 10 a novější
- Typ profilu: Šablony pro správu
- Cesta: \Součásti systému Windows\Možnosti přihlášení systému Windows
Podporováno na: Minimálně Windows 10 verze 1903
Description:
Toto nastavení zásad řídí konfiguraci, ve které probíhá automatické restartování a přihlášení a uzamčení po restartování nebo studeném spuštění. Pokud jste v zásadách pro přihlášení a uzamčení posledního interaktivního uživatele po restartování zvolili zakázáno, automatické přihlášení se neprojeví a tato zásada se nemusí konfigurovat.
Pokud povolíte toto nastavení zásad, můžete zvolit jednu z následujících dvou možností:
- "Povoleno, pokud je BitLocker zapnutý a není pozastavený", určuje, že automatické přihlašování a uzamčení bude probíhat pouze v případě, že je BitLocker aktivní a není pozastaven během restartování nebo vypnutí. K osobním údajům se v tuto chvíli dostanete na pevný disk zařízení, pokud bitLocker není během aktualizace zapnutý nebo pozastavený. Pozastavení BitLockeru dočasně odebere ochranu systémových komponent a dat, ale může být nutné za určitých okolností, aby bylo možné úspěšně aktualizovat komponenty kritické pro spuštění.
- BitLocker se během aktualizací pozastaví, pokud:
- Zařízení nemá TPM 2.0 a PCR7 nebo
- Zařízení nepoužívá ochranu pouze TPM.
- BitLocker se během aktualizací pozastaví, pokud:
- Funkce Always Enabled určuje, že automatické přihlašování proběhne i v případě, že je Nástroj BitLocker při restartování nebo vypnutí vypnutý nebo pozastavený. Pokud bitLocker není povolený, jsou osobní data přístupná na pevném disku. Automatické restartování a přihlášení by se mělo spouštět jenom v rámci této podmínky, pokud máte jistotu, že je nakonfigurované zařízení v zabezpečeném fyzickém umístění.
Pokud toto nastavení zakážete nebo nenakonfigurujete, automatické přihlášení se ve výchozím nastavení nastaví na Povoleno, pokud je BitLocker zapnutý a není pozastavený.
Editor registru
| Název hodnoty | Typ | Data |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (Povolení ARSO v případě zabezpečení) |
| 1 (Povolit ARSO vždy) |
Umístění registru zásad: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Typ: DWORD
Troubleshooting
Když Winlogon provede přihlášení, záznam o stavu Winlogonu se uloží do protokolu událostí Winlogonu. V Prohlížeči událostí zkontrolujte protokoly aplikací a služeb > Microsoft > Windows > Winlogon > Operační pro následující události Winlogon:
| ID události | Popis události | Zdroj událostí |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
Stav pokusu o konfiguraci ARSO je uložený v protokolu událostí LSA. V prohlížeči událostí zkontrolujte protokoly aplikací a služeb > Microsoft > Windows > LSA > Operativní pro následující události LSA:
| ID události | Popis události | Zdroj událostí |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Důvody, proč může automatické přihlašování selhat
Existuje několik případů, kdy není možné dosáhnout automatického přihlášení uživatele. Tato část je určená k zachycení známých scénářů, ve kterých k tomu může dojít.
Uživatel musí změnit heslo při příštím přihlášení.
Může dojít k zablokování přihlášení uživatele, pokud je vyžadována změna hesla při příštím přihlášení. To se dá zjistit před restartováním ve většině případů, ale ne všechny (například vypršení platnosti hesla je možné dosáhnout mezi vypnutím a dalším přihlášením.
Zakázaný uživatelský účet
Existující uživatelskou relaci je možné udržovat i v případě, že je zakázaná. Restartování účtu, který je zakázaný, se dá ve většině případů předem zjistit v závislosti na gp, nemusí se jednat o účty domény (některé scénáře přihlášení uložené v mezipaměti domény fungují i v případě, že je účet v řadiči domény zakázaný).
Hodiny přihlášení a rodičovská kontrola
Přihlašovací hodiny a rodičovská kontrola můžou zakázat vytvoření nové uživatelské relace. Pokud by během tohoto okna došlo k restartování, uživatel by se nemohl přihlásit. Zásada také způsobí uzamčení nebo odhlášení jako akci dodržování předpisů. Zaprotokoluje se stav pokusu o konfiguraci automatického přihlášení.
Podrobnosti o zabezpečení
V prostředích, kde je fyzické zabezpečení zařízení důležité (například zařízení může být odcizeno), Microsoft nedoporučuje používat ARSO. ARSO spoléhá na integritu firmwaru platformy a čip TPM; útočník s fyzickým přístupem může ohrozit tyto komponenty, a tím získat přístup k přihlašovacím údajům uloženým na disku s povoleným ARSO.
V podnikových prostředích, kde je zabezpečení uživatelských dat chráněných rozhraním DPAPI (Data Protection API) znepokojeno, Microsoft nedoporučuje používat ARSO. ARSO negativně ovlivňuje uživatelská data chráněná rozhraním DPAPI, protože dešifrování nevyžaduje přihlašovací údaje uživatele. Podniky by měly před použitím ARSO otestovat dopad na zabezpečení uživatelských dat chráněných rozhraním DPAPI.
Uložené přihlašovací údaje
| Hodnota hash hesla | Klíč přihlašovacích údajů | Oprávnění k vydání lístku | Primární obnovovací token |
|---|---|---|---|
| Místní účet – Ano | Místní účet – Ano | Místní účet – ne | Místní účet – ne |
| Účet MSA – Ano | Účet MSA – Ano | Účet MSA – Ne | Účet MSA – Ne |
| Účet připojený k Microsoft Entra – Ano | Účet připojený k Microsoft Entra – Ano | Účet připojený k Microsoft Entra – Ano (pokud je hybridní) | Účet připojený k Microsoft Entra – Ano |
| Účet připojený k doméně – Ano | Účet připojený k doméně – Ano | Účet připojený k doméně – Ano | Účet připojený k doméně – Ano (pokud je hybridní) |
Interakce Credential Guard
ARSO je podporováno s povolenou funkcí Credential Guard na zařízeních od Windows 10 verze 2004.
Dodatečné zdroje
Autologon je funkce, která byla ve Windows k dispozici pro několik verzí. Je to zdokumentovaná funkce Systému Windows, která má dokonce nástroje, jako je Autologon pro Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Umožňuje jednomu uživateli zařízení přihlásit se automaticky bez zadání přihlašovacích údajů. Přihlašovací údaje jsou nakonfigurované a uložené v registru jako šifrovaný tajný klíč LSA. To může být problematické pro mnoho dětských případů, kdy může dojít k uzamčení účtu mezi časem ulehnutí a probuzením, zejména pokud je okno údržby během této doby běžné.