Winlogon Automatic Restart Sign-On (ARSO)
Bei einem Windows-Update müssen einige benutzerspezifische Prozesse ausgeführt werden, damit das Update abgeschlossen werden kann. Für diese Prozesse muss der Benutzer bei seinem Gerät angemeldet sein. Bei der ersten Anmeldung nach einem Update müssen Benutzer*innen den Abschluss dieser benutzerspezifischen Prozesse abwarten, bevor sie ihr Gerät verwenden können.
Wie funktioniert dies?
Wenn Windows Update einen automatischen Neustart einleitet, extrahiert ARSO die abgeleiteten Anmeldeinformationen des aktuell angemeldeten Benutzers, speichert sie auf dem Datenträger und konfiguriert die automatische Anmeldung für den Benutzer. Windows Update wird als System mit TCB-Berechtigung ausgeführt und leitet den RPC-Aufruf ein.
Nach dem letzten Neustart von Windows Update wird der Benutzer automatisch über den Mechanismus zur automatischen Anmeldung angemeldet, und die Sitzung des Benutzers wird mit den gespeicherten Geheimnissen aktiviert. Außerdem wird das Gerät gesperrt, um die Benutzersitzung zu schützen. Die Sperrung wird über Winlogon initiiert, während die Verwaltung der Anmeldeinformationen über die lokale Sicherheitsautorität (LSA) erfolgt. Nach erfolgreicher ARSO-Konfiguration und Anmeldung werden die gespeicherten Anmeldeinformationen sofort vom Datenträger gelöscht.
Durch die automatische Anmeldung und das Sperren des Benutzers an der Konsole kann Windows Update die benutzerspezifischen Prozesse abschließen, bevor der Benutzer zum Gerät zurückkehrt. Auf diese Weise kann der Benutzer das Gerät sofort nutzen.
ARSO behandelt nicht verwaltete und verwaltete Geräte unterschiedlich. Bei nicht verwalteten Geräten wird die Geräteverschlüsselung verwendet, ist jedoch nicht erforderlich, damit der Benutzer ARSO nutzen kann. Bei verwalteten Geräten werden für die ARSO-Konfiguration TPM 2.0, SecureBoot und BitLocker benötigt. IT-Administratoren können diese Anforderung über die Gruppenrichtlinie außer Kraft setzen. ARSO für verwaltete Geräte steht derzeit nur für Geräte zur Verfügung, die in Microsoft Entra ID eingebunden sind.
| Windows Update | shutdown -g -t 0 | Vom Benutzer eingeleitete Neustarts | APIs mit SHUTDOWN_ARSO/EWX_ARSO Flags |
|---|---|---|---|
| Verwaltete Geräte: Ja Nicht verwaltete Geräte: Ja |
Verwaltete Geräte: Ja Nicht verwaltete Geräte: Ja |
Verwaltete Geräte: Nein Nicht verwaltete Geräte: Ja |
Verwaltete Geräte: Ja Nicht verwaltete Geräte: Ja |
Hinweis
Nach einem durch Windows Update ausgelösten Neustart wird der letzte interaktive Benutzer automatisch angemeldet, und die Sitzung wird gesperrt. Dadurch können die Apps auf dem Sperrbildschirm eines Benutzers trotz des Neustarts von Windows Update weiterhin ausgeführt werden.
Richtlinie 1
Nach Neustart automatisch anmelden und letzten interaktiven Benutzer sperren
In Windows 10 ist ARSO für Server-SKUs deaktiviert und kann für Client-SKUs deaktiviert werden.
Speicherort der Gruppenrichtlinie: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoptionen
Intune-Richtlinie:
- Plattform: Windows 10 und höher
- Profiltyp: Administrative Vorlagen
- Pfad: \Windows-Komponenten\Windows-Anmeldeoptionen
Unterstützt unter: Mindestens Windows 10, Version 1903
Beschreibung:
Über diese Richtlinieneinstellung wird gesteuert, ob sich ein Gerät automatisch anmeldet und den letzten interaktiven Benutzer sperrt, nachdem das System neu gestartet, heruntergefahren oder ein Kaltstart durchgeführt wurde.
Dies geschieht nur, wenn sich der letzte interaktive Benutzer bzw. die letzte interaktive Benutzerin vor dem Neustart der dem Herunterfahren nicht abgemeldet hat.
Wenn das Gerät in Active Directory oder Microsoft Entra ID eingebunden ist, gilt diese Richtlinie nur für Windows Update-Neustarts. Andernfalls gilt sie sowohl für Windows Update-Neustarts als auch dann, wenn Benutzer*innen einen Neustart oder das Herunterfahren veranlassen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist sie standardmäßig aktiviert. Wenn die Richtlinie aktiviert ist, wird der Benutzer bzw. die Benutzerin automatisch angemeldet. Darüber hinaus wird die Sitzung nach dem Starten des Geräts gesperrt, wobei alle Sperrbildschirm-Apps für diesen Benutzer bzw. diese Benutzerin konfiguriert sind.
Nach dem Aktivieren dieser Richtlinie können Sie ihre Einstellungen über die Richtlinie „ConfigAutomaticRestartSignOn“ konfigurieren. Sie legt den Modus auf die automatische Anmeldung fest und sperrt den letzten interaktiven Benutzer bzw. die letzte interaktive Benutzerin nach einem Neustart oder Kaltstart.
Wenn Sie diese Richtlinieneinstellung deaktivieren, konfiguriert das Gerät nicht die automatische Anmeldung. Die Sperrbildschirm-Apps des Benutzers bzw. der Benutzerin werden nach dem Neustart des Systems nicht neu gestartet.
Registrierungs-Editor.:
| Wertname | Typ | Daten |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (Aktivieren von ARSO) |
| 1 (Deaktivieren von ARSO) |
Position der Richtlinienregistrierung: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Typ: DWORD
Richtlinie 2
Modus der automatischen Anmeldung und Sperrung des letzten interaktiven Benutzers nach Neu- oder Kaltstart konfigurieren
Position der Gruppenrichtlinie: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoptionen
Intune-Richtlinie:
- Plattform: Windows 10 und höher
- Profiltyp: Administrative Vorlagen
- Pfad: \Windows-Komponenten\Windows-Anmeldeoptionen
Unterstützt unter: Mindestens Windows 10, Version 1903
Beschreibung:
Diese Richtlinieneinstellung steuert die Konfiguration, mit der ein automatischer Neustart und eine automatische Anmeldung und Sperrung nach einem Neu- oder Kaltstart erfolgt. Wenn Sie in der Richtlinie „Nach Neustart automatisch anmelden und letzten interaktiven Benutzer sperren“ die Option „Deaktiviert“ auswählen, erfolgt keine automatische Anmeldung, und diese Richtlinie muss nicht konfiguriert werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine der folgenden zwei Optionen wählen:
- „Aktiviert, wenn BitLocker aktiv ist und nicht angehalten wird“ gibt an, dass eine automatische Anmeldung und Sperrung nur erfolgt, wenn BitLocker aktiv ist und während des Neustarts oder Herunterfahrens nicht angehalten wird. Zu diesem Zeitpunkt kann auf persönliche Daten auf der Festplatte des Geräts zugegriffen werden, wenn BitLocker nicht aktiv ist und nicht bei einer Aktualisierung angehalten wird. Durch ein vorübergehendes Anhalten von BitLocker wird der Schutz von Systemkomponenten und -daten vorübergehend entfernt, dies kann aber unter bestimmten Umständen erforderlich sein, um für den Start benötigte Komponenten erfolgreich aktualisieren zu können.
- BitLocker wird bei Aktualisierungen angehalten, wenn:
- Das Gerät nicht über TPM 2.0 und PCR7 verfügt oder
- Das Gerät keine TPM-Schlüsselschutzvorrichtung verwendet
- BitLocker wird bei Aktualisierungen angehalten, wenn:
- „Immer aktiviert“ gibt an, dass die automatische Anmeldung auch dann erfolgt, wenn BitLocker deaktiviert ist oder während eines Neustarts oder Herunterfahrens angehalten wird. Wenn BitLocker nicht aktiviert ist, können persönliche Daten auf der Festplatte aufgerufen werden. Der automatische Neustart und die automatische Anmeldung sollten nur unter dieser Bedingung ausgeführt werden, wenn Sie genau wissen, dass sich das konfigurierte Gerät an einem sicheren physischen Standort befindet.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird für die automatische Anmeldung standardmäßig das Verhalten „Aktiviert, wenn BitLocker aktiv ist und nicht angehalten wird“ angewendet.
Registrierungs-Editor
| Wertname | Typ | Daten |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (Aktivieren von ARSO, falls sicher) |
| 1 (ARSO immer aktivieren) |
Position der Richtlinienregistrierung: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Typ: DWORD
Problembehandlung
Wenn Winlogon eine Anmeldung vornimmt, wird der Statusverlauf von Winlogon im Winlogon-Ereignisprotokoll gespeichert. Überprüfen Sie Anwendungs- und Dienstprotokolle > Microsoft > Windows > Winlogon > Operational in der Ereignisanzeige auf die folgenden Winlogon-Ereignisse:
| Ereignis-ID | Ereignisbeschreibung | Ereignisquelle |
|---|---|---|
| 1 | Authentication started. |
Windows-Anmeldung |
| 2 | Authentication stopped. Result 0 |
Windows-Anmeldung |
Der Status einer versuchten ARSO-Konfiguration wird im LSA-Ereignisprotokoll gespeichert. Überprüfen Sie Anwendungs- und Dienstprotokolle > Microsoft > Windows > LSA > Operational in der Ereignisanzeige auf die folgenden LSA-Ereignisse:
| Ereignis-ID | Ereignisbeschreibung | Ereignisquelle |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Gründe für einen Fehler bei der automatischen Anmeldung
Es gibt verschiedene Situationen, in denen eine automatische Benutzeranmeldung nicht möglich ist. In diesem Abschnitt werden die bekannten Szenarien beschrieben, in denen dies der Fall sein kann.
Benutzer muss das Kennwort bei der nächsten Anmeldung ändern
Die Benutzeranmeldung kann blockiert werden, wenn bei der nächsten Anmeldung eine Kennwortänderung erforderlich ist. In den meisten Fällen kann dies vor dem Neustart erkannt werden, aber nicht in allen – z. B. kann der Kennwortablauf zwischen dem Herunterfahren und der nächsten Anmeldung liegen.
Benutzerkonto deaktiviert
Eine bestehende Benutzersitzung kann auch dann beibehalten werden, wenn sie deaktiviert ist. Ein Neustart für ein deaktiviertes Konto kann in den meisten Fällen vorab lokal erkannt werden. Bei Domänenkonten ist dies je nach Gruppenrichtlinie möglicherweise nicht der Fall (einige Szenarien mit zwischengespeicherten Domänenanmeldungen funktionieren auch, wenn das Konto auf dem DC deaktiviert ist).
Anmeldezeiten und Jugendschutz
Die Anmeldezeiten und der Jugendschutz können verhindern, dass eine neue Benutzersitzung erstellt wird. Bei einem Neustart während dieses Zeitraums kann sich der Benutzer bzw. die Benutzerin nicht anmelden. Die Richtlinie bewirkt außerdem eine Sperrung oder Abmeldung als Konformitätsaktion. Der Status eines Versuchs zum Konfigurieren der automatischen Anmeldung wird protokolliert.
Sicherheitsdetails
In Umgebungen, in denen die physische Sicherheit des Geräts gefährdet ist (wenn das Gerät z. B. gestohlen werden kann), rät Microsoft von der Verwendung von ARSO ab. ARSO stützt sich auf die Integrität der Plattformfirmware und des TPM. Ein Angreifer mit physischem Zugang könnte diese kompromittieren und so auf die auf dem Datenträger gespeicherten Anmeldeinformationen zugreifen, wenn ARSO aktiviert ist.
In Unternehmensumgebungen, in denen die Sicherheit von per Datenschutz-API (Data Protection API, DPAPI) geschützten Benutzerdaten gewährleistet werden muss, rät Microsoft von der Verwendung von ARSO ab. ARSO beeinträchtigt die per Datenschutz-API geschützten Benutzerdaten, da für die Entschlüsselung keine Benutzeranmeldeinformationen benötigt werden. Unternehmen sollten die Auswirkungen auf die Sicherheit der per Datenschutz-API geschützten Benutzerdaten testen, bevor sie ARSO einsetzen.
Gespeicherte Anmeldeinformationen
| Kennworthash | Anmeldeinformationsschlüssel | Ticket-Granting Ticket (TGT) | Primäres Aktualisierungstoken |
|---|---|---|---|
| Lokales Konto: Ja | Lokales Konto: Ja | Lokales Konto: Nein | Lokales Konto: Nein |
| MSA-Konto: Ja | MSA-Konto: Ja | MSA-Konto: Nein | MSA-Konto: Nein |
| In Microsoft Entra eingebundenes Konto: Ja | In Microsoft Entra eingebundenes Konto: Ja | In Microsoft Entra eingebundenes Konto: Ja (falls hybrid) | In Microsoft Entra eingebundenes Konto: Ja |
| In die Domäne eingebundenes Konto: Ja | In die Domäne eingebundenes Konto: Ja | In die Domäne eingebundenes Konto: Ja | In die Domäne eingebundenes Konto: Ja (falls hybrid) |
Credential Guard-Interaktion
Ab Windows 10, Version 2004 wird ARSO auf Geräten mit aktiviertem Credential Guard unterstützt.
Zusätzliche Ressourcen
Die automatische Anmeldung ist eine Funktion, die in Windows schon seit mehreren Releases enthalten ist. Es handelt sich um ein dokumentiertes Feature von Windows, für das auch Tools wie Autologon für Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx zur Verfügung stehen. Es ermöglicht einem einzelnen Benutzer des Geräts, sich ohne Eingabe von Anmeldeinformationen automatisch anzumelden. Die Anmeldeinformationen werden als verschlüsseltes LSA-Geheimnis konfiguriert und in der Registrierung gespeichert. Dies könnte im Falle minderjähriger Benutzer problematisch sein, wenn die Kontosperrung zwischen dem Zubettgehen und dem Aufwachen erfolgt, insbesondere wenn das Wartungsfenster in dieser Zeit liegt.