Windows 11 Enterprise 22H2 gets locked while in use.

andreas 0 Reputation points
2023-11-24T12:28:22.84+00:00

Hello!

First off, sorry for the swedish screenshoots and logs.

We have several computers that suddenly end up on the lock screen even when the computer is in use. The users uses the keyboard and mouse and suddently there are on the lockscreen.

In some cases, users need to enter their PIN (Windows hello) to log in again, and sometimes simply swiping up the lock screen is enough to unlock the Computer

We are using Windows 11 Enterprise 22H2

This can happen at intervals of 10 minutes over the course of a day, and then it works fine for one to two weeks before the issue reoccurs on the same computer. It appears that this happens after a Windows update if I check the Timeline in the Microsoft Security Center.

I activated "Enable or Disable Auto Sign-in and Lock after Update or Restart" via Intune , but have removed the policys afterwards and checked that the computer do not have then registry HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserARSO

Fastboot is disabled and i have tried to reset the power schemes

We have run all Windows update, all drivers are up to date and BIOS is up to date.

Se all power settings in the screenshoots below.

(I will soon attach the files)

I Also includ a sleep study where the computer when to sleep while in use and all the windows logs from the time when the computer went to sleep.

Screenshoots

Skärmbild 2023-11-24 142644

strömläge

Skärmbild 2023-11-24 140238

Skärmbild 2023-11-24 140310

Skärmbild 2023-11-24 142136

Skärmbild 2023-11-24 142208

Skärmbild 2023-11-24 142231

Skärmbild 2023-11-24 140201

Skärmbild 2023-11-24 135810

Skärmbild 2023-11-24 135954

Skärmbild 2023-11-24 135850

Skärmbild 2023-11-24 135918

Skärmbild 2023-11-24 135937

Skärmbild 2023-11-24 135714

Windows logs:

Nivå	Datum och tid	Källa	Händelse-ID	Aktivitetskategori
Information	2023-11-24 13:35:27	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		Lokal tjänst
	Kontonamn:		Lokal tjänst
	Kontodomän:		NT instans
	Inloggnings-ID:		0x3E5

Processinformation:
	Process-ID:	0x4220
	Processnamn:	C:\Windows\System32\svchost.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:25	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Processinformation:
	Process-ID:	0x3f48
	Processnamn:	C:\Windows\System32\svchost.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:24	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		XXXX

Processinformation:
	Process-ID:	0x860
	Processnamn:	C:\Windows\System32\dllhost.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:24	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		XXXX

Processinformation:
	Process-ID:	0x5a50
	Processnamn:	C:\Windows\System32\dllhost.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:18	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		XXXX

Processinformation:
	Process-ID:	0x3a00
	Processnamn:	C:\Windows\System32\SecurityHealth\1.0.2306.10002-0\SecurityHealthHost.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:18	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		XXXX

Processinformation:
	Process-ID:	0x3bf8
	Processnamn:	C:\Windows\System32\backgroundTaskHost.exe
	Avslutningsstatus:	0x1"
Information	2023-11-24 13:35:18	Microsoft-Windows-AppxPackagingOM	171	Package reader	The reader was created successfully for app package Microsoft.SecHealthUI_1000.25873.9001.0_x64__8wekyb3d8bbwe.
Information	2023-11-24 13:35:17	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		XXXX

Processinformation:
	Process-ID:	0x52c0
	Processnamn:	C:\Windows\System32\backgroundTaskHost.exe
	Avslutningsstatus:	0x1"
Information	2023-11-24 13:35:17	Microsoft-Windows-PushNotifications-Platform	42	Ingen	Molnmeddelanden måste aktiveras i GP och MDM för att ta emot push-meddelanden. GroupPolicyValue: true, MDMPolicyValue: true.
Information	2023-11-24 13:35:16	Microsoft-Windows-Security-Auditing	4957	MPSSVC Rule-Level Policy Change	"Följande regel användes inte av Windows-brandväggen:

Regelinformation:
	ID:	PlayTo-SSDP-Discovery-PlayToScope
	Namn:	SSDP-identifiering för Sänd till enhet (UDP-in)

Felinformation:
	Skäl:	Lokal port matchades till en tom uppsättning."
Information	2023-11-24 13:35:16	Microsoft-Windows-Security-Auditing	4957	MPSSVC Rule-Level Policy Change	"Följande regel användes inte av Windows-brandväggen:

Regelinformation:
	ID:	CoreNet-IPHTTPS-In
	Namn:	Kärnnätverket - IPHTTPS (TCP-in)

Felinformation:
	Skäl:	Lokal port matchades till en tom uppsättning."
Information	2023-11-24 13:35:16	Microsoft-Windows-Security-Auditing	4957	MPSSVC Rule-Level Policy Change	"Följande regel användes inte av Windows-brandväggen:

Regelinformation:
	ID:	CoreNet-Teredo-In
	Namn:	Kärnnätverket - Teredo (UDP-in)

Felinformation:
	Skäl:	Lokal port matchades till en tom uppsättning."
Information	2023-11-24 13:35:12	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Processinformation:
	Process-ID:	0x5bcc
	Processnamn:	C:\Windows\System32\ctfmon.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:09	Microsoft-Windows-Security-Auditing	5382	User Account Management	"Autentiseringsuppgifter i valvet lästes.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Händelsen inträffar när en användare läser lagrade autentiseringsuppgifter i valvet."
Information	2023-11-24 13:35:09	Microsoft-Windows-Security-Auditing	5382	User Account Management	"Autentiseringsuppgifter i valvet lästes.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Händelsen inträffar när en användare läser lagrade autentiseringsuppgifter i valvet."
Information	2023-11-24 13:35:09	Microsoft-Windows-Security-Auditing	5382	User Account Management	"Autentiseringsuppgifter i valvet lästes.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Händelsen inträffar när en användare läser lagrade autentiseringsuppgifter i valvet."
Information	2023-11-24 13:35:09	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Processinformation:
	Process-ID:	0x5824
	Processnamn:	C:\Windows\System32\LogonUI.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:09	Microsoft-Windows-Security-Auditing	5382	User Account Management	"Autentiseringsuppgifter i valvet lästes.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Händelsen inträffar när en användare läser lagrade autentiseringsuppgifter i valvet."
Information	2023-11-24 13:35:09	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		XXXX

Processinformation:
	Process-ID:	0x3754
	Processnamn:	C:\Windows\System32\taskhostw.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4689	Process Termination	"En process har avslutats.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Processinformation:
	Process-ID:	0x4a64
	Processnamn:	C:\Windows\System32\DriverStore\FileRepository\lnvsst.inf_amd64_f2750932290a7127\UserSSCtrl.exe
	Avslutningsstatus:	0x0"
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4634	Logoff	"Utloggning har skett på ett konto.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		0x58FC348

Inloggningstyp:			2

Händelsen skapas när en inloggningssession förstörs. Det kan vara positivt korrelerat med en inloggningshändelse med värdet för inloggnings-ID-numret. Inloggnings-ID-nummer är endast unika mellan omstarter på samma dator."
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4634	Logoff	"Utloggning har skett på ett konto.

Subjekt:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXXX
	Kontodomän:		AzureAD
	Inloggnings-ID:		0x58FDBA6

Inloggningstyp:			7

Händelsen skapas när en inloggningssession förstörs. Det kan vara positivt korrelerat med en inloggningshändelse med värdet för inloggnings-ID-numret. Inloggnings-ID-nummer är endast unika mellan omstarter på samma dator."
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4627	Group Membership	"Information om gruppmedlemskap.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Inloggningstyp:			7

Ny inloggning:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXX@XXXX.se
	Kontodomän:		AzureAD
	Inloggnings-ID:		0x58FDBA6

Händelse i sekvensen:		1 av 1

Gruppmedlemskap:			
		Obligatorisk etikett\Medelhög obligatorisk nivå
		Alla
		BUILTIN\Användare
		NT instans\Interaktiv
		KONSOLINLOGGNING
		NT instans\Autentiserade användare
		NT instans\Den här organisationen
		NT instans\Autentisering av molnkonto

Subjektfälten anger vilket konto på det lokala systemet som inloggningen begärdes för. Detta är oftast en tjänst, till exempel tjänsten Server, eller en lokal process som Winlogon.exe eller Services.exe.

Fältet för inloggningstyp anger vilken typ av inloggning som gjordes. De vanligaste typerna är 2 (interaktiv) och 3 (nätverk).

Fälten Ny inloggning anger kontot som den nya inloggningen skapades för, d.v.s. det konto som var inloggat.

Den här händelsen genereras när underkategorin Granska gruppmedlemskap har konfigurerats. Fältet Inloggnings-ID kan användas för att koppla den här händelsen till motsvarande användarinloggningshändelse och även till andra säkerhetsgranskningshändelser som genereras under den här inloggningssessionen."
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4624	Logon	"Ett inloggning har gjorts på ett konto.

Objekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Inloggningsinformation:
	Inloggningstyp:		7
	Begränsat administratörsläge:	-
	Remote Credential Guard:	-
	Virtuellt konto:		Nej
	Förhöjd token:		Nej

Personifieringsnivå:		Personifiering

Ny inloggning:
	Säkerhets-ID:		AzureAD\XXXX
	Kontonamn:		XXX@XXXX.se 
	Kontodomän:		AzureAD
	Inloggnings-ID:		0x58FDBA6
	Länkat inloggnings-ID:		0x0
	Nätverkskontonamn:	-
	Nätverkskontodomän :	-
	Loggnings-GUID:		{00000000-0000-0000-0000-000000000000}

Processinformation:
	Process-ID:		0x47c
	Processnamn:		C:\Windows\System32\lsass.exe

Nätverksinformation:
	Arbetsstationsnamn:	XXXXL-20XW-EBN
	Källnätverksadress:	-
	Källport:		-

Detaljerad autentiseringsinformation:
	Inloggningsprocess:		Negotiat
	Autentiseringspaket:	Negotiate
	Överförda tjänster:	-
	Paketnamn (endast NTLM):	-
	Nyckellängd:		0

Händelsen genereras när en inloggningssession skapas. Den genereras på den dator som användes.

Ämnesfälten anger kontot i det lokala systemet som begärde inloggningen. Detta är oftast en tjänst, till exempel servertjänsten eller en lokal process som Winlogon.exe eller Services.exe.

Inloggningstypen anger vilken typ av inloggning som har inträffat. De vanligaste typerna är 2 (interaktivt) och 3 (nätverk).

Fälten Ny inloggning anger det konto som den nya inloggningen skapades för, d.v.s. kontot som var inloggat.

Nätverksfälten anger var en begäran om fjärrinloggning har sitt ursprung. Arbetsstationsnamnet är inte alltid tillgängligt och kan lämnas tomt i vissa fall.

Personifieringsnivåfältet anger i vilken utsträckning en process i inloggningssessionen kan personifieras.

Informationsfälten för autentisering ger detaljerad information om den här specifika inloggningsbegäran.
	- Inloggnings-GUID är en unik identifierare som kan användas för att korrelera den här händelsen med en KDC-händelse.
	- Överförda tjänster anger vilka mellanliggande tjänster som har deltagit i inloggningsbegäran.
	- Paketnamnet anger vilket underprotokoll som användes bland NTLM-protokollen.
	- Nyckellängden anger längden på den genererade sessionsnyckeln. Detta blir 0 om ingen sessionsnyckel begärdes."
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4648	Logon	"Ett inloggningsförsök med uttryckliga autentiseringsuppgifter gjordes.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7
	Inloggnings-GUID:		{00000000-0000-0000-0000-000000000000}

Konto vars autentiseringsuppgifter användes:
	Kontonamn:		XXX@XXXX.se
	Kontodomän:		AzureAD
	Inloggnings-GUID:		{00000000-0000-0000-0000-000000000000}

Målserver:
	Målservernamn:	localhost
	Ytterligare information:	localhost

Processinformation:
	Process-ID:		0x47c
	Processnamn:		C:\Windows\System32\lsass.exe

Nätverksinformation:
	Nätverksadress:	-
	Port:			-

Händelsen skapas när en process försöker logga in ett konto genom att uttryckligen ange kontots autentiseringsuppgifter. Detta förekommer oftast i konfigurationer av kommandotyp, som schemalagda aktiviteter, eller när kommandot RUNAS används."
Information	2023-11-24 13:35:08	Microsoft-Windows-Crypto-DPAPI	12289	Credential Key Operation	"DPAPI found credential key.

 	Credential Key Identifier:	0xA72919B2574C12D1E74078B64D62E14D0586E3130B54594F7F724BB0CD0F668A
 	User Name:	XXX@XXXX.se
 	User Sid:	AzureAD\XXXX
"
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4672	Special Logon	"Särskilda privilegier tilldelades till ny inloggning.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		SYSTEM
	Kontodomän:		NT instans
	Inloggnings-ID:		0x3E7

Privilegier:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4627	Group Membership	"Information om gruppmedlemskap.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Inloggningstyp:			5

Ny inloggning:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		SYSTEM
	Kontodomän:		NT instans
	Inloggnings-ID:		0x3E7

Händelse i sekvensen:		1 av 1

Gruppmedlemskap:			
		BUILTIN\Administratörer
		Alla
		NT instans\Autentiserade användare
		Obligatorisk etikett\Obligatorisk nivå för systemet

Subjektfälten anger vilket konto på det lokala systemet som inloggningen begärdes för. Detta är oftast en tjänst, till exempel tjänsten Server, eller en lokal process som Winlogon.exe eller Services.exe.

Fältet för inloggningstyp anger vilken typ av inloggning som gjordes. De vanligaste typerna är 2 (interaktiv) och 3 (nätverk).

Fälten Ny inloggning anger kontot som den nya inloggningen skapades för, d.v.s. det konto som var inloggat.

Den här händelsen genereras när underkategorin Granska gruppmedlemskap har konfigurerats. Fältet Inloggnings-ID kan användas för att koppla den här händelsen till motsvarande användarinloggningshändelse och även till andra säkerhetsgranskningshändelser som genereras under den här inloggningssessionen."
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	4624	Logon	"Ett inloggning har gjorts på ett konto.

Objekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Inloggningsinformation:
	Inloggningstyp:		5
	Begränsat administratörsläge:	-
	Remote Credential Guard:	-
	Virtuellt konto:		Nej
	Förhöjd token:		Ja

Personifieringsnivå:		Personifiering

Ny inloggning:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		SYSTEM 
	Kontodomän:		NT instans
	Inloggnings-ID:		0x3E7
	Länkat inloggnings-ID:		0x0
	Nätverkskontonamn:	-
	Nätverkskontodomän :	-
	Loggnings-GUID:		{00000000-0000-0000-0000-000000000000}

Processinformation:
	Process-ID:		0x45c
	Processnamn:		C:\Windows\System32\services.exe

Nätverksinformation:
	Arbetsstationsnamn:	-
	Källnätverksadress:	-
	Källport:		-

Detaljerad autentiseringsinformation:
	Inloggningsprocess:		Advapi  
	Autentiseringspaket:	Negotiate
	Överförda tjänster:	-
	Paketnamn (endast NTLM):	-
	Nyckellängd:		0

Händelsen genereras när en inloggningssession skapas. Den genereras på den dator som användes.

Ämnesfälten anger kontot i det lokala systemet som begärde inloggningen. Detta är oftast en tjänst, till exempel servertjänsten eller en lokal process som Winlogon.exe eller Services.exe.

Inloggningstypen anger vilken typ av inloggning som har inträffat. De vanligaste typerna är 2 (interaktivt) och 3 (nätverk).

Fälten Ny inloggning anger det konto som den nya inloggningen skapades för, d.v.s. kontot som var inloggat.

Nätverksfälten anger var en begäran om fjärrinloggning har sitt ursprung. Arbetsstationsnamnet är inte alltid tillgängligt och kan lämnas tomt i vissa fall.

Personifieringsnivåfältet anger i vilken utsträckning en process i inloggningssessionen kan personifieras.

Informationsfälten för autentisering ger detaljerad information om den här specifika inloggningsbegäran.
	- Inloggnings-GUID är en unik identifierare som kan användas för att korrelera den här händelsen med en KDC-händelse.
	- Överförda tjänster anger vilka mellanliggande tjänster som har deltagit i inloggningsbegäran.
	- Paketnamnet anger vilket underprotokoll som användes bland NTLM-protokollen.
	- Nyckellängden anger längden på den genererade sessionsnyckeln. Detta blir 0 om ingen sessionsnyckel begärdes."
Information	2023-11-24 13:35:08	Microsoft-Windows-Security-Auditing	5382	User Account Management	"Autentiseringsuppgifter i valvet lästes.

Subjekt:
	Säkerhets-ID:		SYSTEM
	Kontonamn:		XXXXL-20XW-XXX
	Kontodomän:		WORKGROUP
	Inloggnings-ID:		0x3E7

Händelsen inträffar när en användare läser lagrade autentiseringsuppgifter i valvet."

This issue has been ongoing for three months now, and I can't find a solution to it. Any help would be greatly appreciated.

Windows 11
Windows 11
A Microsoft operating system designed for productivity, creativity, and ease of use.
8,898 questions
0 comments No comments
{count} votes

2 answers

Sort by: Most helpful
  1. PAUL PROMISE DZAHINI 110 Reputation points
    2023-11-24T14:11:13.1766667+00:00

    https://windowsreport.com/windows-11-lock-screen-not-working/

    can you check this link? It is not a Microsoft link but maybe it can help?


  2. andreas 0 Reputation points
    2023-12-01T12:10:27.3633333+00:00

    Today, it has occurred twice with a 10-minute interval for a user. I have exported all logs from the first occurrence until the second one. Attaching the file here.

    The first time it occurred was on 2023-12-01 at 10:50:09, and the second time at 11:00:09, so it happens exactly ten minutes apart..Logs.txt

    0 comments No comments