Connexion de redémarrage automatique Winlogon
Pendant une mise à jour Windows Update, des processus spécifiques à l’utilisateur doivent se produire pour que la mise à jour soit terminée. Ces processus nécessitent que l’utilisateur soit connecté à son appareil. Lors de la première connexion après le lancement d’une mise à jour, les utilisateurs doivent attendre que ces processus spécifiques à l’utilisateur soient terminés avant de pouvoir commencer à utiliser leur appareil.
Comment cela fonctionne-t-il ?
Lorsque Windows Update lance un redémarrage automatique, ARSO extrait les informations d’identification dérivées de l’utilisateur actuellement connecté, conserve l’utilisateur sur le disque et configure la connexion automatique pour l’utilisateur. Windows Update s’exécutant en tant que système avec le privilège TCB lance l’appel RPC.
Après le dernier redémarrage de Windows Update, l’utilisateur est automatiquement connecté via le mécanisme de connexion automatique, et la session de l’utilisateur est réalimentée avec les secrets persistants. En outre, l’appareil est verrouillé pour protéger la session de l’utilisateur. Le verrouillage est lancé par le biais de Winlogon, tandis que la gestion des informations d’identification est effectuée par l’autorité de sécurité locale (LSA). En cas de configuration et de connexion ARSO réussies, les informations d’identification enregistrées sont immédiatement supprimées du disque.
En se connectant automatiquement et en verrouillant l’utilisateur sur la console, Windows Update peut effectuer les processus spécifiques de l’utilisateur avant que l’utilisateur ne retourne sur l’appareil. De cette façon, l’utilisateur peut immédiatement commencer à utiliser son appareil.
ARSO traite différemment les appareils non managés et managés. Pour les appareils non managés, le chiffrement des appareils est utilisé, mais pas obligatoire pour que l’utilisateur obtienne ARSO. Pour les appareils managés, TPM 2.0, SecureBoot et BitLocker sont requis pour la configuration ARSO. Les administrateurs informatiques peuvent remplacer cette exigence via une stratégie de groupe. ARSO pour les appareils gérés est actuellement disponible uniquement pour les appareils joints à Microsoft Entra ID.
| Windows Update | shutdown -g -t 0 | Redémarrages initiés par l’utilisateur | API avec indicateurs SHUTDOWN_ARSO/EWX_ARSO |
|---|---|---|---|
| Appareils gérés - Oui Appareils non gérés - Oui |
Appareils gérés - Oui Appareils non gérés - Oui |
Appareils managés - Non Appareils non gérés - Oui |
Appareils gérés - Oui Appareils non gérés - Oui |
Notes
Après un redémarrage Windows Update provoqué, le dernier utilisateur interactif est automatiquement connecté et la session est verrouillée. Cela permet aux applications de l’écran de verrouillage d’un utilisateur de continuer à s’exécuter malgré le redémarrage par Windows Update.
Stratégie #1
Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage
Dans Windows 10, ARSO est désactivé pour les références SKU de serveur et refusé pour les références SKU de client.
Emplacement de la stratégie de groupe : Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Options de connexion Windows
Stratégie Intune :
- Platform : Windows 10 et versions ultérieures
- Type de profil : Modèles d’administration
- Chemin : \Windows Components\Windows Logon Options
Pris en charge sur : Au moins Windows 10 version 1903
Description :
Ce paramètre de stratégie contrôle si un appareil se connecte automatiquement et verrouille le dernier utilisateur interactif après le redémarrage du système ou après un arrêt et un démarrage à froid.
Cela se produit uniquement si le dernier utilisateur interactif ne s’est pas déconnecté avant le redémarrage ou l’arrêt.
Si l'appareil est joint à Active Directory ou Microsoft Entra ID, cette stratégie s'applique uniquement aux redémarrages de Windows Update. Dans le cas contraire, elle s’applique à la fois aux redémarrages Windows Update et aux redémarrages et aux arrêts lancés par l’utilisateur.
Si vous ne configurez pas ce paramètre de stratégie, il est activé par défaut. Quand la stratégie est activée, l’utilisateur est automatiquement connecté. En outre, après le démarrage de l’appareil, la session est verrouillée avec toutes les applications de l’écran de verrouillage configurées pour cet utilisateur.
Après avoir activé cette stratégie, vous pouvez configurer ses paramètres à l’aide de la stratégie ConfigAutomaticRestartSignOn. Elle définit le mode de connexion automatique et verrouille le dernier utilisateur interactif après un redémarrage ou un démarrage à froid.
Si vous désactivez ce paramètre de stratégie, l’appareil ne configure pas la connexion automatique. Les applications de l’écran de verrouillage de l’utilisateur ne sont pas redémarrées après le redémarrage du système.
Éditeur du Registre :
| Nom de la valeur | Type | Données |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (Activer ARSO) |
| 1 (Désactiver ARSO) |
Emplacement du Registre de stratégie : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type : DWORD
Stratégie #2
Configurer le mode de connexion automatique et de verrouillage du dernier utilisateur interactif après un redémarrage ou un démarrage à froid
Emplacement de la stratégie de groupe : Configuration de l’ordinateur >Modèles d’administration > Composants Windows > Options d’ouverture de session Windows
Stratégie Intune :
- Platform : Windows 10 et versions ultérieures
- Type de profil : Modèles d’administration
- Chemin : \Windows Components\Windows Logon Options
Pris en charge sur : Au moins Windows 10 version 1903
Description :
Ce paramètre de stratégie contrôle la configuration sous laquelle un redémarrage, une connexion et un verrouillage automatiques se produisent après un redémarrage ou un démarrage à froid. Si vous avez choisi « Désactivé » dans la stratégie « Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage », l’authentification automatique ne se produit pas et cette stratégie n’a pas besoin d’être configurée.
Si vous activez ce paramètre de stratégie, vous pouvez choisir l’une des deux options suivantes :
- « Activé si BitLocker est activé et non suspendu » spécifie que l’authentification et le verrouillage automatiques se produisent uniquement si BitLocker est actif et non suspendu pendant le redémarrage ou l’arrêt. Les données personnelles sont actuellement accessibles sur le disque dur de l’appareil si BitLocker n’est pas activé ou suspendu pendant une mise à jour. La suspension BitLocker supprime temporairement la protection des composants système et des données, mais peut être nécessaire dans certaines circonstances pour mettre à jour correctement les composants critiques au démarrage.
- BitLocker est suspendu pendant les mises à jour si :
- L’appareil n’a pas TPM 2.0 et PCR7, ou
- L’appareil n’utilise pas de protecteur TPM uniquement
- BitLocker est suspendu pendant les mises à jour si :
- « Toujours activé » spécifie que l’authentification automatique se produit même si BitLocker est désactivé ou suspendu pendant le redémarrage ou l’arrêt. Quand BitLocker n’est pas activé, les données personnelles sont accessibles sur le disque dur. Le redémarrage et l’authentification automatiques ne doivent être exécutés que dans cette condition si vous êtes certain que l’appareil configuré se trouve dans un emplacement physique sécurisé.
Si vous désactivez ou ne configurez pas ce paramètre, l’authentification automatique est définie par défaut sur le comportement « Activé si BitLocker est activé et non suspendu ».
Éditeur du Registre
| Nom de la valeur | Type | Données |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (Activer ARSO si sécurisé) |
| 1 (Activer ARSO toujours) |
Emplacement du Registre de stratégie : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type : DWORD
Résolution des problèmes
Lorsque Winlogon effectue une connexion, la trace de l'état de Winlogon est stockée dans le journal des événements de Winlogon. Vérifier Journaux des applications et des services > Microsoft > Windows > Winlogon > Opérationnel dans l'observateur d'événements pour les événements Winlogon en vous intéressant aux points suivants :
| ID de l’événement | Description de l'événement | Source de l'événement |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
Le statut d'une tentative de configuration ARSO est stocké dans le journal des événements LSA. Vérifiez Journaux des applications et des services > Microsoft > Windows > LSA > Opérationnel dans l'observateur d'événements en vous intéressant aux événements LSA suivants :
| ID de l’événement | Description de l'événement | Source de l'événement |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Raisons pour lesquelles la journalisation automatique peut échouer
Il existe plusieurs cas dans lesquels une connexion automatique d’utilisateur ne peut pas être obtenue. Cette section est destinée à rassembler les scénarios connus dans lesquels cela peut se produire.
L'utilisateur doit changer de mot de passe à la prochaine connexion
La connexion utilisateur peut entrer un état bloqué lorsque la modification du mot de passe lors de la prochaine connexion est requise. Cela peut être détecté avant le redémarrage dans la plupart des cas, mais pas tous (par exemple, l’expiration du mot de passe peut être atteinte entre l’arrêt et la prochaine connexion.
Compte d’utilisateur désactivé
Une session utilisateur existante peut être conservée même si elle est désactivée. Le redémarrage d’un compte désactivé peut être détecté localement dans la plupart des cas à l’avance, en fonction de la stratégie de groupe, il peut ne pas s’agir des comptes de domaine (certains scénarios de connexion mise en cache de domaine fonctionnent même si le compte est désactivé sur le contrôleur de domaine).
Heures de connexion et contrôles parentaux
Les heures d’ouverture de session et les contrôles parentaux peuvent empêcher la création d’une session utilisateur. Si un redémarrage devait se produire pendant cette fenêtre, l’utilisateur ne serait pas autorisé à se connecter. La stratégie entraîne également le verrouillage ou la déconnexion en tant qu’action de conformité. L’état d’une tentative de configuration de journalisation automatique est consigné.
Informations sur la sécurité
Dans les environnements où la sécurité physique de l’appareil est un sujet d’inquiétude (par exemple, l’appareil peut être volé), Microsoft ne recommande pas d’utiliser ARSO. ARSO s’appuie sur l’intégrité du microprogramme de la plateforme et du module TPM, un attaquant disposant d’un accès physique peut être en mesure de les compromettre et, par conséquent, d’accéder aux informations d’identification stockées sur le disque avec ARSO activé.
Dans les environnements d’entreprise où la sécurité des données utilisateur protégées par l’API de protection des données (DPAPI) est un sujet d’inquiétude, Microsoft ne recommande pas d’utiliser ARSO. ARSO a un impact négatif sur les données utilisateur protégées par DPAPI, car le déchiffrement ne nécessite pas d’informations d’identification utilisateur. Les entreprises doivent tester l’impact sur la sécurité des données utilisateur protégées par DPAPI avant d’utiliser ARSO.
Informations d’identification stockées
| Hachage du mot de passe | Clé d’informations d’identification | Ticket d’octroi de ticket | Jeton d’actualisation principal |
|---|---|---|---|
| Compte local - Oui | Compte local - Oui | Compte local - Non | Compte local - Non |
| Compte MSA - Oui | Compte MSA - Oui | Compte MSA - Non | Compte MSA - Non |
| Compte joint à Microsoft Entra – Oui | Compte joint à Microsoft Entra – Oui | Compte joint à Microsoft Entra – Oui (si hybride) | Compte joint à Microsoft Entra – Oui |
| Compte joint à un domaine - Oui | Compte joint à un domaine - Oui | Compte joint à un domaine - Oui | Compte joint au domaine - Oui (si hybride) |
Interaction Credential Guard
ARSO est pris en charge avec Credential Guard activé sur les appareils à compter de Windows 10 version 2004.
Ressources supplémentaires
La connexion automatique est une fonctionnalité présente dans Windows depuis plusieurs versions. Il s’agit d’une fonctionnalité documentée de Windows qui dispose même d’outils comme Autologon pour Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Elle permet à un seul utilisateur de l’appareil de se connecter automatiquement sans entrer d’informations d’identification. Les informations d’identification sont configurées et stockées dans le Registre en tant que secret LSA chiffré. Cela peut être problématique dans de nombreux cas d’enfants où le verrouillage du compte peut se produire entre le moment du coucher et le réveil, en particulier si la fenêtre de maintenance est généralement pendant cette période.