Winlogon automatic restart sign-on (ARSO)
Selama Windows Update, ada proses khusus pengguna yang harus terjadi agar pembaruan selesai. Proses ini mengharuskan pengguna untuk masuk ke perangkat mereka. Pada proses masuk pertama setelah pembaruan dimulai, pengguna harus menunggu hingga proses spesifik pengguna ini selesai sebelum mereka dapat mulai menggunakan perangkat mereka.
Bagaimana cara kerjanya?
Ketika Windows Update memulai boot ulang otomatis, ARSO mengekstrak kredensial turunan pengguna yang saat ini masuk, mempertahankannya ke disk, dan mengonfigurasi Autologon untuk pengguna. Windows Update berjalan sebagai sistem dengan hak istimewa TCB memulai panggilan RPC.
Setelah reboot Windows Update akhir, pengguna akan secara otomatis masuk melalui mekanisme Autologon, dan sesi pengguna direhidrasi dengan rahasia yang bertahan. Selain itu, perangkat dikunci untuk melindungi sesi pengguna. Penguncian dimulai melalui Winlogon sedangkan manajemen kredensial dilakukan oleh Otoritas Keamanan Lokal (LSA). Setelah konfigurasi ARSO berhasil dan masuk, kredensial yang disimpan segera dihapus dari disk.
Dengan masuk dan mengunci pengguna secara otomatis di konsol, Windows Update dapat menyelesaikan proses spesifik pengguna sebelum pengguna kembali ke perangkat. Dengan cara ini, pengguna dapat segera mulai menggunakan perangkat mereka.
ARSO memperlakukan perangkat yang tidak dikelola dan dikelola secara berbeda. Untuk perangkat yang tidak dikelola, enkripsi perangkat digunakan tetapi tidak diperlukan bagi pengguna untuk mendapatkan ARSO. Untuk perangkat terkelola, TPM 2.0, SecureBoot, dan BitLocker diperlukan untuk konfigurasi ARSO. Admin TI dapat mengambil alih persyaratan ini melalui Kebijakan Grup. ARSO untuk perangkat terkelola saat ini hanya tersedia untuk perangkat yang bergabung ke ID Microsoft Entra.
| Windows Update | shutdown -g -t 0 | Reboot yang dimulai pengguna | API dengan bendera SHUTDOWN_ARSO/EWX_ARSO |
|---|---|---|---|
| Perangkat terkelola - Ya Perangkat tidak terkelola - Ya |
Perangkat terkelola - Ya Perangkat tidak terkelola - Ya |
Perangkat terkelola - Tidak Perangkat tidak terkelola - Ya |
Perangkat terkelola - Ya Perangkat tidak terkelola - Ya |
Catatan
Setelah Windows Update diinduksi reboot, pengguna interaktif terakhir secara otomatis masuk dan sesi dikunci. Ini memberikan kemampuan bagi aplikasi layar kunci pengguna untuk tetap berjalan meskipun Windows Update di-boot ulang.
Kebijakan #1
Masuk dan mengunci pengguna interaktif terakhir secara otomatis setelah menghidupkan ulang
Di Windows 10, ARSO dinonaktifkan untuk SKU Server dan memilih keluar untuk SKU Klien.
Lokasi kebijakan grup: Templat > Administratif Konfigurasi > Komputer Opsi masuk Windows Komponen > Windows
Kebijakan Intune:
- Platform: Windows 10 atau lebih baru
- Jenis profil: Templat Administratif
- Jalur: \Windows Components\Windows Logon Options
Didukung pada: Setidaknya Windows 10 Versi 1903
Deskripsi:
Pengaturan kebijakan ini mengontrol apakah perangkat akan secara otomatis masuk dan mengunci pengguna interaktif terakhir setelah sistem dimulai ulang atau setelah matikan dan boot dingin.
Ini hanya terjadi jika pengguna interaktif terakhir tidak keluar sebelum menghidupkan ulang atau mematikan.
Jika perangkat digabungkan ke Direktori Aktif atau ID Microsoft Entra, kebijakan ini hanya berlaku untuk mulai ulang Windows Update. Jika tidak, ini berlaku untuk mulai ulang Windows Update dan mulai ulang dan pematian yang dimulai pengguna.
Jika Anda tidak mengonfigurasi pengaturan kebijakan ini, pengaturan tersebut diaktifkan secara default. Saat kebijakan diaktifkan, pengguna secara otomatis masuk. Selain itu, setelah perangkat boot, sesi dikunci dengan semua aplikasi layar kunci yang dikonfigurasi untuk pengguna tersebut.
Setelah mengaktifkan kebijakan ini, Anda dapat mengonfigurasi pengaturannya melalui kebijakan ConfigAutomaticRestartSignOn. Ini mengatur mode untuk masuk otomatis dan mengunci pengguna interaktif terakhir setelah restart atau cold boot.
Jika Anda menonaktifkan pengaturan kebijakan ini, perangkat tidak mengonfigurasi masuk otomatis. Aplikasi layar kunci pengguna tidak dimulai ulang setelah sistem dimulai ulang.
Editor registri:
| Nama Nilai | Jenis | Data |
|---|---|---|
| NonaktifkanAutomaticRestartSignOn | DWORD | 0 (Aktifkan ARSO) |
| 1 (Nonaktifkan ARSO) |
Lokasi registri kebijakan: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Jenis: DWORD
Kebijakan #2
Mengonfigurasi mode masuk secara otomatis dan mengunci pengguna interaktif terakhir setelah restart atau cold boot
Lokasi kebijakan grup: Templat > Administratif Konfigurasi > Komputer Opsi Masuk Windows Komponen > Windows
Kebijakan Intune:
- Platform: Windows 10 atau lebih baru
- Jenis profil: Templat Administratif
- Jalur: \Windows Components\Windows Logon Options
Didukung pada: Setidaknya Windows 10 Versi 1903
Deskripsi:
Pengaturan kebijakan ini mengontrol konfigurasi di mana mulai ulang dan masuk dan kunci otomatis terjadi setelah restart atau cold boot. Jika Anda memilih "Dinonaktifkan" di kebijakan "Masuk dan kunci pengguna interaktif terakhir secara otomatis setelah menghidupkan ulang", masuk otomatis tidak akan terjadi dan kebijakan ini tidak perlu dikonfigurasi.
Jika Mengaktifkan pengaturan kebijakan ini, Anda dapat memilih salah satu dari dua opsi berikut:
- "Diaktifkan jika BitLocker aktif dan tidak ditangguhkan" menentukan bahwa masuk dan kunci otomatis hanya akan terjadi jika BitLocker aktif dan tidak ditangguhkan selama boot ulang atau matikan. Data pribadi dapat diakses di hard drive perangkat saat ini jika BitLocker tidak aktif atau ditangguhkan selama pembaruan. Penangguhan BitLocker untuk sementara menghapus perlindungan untuk komponen sistem dan data tetapi mungkin diperlukan dalam keadaan tertentu untuk berhasil memperbarui komponen boot-critical.
- BitLocker ditangguhkan selama pembaruan jika:
- Perangkat tidak memiliki TPM 2.0 dan PCR7, atau
- Perangkat tidak menggunakan pelindung khusus TPM
- BitLocker ditangguhkan selama pembaruan jika:
- "Always Enabled" menentukan bahwa masuk otomatis akan terjadi bahkan jika BitLocker nonaktif atau ditangguhkan selama boot ulang atau matikan. Saat BitLocker tidak diaktifkan, data pribadi dapat diakses di hard drive. Mulai ulang dan masuk otomatis hanya boleh dijalankan dalam kondisi ini jika Anda yakin bahwa perangkat yang dikonfigurasi berada di lokasi fisik yang aman.
Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan ini, masuk otomatis akan default ke perilaku "Diaktifkan jika BitLocker aktif dan tidak ditangguhkan".
Editor registri
| Nama Nilai | Jenis | Data |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (Aktifkan ARSO jika aman) |
| 1 (Aktifkan ARSO selalu) |
Lokasi registri kebijakan: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Jenis: DWORD
Pemecahan Masalah
Ketika Winlogon melakukan masuk, jejak status Winlogon disimpan di log peristiwa Winlogon. Periksa Log > Aplikasi dan Layanan Microsoft > Windows > Winlogon > Operasional di Pemantau Peristiwa untuk peristiwa Winlogon berikut:
| ID Peristiwa | Deskripsi kejadian | Sumber peristiwa |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
Status upaya konfigurasi ARSO disimpan di log peristiwa LSA. Periksa Log > Aplikasi dan Layanan Operasional Microsoft > Windows > LSA > di Pemantau Peristiwa untuk peristiwa LSA berikut:
| ID Peristiwa | Deskripsi kejadian | Sumber peristiwa |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Alasan mengapa autologon mungkin gagal
Ada beberapa kasus di mana login otomatis pengguna tidak dapat dicapai. Bagian ini dimaksudkan untuk mengambil skenario yang diketahui di mana hal ini dapat terjadi.
Pengguna harus mengganti kata sandi pada sesi masuk berikutnya
Login pengguna dapat memasukkan status yang diblokir saat perubahan kata sandi pada login berikutnya diperlukan. Ini dapat dideteksi sebelum memulai ulang dalam banyak kasus, tetapi tidak semua (misalnya, kedaluwarsa kata sandi dapat dicapai antara pematian dan masuk berikutnya.
Akun pengguna dinonaktifkan
Sesi pengguna yang ada dapat dipertahankan meskipun dinonaktifkan. Mulai ulang untuk akun yang dinonaktifkan dapat dideteksi secara lokal dalam banyak kasus sebelumnya, tergantung pada gp mungkin tidak untuk akun domain (beberapa skenario masuk yang di-cache domain berfungsi bahkan jika akun dinonaktifkan di DC).
Jam masuk dan kontrol orang tua
Jam Masuk dan kontrol orang tua dapat melarang sesi pengguna baru dibuat. Jika mulai ulang terjadi selama jendela ini, pengguna tidak akan diizinkan untuk masuk. Kebijakan ini juga menyebabkan kunci atau keluar sebagai tindakan kepatuhan. Status upaya konfigurasi Autologon dicatat.
Detail keamanan
Di lingkungan tempat keamanan fisik perangkat menjadi perhatian (misalnya, perangkat dapat dicuri), Microsoft tidak merekomendasikan penggunaan ARSO. ARSO bergantung pada integritas firmware platform dan TPM, penyerang dengan akses fisik mungkin dapat membahayakan ini dan dengan demikian mengakses kredensial yang disimpan di disk dengan ARSO diaktifkan.
Di lingkungan perusahaan tempat keamanan untuk data pengguna yang dilindungi oleh Data Protection API (DPAPI) menjadi perhatian, Microsoft tidak merekomendasikan penggunaan ARSO. ARSO berdampak negatif pada data pengguna yang dilindungi oleh DPAPI karena dekripsi tidak memerlukan kredensial pengguna. Perusahaan harus menguji dampak pada keamanan data pengguna yang dilindungi oleh DPAPI sebelum menggunakan ARSO.
Kredensial disimpan
| Hash kata sandi | Kunci kredensial | Tiket pemberian tiket | Token refresh utama |
|---|---|---|---|
| Akun lokal - Ya | Akun lokal - Ya | Akun lokal - Tidak | Akun lokal - Tidak |
| Akun MSA - Ya | Akun MSA - Ya | Akun MSA - Tidak | Akun MSA - Tidak |
| Akun gabungan Microsoft Entra - Ya | Akun gabungan Microsoft Entra - Ya | Akun gabungan Microsoft Entra - Ya (jika hibrid) | Akun gabungan Microsoft Entra - Ya |
| Akun yang bergabung dengan domain - Ya | Akun yang bergabung dengan domain - Ya | Akun yang bergabung dengan domain - Ya | Akun yang bergabung dengan domain - Ya (jika hibrid) |
Interaksi Credential Guard
ARSO didukung dengan Credential Guard diaktifkan pada perangkat yang dimulai dengan Windows 10 versi 2004.
Sumber daya tambahan
Autologon adalah fitur yang telah ada di Windows untuk beberapa rilis. Ini adalah fitur Windows yang didokumentasikan yang bahkan memiliki alat seperti Autologon untuk Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Ini memungkinkan satu pengguna perangkat untuk masuk secara otomatis tanpa memasukkan kredensial. Info masuk dikonfigurasi dan disimpan dalam registri sebagai rahasia LSA terenkripsi. Ini bisa bermasalah untuk banyak kasus anak di mana penguncian akun dapat terjadi antara waktu tidur dan bangun, terutama jika jendela pemeliharaan umumnya selama waktu ini.