Accesso al riavvio automatico di Winlogon
Durante un aggiornamento Windows, sono presenti processi specifici dell'utente che devono essere eseguiti per il completamento dell'aggiornamento. Questi processi richiedono che l'utente sia connesso al dispositivo. Al primo accesso dopo l'avvio di un aggiornamento, gli utenti devono attendere il completamento di tali processi specifici prima di poter iniziare a usare il dispositivo.
Come funziona?
Quando Windows Update lancia un riavvio automatico, ARSO estrae le credenziali dell'utente attualmente connesso, lo rende persistente su disco e configura l'accesso automatico per l'utente. Windows Update in esecuzione come sistema con privilegio TCB avvia la chiamata RPC.
Dopo il riavvio finale di Windows Update, l'utente verrà automaticamente connesso tramite il meccanismo di accesso automatico e la sessione dell'utente viene riattivata con i segreti persistenti. Inoltre, il dispositivo è bloccato per proteggere la sessione dell'utente. Il blocco viene avviato tramite Winlogon, mentre la gestione delle credenziali viene eseguita dall'Autorità di sicurezza locale (LSA). Al termine della configurazione e dell'accesso di ARSO, le credenziali salvate vengono immediatamente eliminate dal disco.
Accedendo e bloccando automaticamente l'utente nella console, Windows Update può completare i processi specifici dell'utente prima che l'utente torni al dispositivo. In questo modo, l'utente può iniziare immediatamente a usare il dispositivo.
ARSO tratta in modo diverso i dispositivi non gestiti da quelli gestiti. Per i dispositivi non gestiti, la crittografia del dispositivo viene usata ma non è necessaria per ottenere ARSO. Per i dispositivi gestiti, per la configurazione di ARSO sono necessari TPM 2.0, SecureBoot e BitLocker. Gli amministratori IT possono ignorare questo requisito tramite Criteri di gruppo. ARSO per i dispositivi gestiti è attualmente disponibile solo per i dispositivi aggiunti all'ID Microsoft Entra.
| Windows Update | shutdown -g -t 0 | Azioni avviate dall'utente | API con flag di SHUTDOWN_ARSO/EWX_ARSO |
|---|---|---|---|
| Dispositivi gestiti - Sì Dispositivi non gestiti - Sì |
Dispositivi gestiti - Sì Dispositivi non gestiti - Sì |
Dispositivi gestiti - No Dispositivi non gestiti - Sì |
Dispositivi gestiti - Sì Dispositivi non gestiti - Sì |
Nota
Dopo un riavvio indotto da Windows Update, l'ultimo utente interattivo viene automaticamente connesso e la sessione è bloccata. In questo modo è possibile che le app della schermata di blocco di un utente vengano ancora eseguite nonostante il riavvio di Windows Update.
Criterio n.1
Accesso e blocco automatico dell'ultimo utente interattivo dopo un riavvio
In Windows 10, ARSO è disabilitato per gli SKU del server ed è stato rifiutato esplicitamente per gli SKU client.
Posizione Criteri di gruppo: configurazione computer > modelli amministrativi > componenti di Windows > opzioni di accesso di Windows
Criteri di Intune:
- Piattaforma: Windows 10 e versioni successive
- Tipo di profilo: modelli amministrativi
- Percorso: \Componenti di Windows\Opzioni di accesso di Windows
Supportato in: almeno Windows 10 versione 1903
Descrizione:
Questa impostazione dei criteri controlla se un dispositivo accede automaticamente e blocca l'ultimo utente interattivo dopo il riavvio del sistema o dopo un arresto e un avvio a freddo.
Si verifica solo se l'ultimo utente interattivo non si è disconnesso prima del riavvio o dell'arresto.
Se il dispositivo viene aggiunto ad Active Directory o a Microsoft Entra ID, questo criterio si applica solo ai riavvii di Windows Update. In caso contrario, si applica sia ai riavvii di Windows Update che ai riavvii e agli arresti avviati dall'utente.
Se non si configura questa impostazione dei criteri, è abilitata per impostazione predefinita. Quando il criterio è abilitato, l'utente ha eseguito automaticamente l'accesso. Inoltre, dopo l'avvio del dispositivo, la sessione viene bloccata con tutte le app della schermata di blocco configurate per l'utente.
Dopo aver abilitato questo criterio, è possibile configurarne le impostazioni tramite il criterio ConfigAutomaticRestartSignOn. Imposta la modalità per l'accesso automatico e blocca l'ultimo utente interattivo dopo un riavvio o un avvio a freddo.
Se si disabilita questa impostazione dei criteri, il dispositivo non configura l'accesso automatico. Le app della schermata di blocco dell'utente non vengono riavviate dopo il riavvio del sistema.
Editor del Registro di sistema:
| Nome valore | Tipo | Dati |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (abilita ARSO) |
| 1 (disabilita ARSO) |
Posizione del registro di sistema dei criteri: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Tipo: DWORD
Criterio n.2
Configurare la modalità di accesso automatico e blocco dell'ultimo utente interattivo dopo un riavvio o un avvio a freddo
Posizione Criteri di gruppo: configurazione computer > modelli amministrativi > componenti di Windows > opzioni di accesso di Windows
Criteri di Intune:
- Piattaforma: Windows 10 e versioni successive
- Tipo di profilo: modelli amministrativi
- Percorso: \Componenti di Windows\Opzioni di accesso di Windows
Supportato in: almeno Windows 10 versione 1903
Descrizione:
Questa impostazione dei criteri controlla la configurazione con cui viene eseguito un riavvio automatico e l'accesso e il blocco dopo un riavvio o un avvio a freddo. Se si è scelto "Disabilitato" nel criterio "Accesso e blocco automatico l'ultimo utente interattivo dopo un riavvio”, l'accesso automatico non si verificherà e questo criterio non deve essere configurato.
Se si abilita questa impostazione relativa ai criteri, è possibile scegliere una delle due opzioni disponibili seguenti:
- "Abilitato se BitLocker è attivo e non sospeso" specifica che l'accesso automatico e il blocco si verificheranno solo se BitLocker è attivo e non sospeso durante il riavvio o l'arresto. È possibile accedere ai dati personali sul disco rigido del dispositivo in questo momento se BitLocker non è attivo o sospeso durante un aggiornamento. La sospensione di BitLocker rimuove temporaneamente la protezione per i componenti e i dati di sistema, ma potrebbe essere necessaria in determinate circostanze per aggiornare correttamente i componenti critici per l'avvio.
- BitLocker viene sospeso durante gli aggiornamenti se:
- Il dispositivo non ha TPM 2.0 e PCR7 oppure
- Il dispositivo non usa una protezione solo TPM
- BitLocker viene sospeso durante gli aggiornamenti se:
- "Always Enabled" specifica che l'accesso automatico verrà eseguito anche se BitLocker è disattivato o sospeso durante il riavvio o l'arresto. Quando BitLocker non è abilitato, i dati personali sono accessibili sul disco rigido. Il riavvio automatico e l'accesso devono essere eseguiti solo in questa condizione se si è certi che il dispositivo configurato si trovi in una posizione fisica sicura.
Se si disabilita o non si configura questa impostazione, per impostazione predefinita l'accesso automatico verrà impostato su "Abilitato se BitLocker è attivato e non è sospeso".
Editor del Registro di sistema
| Nome valore | Tipo | Dati |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (Abilitare ARSO se sicuro) |
| 1 (Abilitare sempre ARSO) |
Posizione del registro di sistema dei criteri: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Tipo: DWORD
Risoluzione dei problemi
Quando Winlogon esegue un accesso, la traccia dello stato di Winlogon viene archiviata nel registro eventi Winlogon. Controllare i log > applicazioni e servizi di Microsoft > Windows > Winlogon > Operational in Visualizzatore eventi per gli eventi Winlogon seguenti:
| ID evento | Descrizione dell'evento | Origine evento |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
Lo stato di un tentativo di configurazione ARSO viene archiviato nel registro eventi LSA. Controllare i log > delle applicazioni e dei servizi di Microsoft > Windows > LSA > operational in Visualizzatore eventi per gli eventi LSA seguenti:
| ID evento | Descrizione dell'evento | Origine evento |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Motivi per cui l'accesso automatico potrebbe non riuscire
Esistono diversi casi in cui non è possibile ottenere un account di accesso automatico dell'utente. Questa sezione è progettata per acquisire gli scenari noti in cui può verificarsi questa situazione.
Richiedi modifica della password all'accesso successivo
L'account di accesso utente può immettere uno stato bloccato quando è necessaria la modifica della password al successivo accesso. Questa operazione può essere rilevata prima del riavvio nella maggior parte dei casi, ma non in tutti, ad esempio, la scadenza della password può essere raggiunta tra l'arresto e l'account di accesso successivo.
Account utente disabilitato
Una sessione utente esistente può essere mantenuta anche se disabilitata. Il riavvio per un account disabilitato può essere rilevato localmente nella maggior parte dei casi in anticipo, a seconda di Gp potrebbe non essere rilevato per gli account di dominio (alcuni scenari di accesso memorizzati nella cache del dominio funzionano anche se l'account è disabilitato nel controller di dominio).
Ore di accesso e controlli genitori
Le ore di accesso e i controlli genitori possono impedire la creazione di una nuova sessione utente. Se si verificasse un riavvio durante questa finestra, l'utente non potrà accedere. Il criterio provoca anche il blocco o la disconnessione come azione di conformità. Lo stato di un tentativo di configurazione di accesso automatico viene registrato.
Dettagli di sicurezza
Negli ambienti in cui la sicurezza fisica del dispositivo è preoccupante (ad esempio, il dispositivo può essere rubato), Microsoft non consiglia di usare ARSO. ARSO si basa sull'integrità del firmware della piattaforma e del TPM, un utente malintenzionato con accesso fisico potrebbe compromettere questi elementi e, di conseguenza, accedere alle credenziali archiviate su disco con ARSO abilitato.
Negli ambienti aziendali in cui la sicurezza per i dati utente protetti dall'API protezione dati (DPAPI) è un problema, Microsoft non consiglia l'uso di ARSO. ARSO influisce negativamente sui dati utente protetti da DPAPI perché la decrittografia non richiede credenziali utente. Le aziende devono testare l'impatto sulla sicurezza dei dati utente protetti da DPAPI prima di usare ARSO.
Credenziali archiviate
| Hash delle password | Chiave delle credenziali | Ticket di concessione ticket | Token di aggiornamento primario |
|---|---|---|---|
| Account locale - Sì | Account locale - Sì | Account locale - No | Account locale - No |
| Account MSA - Sì | Account MSA - Sì | Account MSA - No | Account MSA - No |
| Account aggiunto a Microsoft Entra - Sì | Account aggiunto a Microsoft Entra - Sì | Account aggiunto a Microsoft Entra - Sì (se ibrido) | Account aggiunto a Microsoft Entra - Sì |
| Account aggiunto a un dominio - Sì | Account aggiunto a un dominio - Sì | Account aggiunto a un dominio - Sì | Account aggiunto a un dominio - Sì (se ibrido) |
Interazione di Credential Guard
ARSO è supportato con Credential Guard abilitato nei dispositivi a partire da Windows 10 versione 2004.
Risorse aggiuntive
L'accesso automatico è una funzionalità presente in Windows per diverse versioni. È una funzionalità documentata di Windows che include anche strumenti come l'accesso automatico per Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Consente a un singolo utente del dispositivo di accedere automaticamente senza immettere le credenziali. Le credenziali vengono configurate e archiviate nel Registro di sistema come segreto LSA crittografato. Questo potrebbe essere problematico per molti casi figlio in cui il blocco dell'account può verificarsi tra il tempo a letto e la riattivazione, in particolare se la finestra di manutenzione è comunemente durante questo periodo.