Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Во время обновления Windows существуют процессы, связанные с пользователем, которые должны выполняться для завершения обновления. Эти процессы требуют, чтобы пользователь вошел на свое устройство. При первом входе после запуска обновления пользователи должны ждать завершения этих процессов, прежде чем они смогут начать работу с устройством.
Как это работает?
Когда Центр обновления Windows инициирует автоматическую перезагрузку, ARSO извлекает производные учетные данные текущего пользователя, сохраняет их на диске и настраивает автологон для пользователя. Центр обновления Windows, работающий в режиме системы с привилегиями TCB, инициирует вызов RPC.
После окончательной перезагрузки обновления Windows пользователь автоматически войдет в систему с помощью механизма Autologon, а сеанс пользователя восстанавливается с сохраненными секретными данными. Кроме того, устройство заблокировано для защиты сеанса пользователя. Блокировка инициируется с помощью Winlogon, а управление учетными данными выполняется локальным центром безопасности (LSA). После успешной настройки ARSO и входа сохраненные учетные данные немедленно удаляются с диска.
"Автоматическое вход в систему и блокировка пользователя на консоли позволяет службе обновления Windows завершить процессы, специфичные для пользователя, прежде чем он вернется к устройству." Таким образом, пользователь может сразу же начать использовать свое устройство.
ARSO обрабатывает неуправляемые и управляемые устройства по-разному. Для неуправляемых устройств используется шифрование устройств, но не требуется пользователю для получения ARSO. Для управляемых устройств для настройки ARSO требуются TPM 2.0, SecureBoot и BitLocker. ИТ-администраторы могут переопределить это требование с помощью групповой политики. ARSO для управляемых устройств в настоящее время доступен только для устройств, присоединенных к идентификатору Microsoft Entra.
| Windows Update | завершение работы -g -t 0 | User-initiated reboots | API с флагами SHUTDOWN_ARSO / EWX_ARSO |
|---|---|---|---|
| Управляемые устройства — да Неуправляемые устройства — да |
Управляемые устройства — да Неуправляемые устройства — да |
Управляемые устройства — нет Неуправляемые устройства — да |
Управляемые устройства — да Неуправляемые устройства — да |
Note
После перезагрузки, вызванной обновлением Windows, последний интерактивный пользователь автоматически входит в систему, и сеанс заблокирован. Это дает возможность запускать приложения с экрана блокировки пользователя, несмотря на перезагрузку Центра обновления Windows.
Policy #1
Автоматический вход и блокировка последнего интерактивного пользователя после перезапуска
В Windows 10 ARSO отключен для номеров SKU сервера и отключен для номеров SKU клиента.
Расположение групповой политики: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа в Windows
Intune policy:
- Платформа: Windows 10 и более поздних версий
- Тип профиля: административные шаблоны
- Путь: \Компоненты Windows\Параметры входа в Систему Windows
Supported on: At least Windows 10 Version 1903
Description:
Этот параметр политики определяет, будет ли устройство автоматически входить в систему и блокировать последнего интерактивного пользователя после перезапуска системы или после завершения работы и холодной загрузки.
Это происходит только в том случае, если последний интерактивный пользователь не вышел перед перезапуском или завершением работы.
Если устройство присоединено к Active Directory или Microsoft Entra ID, эта политика применяется только к клиентский компонент Центра обновления Windows перезапускам. В противном случае это касается как перезапусков Центра обновления Windows, так и перезапусков и выключений, инициированных пользователем.
Если этот параметр политики не настроен, он включен по умолчанию. Если политика включена, пользователь автоматически войдет в систему. Кроме того, после загрузки устройства сеанс блокируется всеми приложениями экрана блокировки, настроенными для этого пользователя.
После включения этой политики можно настроить его параметры с помощью политики ConfigAutomaticRestartSignOn. Он задает режим автоматического входа и блокирует последнего интерактивного пользователя после перезагрузки или холодной загрузки.
Если этот параметр политики отключен, устройство не настроит автоматический вход. Приложения на экране блокировки пользователя не перезапускаются после перезапуска системы.
Registry editor:
| Value Name | Type | Data |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (включение ARSO) |
| 1 (отключение ARSO) |
Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type: DWORD
Policy #2
Настройка режима автоматического входа и блокировки последнего интерактивного пользователя после перезапуска или холодной загрузки
Расположение групповой политики: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа в систему Windows
Intune policy:
- Платформа: Windows 10 и более поздних версий
- Тип профиля: административные шаблоны
- Путь: \Компоненты Windows\Параметры входа в Систему Windows
Supported on: At least Windows 10 Version 1903
Description:
Этот параметр политики управляет конфигурацией, в которой автоматический перезапуск и вход и блокировка возникают после перезагрузки или холодной загрузки. Если вы выбрали "Отключено" в политике "Вход и блокировка последнего интерактивного пользователя автоматически после перезагрузки", то автоматический вход не будет выполнен, и эта политика не должна быть настроена.
Если этот параметр политики включен, можно выбрать один из следующих двух вариантов:
- Значение "Включено, если BitLocker включен и не приостановлено", указывает, что автоматический вход и блокировка будут возникать только в том случае, если BitLocker активен и не приостановлен во время перезагрузки или завершения работы. В настоящее время доступ к личным данным можно получить на жестком диске устройства, если BitLocker не включен или приостановлен во время обновления. Приостановка BitLocker временно снимает защиту системных компонентов и данных, но может потребоваться в определенных обстоятельствах для успешного обновления компонентов, критически важных для загрузки.
- BitLocker приостановлен во время обновлений, если:
- Устройство не имеет TPM 2.0 и PCR7, или
- Устройство не использует средство защиты только для доверенного платформенного модуля
- BitLocker приостановлен во время обновлений, если:
- Always Enabled указывает, что автоматический вход произойдет, даже если BitLocker отключен или приостановлен во время перезагрузки или завершения работы. Если BitLocker не включен, на жестком диске доступны персональные данные. Автоматический перезапуск и вход должны выполняться только в этом условии, если вы уверены, что настроенное устройство находится в безопасном физическом расположении.
Если вы отключите или не настроите этот параметр, автоматический вход будет по умолчанию включён с поведением «Включено, если BitLocker включен и не приостановлен».
Registry editor
| Value Name | Type | Data |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (включение ARSO в случае защиты) |
| 1 (всегда включить ARSO) |
Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type: DWORD
Troubleshooting
Когда Winlogon выполняет вход в систему, трассировка его состояния хранится в журнале событий Winlogon. Проверьте журналы приложений и служб> Microsoft > Windows > Winlogon > Operational в средстве просмотра событий для следующих событий Winlogon:
| Event ID | Event description | Event source |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
Состояние попытки настройки ARSO хранится в журнале событий LSA. Проверьте журналы > приложений и служб Microsoft > Windows > LSA в средстве просмотра событий для следующих событий LSA>:
| Event ID | Event description | Event source |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Причины, по которым может не сработать автовход
Существует несколько случаев, когда невозможно достичь автоматического входа пользователя. Этот раздел предназначен для отслеживания известных сценариев, в которых это может произойти.
Пользователь должен сменить пароль при следующем входе
Авторизация пользователя может оказаться в заблокированном состоянии, если потребуется изменить пароль при следующем входе. Это можно обнаружить до перезапуска в большинстве случаев, но не во всех (например, пароль может истечь между завершением работы и следующим входом в систему).
Учетная запись пользователя отключена
Существующий сеанс пользователя можно поддерживать даже в том случае, если он отключен. Перезапуск, связанный с учетной записью, которая отключена, можно обнаружить локально в большинстве случаев заранее. Однако, в зависимости от групповой политики, это может не относиться к учетным записям домена (некоторые сценарии входа с использованием кеша домена работают, даже если учетная запись отключена на контроллере домена).
Время входа в систему и родительский контроль
Часы входа и родительские элементы управления могут запретить создание нового сеанса пользователя. Если во время этого окна произошла перезагрузка, пользователь не сможет войти в систему. Политика также вызывает блокировку или выход в качестве действия соответствия требованиям. Регистрируется состояние попытки автологона.
Security details
В средах, где физическая безопасность устройства обеспокоена (например, устройство может быть украдено), корпорация Майкрософт не рекомендует использовать ARSO. ARSO зависит от целостности встроенного ПО платформы и доверенного платформенного модуля (TPM). Злоумышленник с физическим доступом может, возможно, скомпрометировать их и таким образом получить доступ к учетным данным, хранящимся на диске при включенной функции ARSO.
В корпоративных средах, где безопасность пользовательских данных, защищенных API защиты данных (DPAPI), вызывает обеспокоенность, Microsoft не рекомендует использовать ARSO. ARSO отрицательно влияет на данные пользователей, защищенные DPAPI, так как расшифровка не требует учетных данных пользователя. Предприятия должны проверить влияние на безопасность пользовательских данных, защищенных DPAPI, прежде чем использовать ARSO.
Credentials stored
| Password hash | Credential key | Ticket-granting ticket | Основной токен обновления |
|---|---|---|---|
| Локальная учетная запись — да | Локальная учетная запись — да | Локальная учетная запись — нет | Локальная учетная запись — нет |
| Учетная запись MSA — да | Учетная запись MSA — да | Учетная запись MSA — нет | Учетная запись MSA — нет |
| Присоединенная учетная запись Microsoft Entra — да | Присоединенная учетная запись Microsoft Entra — да | Учетная запись, присоединенная к Microsoft Entra, — да (если гибридная версия) | Присоединенная учетная запись Microsoft Entra — да |
| Учетная запись присоединена к домену: Да | Учетная запись присоединена к домену: Да | Учетная запись присоединена к домену: Да | Учетная запись, присоединенная к домену, — да (если гибридная) |
Взаимодействие системы Credential Guard
ARSO поддерживается с поддержкой Credential Guard на устройствах, начиная с Windows 10 версии 2004.
Additional resources
Автологон — это функция, которая присутствует в Windows в нескольких версиях. It's a documented feature of Windows that even has tools such as Autologon for Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Он позволяет одному пользователю устройства автоматически входить без ввода учетных данных. Учетные данные настраиваются и хранятся в реестре в качестве зашифрованного секрета LSA. Это может быть проблематично для многих случаев с детьми, когда блокировка учетной записи может происходить между временем сна и пробуждением, особенно если окно технического обслуживания обычно выпадает на это время.