Автоматический вход при перезапуске с помощью Winlogon (ARSO)
Во время Обновл. Windows существуют пользовательские процессы, которые должны выполняться для завершения обновления. Эти процессы требуют, чтобы пользователь вошел на свое устройство. При первом входе после запуска обновления пользователи должны ждать завершения этих процессов, прежде чем они смогут начать работу с устройством.
Как это работает?
Когда Обновл. Windows инициирует автоматическую перезагрузку, ARSO извлекает производные учетные данные пользователя, сохраняет его на диске и настраивает автологон для пользователя. Обновл. Windows запуска в качестве системы с привилегиями TCB инициирует вызов RPC.
После окончательной перезагрузки Обновл. Windows пользователь автоматически войдет в систему с помощью механизма автологона, а сеанс пользователя восстанавливается с сохраненными секретами. Кроме того, устройство заблокировано для защиты сеанса пользователя. Блокировка инициируется с помощью Winlogon, а управление учетными данными выполняется локальным центром безопасности (LSA). После успешной настройки ARSO и входа сохраненные учетные данные немедленно удаляются с диска.
Автоматически войдите и заблокируя пользователя в консоли, Обновл. Windows может завершить определенные процессы, прежде чем пользователь вернется на устройство. Таким образом, пользователь может сразу же начать использовать свое устройство.
ARSO обрабатывает неуправляемые и управляемые устройства по-разному. Для неуправляемых устройств используется шифрование устройств, но не требуется пользователю для получения ARSO. Для управляемых устройств для настройки ARSO требуются TPM 2.0, SecureBoot и BitLocker. ИТ-администраторы могут переопределить это требование с помощью групповой политики. ARSO для управляемых устройств в настоящее время доступен только для устройств, присоединенных к идентификатору Microsoft Entra.
| Центр обновления Windows | завершение работы -g -t 0 | Перезагрузки, инициированные пользователем | API с флагами SHUTDOWN_ARSO / EWX_ARSO |
|---|---|---|---|
| Управляемые устройства — да Неуправляемые устройства — да |
Управляемые устройства — да Неуправляемые устройства — да |
Управляемые устройства — нет Неуправляемые устройства — да |
Управляемые устройства — да Неуправляемые устройства — да |
Примечание.
После Обновл. Windows индуцированной перезагрузки последний интерактивный пользователь автоматически вошел в систему и сеанс заблокирован. Это дает возможность запускать приложения с экрана блокировки пользователя, несмотря на Обновл. Windows перезагрузку.
Политика #1
Автоматический вход и блокировка последнего интерактивного пользователя после перезагрузки
В Windows 10 ARSO отключен для номеров SKU сервера и отключен для номеров SKU клиента.
Расположение групповой политики: конфигурация > компьютера Администратор истативные шаблоны > компонентов Windows > для входа в параметры
Политика Intune:
- Платформа: Windows 10 и более поздних версий
- Тип профиля: Администратор istrative Templates
- Путь: \Компоненты Windows\Параметры входа в Систему Windows
Поддерживается: по крайней мере Windows 10 версии 1903
Описание.
Этот параметр политики определяет, будет ли устройство автоматически входить и блокировать последнего интерактивного пользователя после перезагрузки системы или после завершения работы и холодной загрузки.
Это происходит только в том случае, если последний интерактивный пользователь не вышел перед перезапуском или завершением работы.
Если устройство присоединено к Active Directory или идентификатору Microsoft Entra, эта политика применяется только к Обновл. Windows перезапускам. В противном случае применяется как к Обновл. Windows перезапускам, так и к перезапускам, инициированным пользователем, и к завершениям работы.
Если этот параметр политики не настроен, он включен по умолчанию. Если политика включена, пользователь автоматически войдет в систему. Кроме того, после загрузки устройства сеанс блокируется всеми приложениями экрана блокировки, настроенными для этого пользователя.
После включения этой политики можно настроить его параметры с помощью политики ConfigAutomaticRestartSignOn. Он задает режим автоматического входа и блокирует последнего интерактивного пользователя после перезагрузки или холодной загрузки.
Если этот параметр политики отключен, устройство не настраивает автоматический вход. Приложения экрана блокировки пользователя не перезапускается после перезагрузки системы.
Редактор реестра:
| Имя значения | Тип | Data |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (включение ARSO) |
| 1 (отключение ARSO) |
Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Тип: DWORD
Политика #2
Настройка режима автоматического входа и блокировки последнего интерактивного пользователя после перезагрузки или холодной загрузки
Расположение групповой политики: параметры > входа в систему Windows Администратор устойчивые шаблоны > windows Components > Windows
Политика Intune:
- Платформа: Windows 10 и более поздних версий
- Тип профиля: Администратор istrative Templates
- Путь: \Компоненты Windows\Параметры входа в Систему Windows
Поддерживается: по крайней мере Windows 10 версии 1903
Описание.
Этот параметр политики управляет конфигурацией, в которой автоматический перезапуск и вход и блокировка возникают после перезагрузки или холодной загрузки. Если вы выбрали "Отключено" в политике "Вход и блокировка последнего интерактивного пользователя автоматически после перезагрузки", то автоматический вход не будет выполнен, и эта политика не должна быть настроена.
Если этот параметр политики включен, можно выбрать один из следующих двух вариантов:
- Значение "Включено, если BitLocker включен и не приостановлено", указывает, что автоматический вход и блокировка будут возникать только в том случае, если BitLocker активен и не приостановлен во время перезагрузки или завершения работы. Персональные данные можно получить на жестком диске устройства в это время, если BitLocker не включен или приостановлен во время обновления. Приостановка BitLocker временно удаляет защиту системных компонентов и данных, но может потребоваться в определенных обстоятельствах для успешного обновления критически важных компонентов загрузки.
- BitLocker приостановлен во время обновлений, если:
- Устройство не имеет TPM 2.0 и PCR7 или
- Устройство не использует средство защиты только для доверенного платформенного модуля
- BitLocker приостановлен во время обновлений, если:
- Always Enabled указывает, что автоматический вход произойдет, даже если BitLocker отключен или приостановлен во время перезагрузки или завершения работы. Если BitLocker не включен, персональные данные доступны на жестком диске. Автоматический перезапуск и вход должны выполняться только в этом условии, если вы уверены, что настроенное устройство находится в безопасном физическом расположении.
Если этот параметр отключен или не настроен, автоматический вход по умолчанию будет включен, если BitLocker включен и не приостановлен.
Редактор реестра
| Имя значения | Тип | Data |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (включение ARSO в случае защиты) |
| 1 (всегда включить ARSO) |
Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Тип: DWORD
Устранение неполадок
Когда Winlogon выполняет вход, трассировка состояния Winlogon хранится в журнале событий Winlogon. Проверьте журналы > приложений и служб Microsoft > Windows > Winlogon в Просмотр событий для следующих событий Winlogon>:
| ИД события | Описание события | Источник событий |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
Состояние попытки настройки ARSO хранится в журнале событий LSA. Проверьте журналы > приложений и служб Microsoft > Windows > LSA в Просмотр событий для следующих событий LSA>:
| ИД события | Описание события | Источник событий |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Причины сбоя автолога
Существует несколько случаев, когда невозможно достичь автоматического входа пользователя. Этот раздел предназначен для отслеживания известных сценариев, в которых это может произойти.
Пользователь должен сменить пароль при следующем входе
Имя входа пользователя может ввести заблокированное состояние при изменении пароля при следующем входе. Это может быть обнаружено до перезапуска в большинстве случаев, но не все (например, срок действия пароля может быть достигнут между завершением работы и следующим именем входа.
Учетная запись пользователя отключена
Существующий сеанс пользователя можно поддерживать даже в том случае, если он отключен. Перезапуск учетной записи, которая отключена, можно обнаружить локально в большинстве случаев заранее, в зависимости от групповой политики она может не быть для учетных записей домена (некоторые сценарии входа в кэшированные домены работают, даже если учетная запись отключена на контроллере домена).
Часы входа и родительские элементы управления
Часы входа и родительские элементы управления могут запретить создание нового сеанса пользователя. Если во время этого окна произошла перезагрузка, пользователь не сможет войти в систему. Политика также вызывает блокировку или выход в качестве действия соответствия требованиям. Регистрируется состояние попытки автологона.
Сведения о безопасности
В средах, где физическая безопасность устройства обеспокоена (например, устройство может быть украдено), корпорация Майкрософт не рекомендует использовать ARSO. ARSO зависит от целостности встроенного ПО платформы и доверенного платформенного модуля, злоумышленник с физическим доступом, возможно, сможет скомпрометировать эти данные, и таким образом получить доступ к учетным данным, хранящимся на диске с включенным ARSO.
В корпоративных средах, где безопасность пользовательских данных, защищенных API защиты данных (DPAPI), не рекомендуется использовать ARSO. ARSO отрицательно влияет на данные пользователей, защищенные DPAPI, так как расшифровка не требует учетных данных пользователя. Предприятия должны проверить влияние на безопасность пользовательских данных, защищенных DPAPI, прежде чем использовать ARSO.
Сохраненные учетные данные
| Хэш паролей | Ключ учетных данных | Билет на предоставление билетов | Основной маркер обновления |
|---|---|---|---|
| Локальная учетная запись — да | Локальная учетная запись — да | Локальная учетная запись — нет | Локальная учетная запись — нет |
| Учетная запись MSA — да | Учетная запись MSA — да | Учетная запись MSA — нет | Учетная запись MSA — нет |
| Присоединенная учетная запись Microsoft Entra — да | Присоединенная учетная запись Microsoft Entra — да | Учетная запись, присоединенная к Microsoft Entra, — да (если гибридная версия) | Присоединенная учетная запись Microsoft Entra — да |
| Учетная запись, присоединенная к домену, — да | Учетная запись, присоединенная к домену, — да | Учетная запись, присоединенная к домену, — да | Учетная запись, присоединенная к домену, — да (если гибридная) |
Взаимодействие Credential Guard
ARSO поддерживается с поддержкой Credential Guard на устройствах, начиная с Windows 10 версии 2004.
Дополнительные ресурсы
Автологон — это функция, которая присутствует в Windows для нескольких выпусков. Это документированная функция Windows, которая даже имеет такие средства, как autologon для Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Он позволяет одному пользователю устройства автоматически входить без ввода учетных данных. Учетные данные настраиваются и хранятся в реестре в качестве зашифрованного секрета LSA. Это может быть проблематично для многих случаев, когда блокировка учетной записи может происходить между временем сна и пробуждением, особенно если период обслуживания обычно находится в течение этого времени.