Winlogon 自动重启登录 (ARSO)
在 Windows 更新期间,必须执行一些用户特定的过程才能完成更新。 这些过程要求用户登录到其设备。 在发起更新后首次登录时,用户必须等待完成这些用户特定的过程,然后才能开始使用其设备。
工作原理
当 Windows 更新发起自动重启时,ARSO 会提取当前登录用户的派生凭据,将其保存到磁盘,然后为用户配置自动登录。 以拥有 TCB 特权的系统方式运行的 Windows 更新会发起 RPC 调用。
在 Windows 更新最后一次重启后,用户将自动通过自动登录机制登录,并使用保存的机密来解冻用户的会话。 此外,设备已锁定以保护用户的会话。 锁定将通过 Winlogon 发起,而凭据管理由本地安全机构 (LSA) 负责。 ARSO 配置和登录成功后,将立即从磁盘中删除保存的凭据。
通过在控制台上自动使用户登录和锁定用户,Windows 更新可以在用户返回设备之前完成用户特定的过程。 这样,用户就可以立即开始使用其设备。
ARSO 以不同的方式处理非托管设备和托管设备。 对于非托管设备,将使用设备加密,但无需使用设备加密也能让用户获得 ARSO。 对于托管设备,需要在 ARSO 配置中使用 TPM 2.0、SecureBoot 和 BitLocker。 IT 管理员可以通过组策略替代此要求。 用于托管设备的 ARSO 目前仅适用于已加入 Microsoft Entra ID 的设备。
| Windows 更新 | shutdown -g -t 0 | 用户发起的重启 | 使用 SHUTDOWN_ARSO/EWX_ARSO 标志的 API |
|---|---|---|---|
| 托管设备 - 是 非托管设备 - 是 |
托管设备 - 是 非托管设备 - 是 |
托管设备 - 否 非托管设备 - 是 |
托管设备 - 是 非托管设备 - 是 |
注意
在 Windows 更新导致重启后,最后一个交互用户将自动登录,并且会话将被锁定。 这使用户的锁屏应用仍然能够在 Windows 更新重启后运行。
策略 #1
重启后自动使最后一个交互用户登录并将其锁定
在 Windows 10 中,已为服务器 SKU 禁用 ARSO,并为客户端 SKU 选择退出该功能。
组策略位置:“计算机配置”>“管理模板”>“Windows 组件”>“Windows 登录选项”
Intune 策略:
- 平台:Windows 10 及更高版本
- 配置文件类型:管理模板
- 路径:\Windows 组件\Windows 登录选项
支持的系统:至少 Windows 10 版本 1903
描述:
此策略设置控制在系统重启或者在关机并冷启动后,设备是否会自动使最后一个交互用户登录并将其锁定。
仅当最后一个交互用户在重启或关机之前未退出登录时才会发生这种情况。
如果设备已加入 Active Directory 或 Microsoft Entra ID,则此策略仅适用于 Windows 更新重启。 否则,它适用于 Windows 更新重启和用户发起的重启与关机。
如果你不配置此策略设置,则默认启用它。 启用策略后,用户将自动登录。 此外,设备启动后,会话将锁定,并为该用户配置所有锁屏应用。
启用此策略后,可以通过 ConfigAutomaticRestartSignOn 策略配置其设置。 它将模式设置为自动登录,并在重启或冷启动后锁定最后一个交互用户。
如果禁用此策略设置,则设备不会配置自动登录。 系统重启后,用户的锁屏应用不会重启。
注册表编辑器:
| 值名称 | 类型 | 数据 |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0(启用 ARSO) |
| 1(禁用 ARSO) |
策略注册表位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
类型:DWORD
策略 #2
配置在重启或冷启动后自动使最后一个交互用户登录并将其锁定的模式
组策略位置:“计算机配置”>“管理模板”>“Windows 组件”>“Windows 登录选项”
Intune 策略:
- 平台:Windows 10 及更高版本
- 配置文件类型:管理模板
- 路径:\Windows 组件\Windows 登录选项
支持的系统:至少 Windows 10 版本 1903
描述:
此策略设置控制执行自动重启,以及重启或冷启动后的登录和锁定的配置。 如果在“重启后自动使最后一个交互用户登录并将其锁定”策略中选择了“禁用”,则不会发生自动登录,并且不需要配置此策略。
如果启用此策略设置,可以选择以下两个选项之一:
- “如果 BitLocker 已打开且未暂停,则启用”指定仅当 BitLocker 处于活动状态并且在重启或关机期间未暂停时,才发生自动登录和锁定。 如果 BitLocker 在更新期间未打开或已暂停,此时可以访问设备硬盘驱动器上的个人数据。 暂停 BitLocker 会暂时取消对系统组件和数据的保护,但在某些情况下可能需要 BitLocker 才能成功更新对启动至关重要的组件。
- 在以下情况下,BitLocker 会在更新期间暂停:
- 设备上没有 TPM 2.0 和 PCR7,或者
- 设备不使用仅限 TPM 保护器
- 在以下情况下,BitLocker 会在更新期间暂停:
- “始终启用”指定即使 BitLocker 已关闭或者在重启或关机期间暂停,也发生自动登录。 未启用 BitLocker 时,可以访问硬盘驱动器上的个人数据。 在这种情况下,应该仅在你确信配置的设备位于安全的物理位置时,才运行自动重启和登录。
如果禁用或不配置此设置,则自动登录的默认行为是“如果 BitLocker 已打开且未暂停,则启用”。
注册表编辑器
| 值名称 | 类型 | 数据 |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0(如果安全则启用 ARSO) |
| 1(始终启用 ARSO) |
策略注册表位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
类型:DWORD
疑难解答
当 Winlogon 执行登录时,WinLogon 的状态跟踪将存储在 WinLogon 事件日志中。 在事件查看器中检查“应用程序和服务日志”>“Microsoft”>“Windows”>“Winlogon”>“Operational”,确认是否有以下 Winlogon 事件:
| 事件 ID | 事件描述 | 事件源 |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
ARSO 配置尝试的状态将存储在 LSA 事件日志中。 在事件查看器中检查“应用程序和服务日志”>“Microsoft”>“Windows”>“LSA”>“Operational”,确认是否有以下 LSA 事件:
| 事件 ID | 事件描述 | 事件源 |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
自动登录失败的原因
有多种情况会导致无法实现用户自动登录。 本部分旨在汇总可能发生这种情况的已知场景。
用户在下次登录时必须更改密码
如果需要在下次登录时更改密码,则用户登录可以进入阻止状态。 在大多数情况下,此状态可以在重启之前检测到,但并非总能检测到(例如,在关机之后、下一次登录之前,密码可能已过期)。
用户帐户已禁用
即使禁用了用户帐户,也可以保留现有的用户会话。 在大多数情况下,可以提前在本地检测到禁用了帐户的重启,但根据组策略,这一点可能不适用于域帐户(即使在 DC 上禁用了帐户,某些域缓存登录方案也能正常工作)。
登录小时数和家长控制
登录小时数和家长控制可以禁止创建新的用户会话。 如果在此时限内发生重启,则不允许用户登录。 策略还会导致作为合规性操作锁定或注销。 记录自动登录配置尝试的状态。
安全性详细信息
在设备物理安全性是一个忧虑因素的环境中(例如,设备可能会失盗),Microsoft 不建议使用 ARSO。 ARSO 依赖于平台固件和 TPM 的完整性,拥有物理访问权限的攻击者可能会入侵这些组件,从而访问存储在已启用 ARSO 的磁盘上的凭据。
在数据保护 API (DPAPI) 保护的用户数据安全性是一个忧虑因素的企业环境中,Microsoft 不建议使用 ARSO。 ARSO 会对受 DPAPI 保护的用户数据产生负面影响,因为解密不需要用户凭据。 企业在使用 ARSO 之前,应测试它对 DPAPI 保护的用户数据安全性的影响。
存储的凭据
| 密码哈希 | 凭据密钥 | 票证授予票证 | 主刷新令牌 |
|---|---|---|---|
| 本地帐户 - 是 | 本地帐户 - 是 | 本地帐户 - 否 | 本地帐户 - 否 |
| MSA 帐户 - 是 | MSA 帐户 - 是 | MSA 帐户 - 否 | MSA 帐户 - 否 |
| 已加入 Microsoft Entra 的帐户 – 是 | 已加入 Microsoft Entra 的帐户 – 是 | 已加入 Microsoft Entra 的帐户 – 是(如果混合) | 已加入 Microsoft Entra 的帐户 – 是 |
| 已加入域的帐户 - 是 | 已加入域的帐户 - 是 | 已加入域的帐户 - 是 | 已加入域的帐户 - 是(如果为混合) |
Credential Guard 交互
从 Windows 10 版本 2004 开始,支持在设备上启用 Credential Guard 的情况下使用 ARSO。
其他资源
自动登录功能已在多个版本的 Windows 中提供。 它是一项有文档说明的 Windows 功能,甚至还有相关的工具,例如 Windows 自动登录:http:/technet.microsoft.com/sysinternals/bb963905.aspx。 单个设备用户可以使用此功能自动登录,而无需输入凭据。 凭据在经配置后作为加密的 LSA 机密存储在注册表中。 在许多儿童看护案例中,这可能会造成问题,因为在就寝时间可能发生帐户锁定,尤其是维护工作通常就发生在这段时间。