Winlogon 自動重新啟動登入 (ARSO)
在 Windows Update 期間,必須進行使用者特定處理程序才能完成更新。 使用者必須登入其裝置以執行這些處理程序。 使用者在啟動更新後首次登入時,必須等到這些使用者特定處理程序完成,才能開始使用其裝置。
如何運作?
Windows Update 啟動自動重新開機時,ARSO 會擷取目前登入之使用者的衍生認證並將其儲存至磁碟,然後為使用者設定 Autologon。 以具有 TCB 權限的系統身分執行的 Windows Update 會起始遠端程序呼叫。
最後一次 Windows Update 重新開機之後,使用者將自動透過 Autologon 機制登入,而使用者工作階段將透過保存的密鑰解除凍結。 此外,裝置已鎖定以保護使用者工作階段。 鎖定是透過 Winlogon 起始,而認證管理則由本機安全性授權 (LSA) 執行。 成功進行 ARSO 設定並登入後,已儲存的認證會立即從磁碟中刪除。
藉由在主控台上自動登入和鎖定使用者,Windows Update 可在使用者返回裝置之前完成使用者特定處理程序。 如此一來,使用者便可立即開始使用其裝置。
ARSO 會以不同方式處理未受管理和受管理的裝置。 未受管理的裝置會使用裝置加密機制,但使用者未加密其裝置也可取得 ARSO。 對於受管理的裝置,ARSO 設定需要 TPM 2.0、SecureBoot 和 BitLocker。 IT 系統管理員可以透過群組原則覆寫這項要求。 受控裝置適用的 ARSO 目前僅適用於已加入 Microsoft Entra ID 的裝置。
| Windows Update | shutdown -g -t 0 | 使用者起始的重新開機 | 具有 SHUTDOWN_ARSO / EWX_ARSO 旗標的 API |
|---|---|---|---|
| 受管理的裝置 - 是 未受管理的裝置 - 是 |
受管理的裝置 - 是 未受管理的裝置 - 是 |
受管理的裝置 - 否 未受管理的裝置 - 是 |
受管理的裝置 - 是 未受管理的裝置 - 是 |
注意
Windows Update 引發重新開機之後,系統會自動登入上一個互動使用者,並將工作階段鎖定。 這讓使用者的鎖定畫面應用程式在 Windows Update 重新開機後仍可繼續執行。
原則 #1
在重新啟動後自動登入並鎖定上一個互動使用者
在 Windows 10 中,系統會停用伺服器 SKU 的 ARSO,並為用戶端 SKU 退出 ARSO。
群組原則位置: 電腦設定 > 系統管理範本 > Windows 元件 > Windows 登入選項
Intune 原則:
- 平台:Windows 10 和更新版本
- 設定檔類型:系統管理範本
- 路徑:\Windows 元件\Windows 登入選項
支援版本:最低 Windows 10 版本 1903
描述:
此原則設定可控制裝置是否會在系統重新啟動或關機和冷開機之後,自動登入並鎖定上一個互動使用者。
唯有上一個互動使用者未在重新啟動或關機前登出,才會發生這種情況。
如果裝置已加入 Active Directory 或 Microsoft Entra ID,則此原則僅適用於 Windows Update 重新啟動。 如非上述情況,則此原則不僅適用於 Windows Update 重新啟動,也適用於使用者起始的重新啟動和關機。
如果您未配置此原則設定,系統會依預設加以啟用。 原則已啟用時,使用者會自動登入。 此外,在裝置開機後,系統會使用所有已設定的鎖定畫面應用程式來鎖定該使用者的工作階段。
啟用此原則之後,您可以透過 ConfigAutomaticRestartSignOn 原則配置其設定。 它會將模式設為自動登入,並在重新啟動或冷開機後鎖定上一個互動使用者。
若您將此原則設定停用,裝置就不會設定自動登入。 系統重新啟動後,使用者的鎖定畫面應用程式不會重新啟動。
登錄編輯程式:
| 值名稱 | 類型 | 資料 |
|---|---|---|
| DisableAutomaticRestartSignOn | 下載 | 0 (啟用 ARSO) |
| 1 (停用 ARSO) |
原則登錄位置: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
類型: DWORD
原則 #2
設定在重新啟動或冷開機後,自動登入和鎖定上一個互動使用者的模式
群組原則位置: 電腦設定 > 系統管理範本 > Windows 元件 > Windows 登入選項
Intune 原則:
- 平台:Windows 10 和更新版本
- 設定檔類型:系統管理範本
- 路徑:\Windows 元件\Windows 登入選項
支援版本:最低 Windows 10 版本 1903
描述:
此原則設定可控制在重新啟動或冷開機之後,執行自動重新啟動及登入和鎖定所用的設定配置。 如果您於 [在重新啟動後自動登入並鎖定上一個互動使用者] 原則中選擇 [停用],則系統不會執行自動登入,此原則也無須設定。
若您啟用了這個設定,可以從以下兩個選項中擇一使用:
- 「BitLocker 已開啟且未暫停時啟用」:僅當 BitLocker 在重新開機或關機期間為作用中且非暫停狀態,系統才會執行自動登入和鎖定。 如果 BitLocker 在更新期間未開啟或已暫停,此時可在裝置硬碟上存取個人資料。 BitLocker 暫停會暫時解除系統元件和資料的保護機制,但在某些情況下,可能需要予以暫停才能成功更新開機關鍵元件。
- 如有以下情況,BitLocker 會在更新期間暫停:
- 裝置沒有 TPM 2.0 和PCR7,或者
- 裝置未使用僅限 TPM 的保護機制
- 如有以下情況,BitLocker 會在更新期間暫停:
- 「一律啟用」:即使 BitLocker 在重新開機或關機期間已關閉或暫停,系統仍會執行自動登入。 未啟用 BitLocker 時,可在硬碟上存取個人資料。 只有當您確信已設定的裝置位於安全實體位置時,才應執行自動重新啟動和登入。
如果您停用或未配置此設定,則自動登入的預設行為是 [BitLocker 已開啟且未暫停時啟用]。
登錄編輯程式
| 值名稱 | 類型 | 資料 |
|---|---|---|
| AutomaticRestartSignOnConfig | 下載 | 0 (安全時啟用 ARSO) |
| 1 (一律啟用 ARSO) |
原則登錄位置: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
類型: DWORD
疑難排解
當 Winlogon 執行登入時,Winlogon 的狀態追蹤會儲存在 Winlogon 事件記錄中。 在 [事件檢視器] 中查看 [應用程式及服務記錄檔] > [Microsoft] > [Windows] > [Winlogon] > [Operational],以了解下列 Winlogon 事件:
| 事件識別碼 | 事件描述 | 事件來源 |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
ARSO 設定嘗試的狀態會儲存在 LSA 事件記錄中。 在 [事件檢視器] 中查看 [應用程式及服務記錄檔] > [Microsoft] > [Windows] > [LSA] > [Operational],以了解下列 LSA 事件:
| 事件識別碼 | 事件描述 | 事件來源 |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Autologon 可能失敗的原因
在諸多情況下,系統無法執行使用者自動登入。 本節旨在節錄可能發生此情況的已知案例。
使用者必須在下次登入時變更密碼
若下次登入時需要變更密碼,使用者登入作業可能會進入封鎖狀態。 大部分情況下,重新啟動之前可以偵測到這一點,但並非每次皆如此(例如,密碼在關機後到下次登入前到期)。
使用者帳戶已停用
即使使用者帳戶已停用,仍可維護現有的使用者工作階段。 大部分情況下,可預先在本機偵測到已停用帳戶的重新啟動作業,然而依 gp 而定,此功能可能不適用於網域帳戶(即使已在 DC 上停用帳戶,某些網域快取登入案例仍可正常運作)。
登入時數與家長監護
登入時數與家長監護可以禁止建立新的使用者工作階段。 如果在此期間發生重新啟動,則不允許使用者登入。 這項原則也會將鎖定或登出列為合規動作。 系統會記錄 Autologon 設定嘗試的狀態。
安全性詳細資料
在裝置實體安全有疑慮的環境(例如裝置可能遭竊),Microsoft 不建議使用 ARSO。 ARSO 仰賴平台韌體和 TPM 的完整性,而具有實體存取權的攻擊者或許能夠入侵這些裝置,進而存取已啟用 ARSO 且儲存在磁碟上的認證。
在企業環境中,若其使用者資料受資料保護 API (DPAPI) 保護且有安全疑慮,則 Microsoft 不建議使用 ARSO。 ARSO 在解密時不需要使用者認證,因此會對 DPAPI 保護的使用者資料造成負面影響。 企業在使用 ARSO 之前,應先測試其對 DPAPI 保護的使用者資料所產生的安全性影響。
儲存的認證
| 密碼雜湊 | 認證金鑰 | 票證授權票證 | 主要重新整理權杖 |
|---|---|---|---|
| 本機帳戶 - 是 | 本機帳戶 - 是 | 本機帳戶 - 否 | 本機帳戶 - 否 |
| MSA 帳戶 - 是 | MSA 帳戶 - 是 | MSA 帳戶 - 否 | MSA 帳戶 - 否 |
| 已加入 Microsoft Entra 的帳戶 - 是 | 已加入 Microsoft Entra 的帳戶 - 是 | 已加入 Microsoft Entra 的帳戶 - 是 (若為混合式) | 已加入 Microsoft Entra 的帳戶 - 是 |
| 已加入網域的帳戶 - 是 | 已加入網域的帳戶 - 是 | 已加入網域的帳戶 - 是 | 已加入網域的帳戶 - 是 (如為混合式) |
Credential Guard 互動
從 Windows 10 版本 2004 開始,在裝置上啟用的 Credential Guard 機制支援 ARSO。
其他資源
Autologon 是 Windows 多個版本皆有的功能。 其為 Windows 的記載功能,甚至有 Autologon for Windows 等工具 (http:/technet.microsoft.com/sysinternals/bb963905.aspx)。 它可讓裝置的單一使用者無須輸入認證即可自動登入。 系統會將認證設定並儲存在登錄中,作為加密的 LSA 密鑰。 就許多兒童使用案例來說,這可能會出現問題,因為從就寢到起床的這段時間,帳戶可能是鎖定狀態,倘若維護時段通常與該段期間重疊,問題更是明顯。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應