ARSO (Logon de Reinicialização Automática) de Winlogon

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Autor: Justin Turner, engenheiro sênior de escalonamento de suporte com o grupo Windows

Observação

Este documento foi criado por um engenheiro de atendimento ao cliente da Microsoft e é destinado a administradores e arquitetos de sistemas experientes que procuram explicações técnicas mais profundas para recursos e soluções no Windows Server 2012 R2 do que aquelas geralmente oferecidas em tópicos do TechNet. No entanto, ele não passou pelas mesmas etapas de edição que eles, por isso a linguagem pode parecer que menos refinada do que a geralmente encontrada no TechNet.

Visão geral

O Windows 8 introduziu aplicativos de tela de bloqueio. Trata-se dos aplicativos que executam e exibem notificações enquanto a sessão do usuário está bloqueada (compromissos de calendário, email e mensagens etc.). Os dispositivos que são reiniciados devido ao processo do Windows Update falham ao exibir essas notificações de tela de bloqueio após a reinicialização. Alguns usuários dependem desses aplicativos de tela de bloqueio.

O que mudou?

Quando um usuário entra em um dispositivo Windows 8.1, a LSA salvará as credenciais do usuário na memória criptografada acessível somente por lsass.exe. Quando Windows Update inicia uma reinicialização automática sem a presença do usuário, essas credenciais serão usadas para configurar o logon automático para o usuário. O Windows Update em execução como sistema com privilégio TCB iniciará a chamada RPC para fazer isso.

Na reinicialização, o usuário será conectado automaticamente por meio do mecanismo de logon automático e em seguida bloqueado adicionalmente para proteger a sessão do usuário. O bloqueio será iniciado por meio do Winlogon, enquanto o gerenciamento de credenciais é feito pela LSA. Ao entrar e bloquear automaticamente o usuário no console, os aplicativos de tela de bloqueio do usuário serão reiniciados e disponibilizados.

Observação

Após uma reinicialização induzida do Windows Update, o último usuário interativo será conectado automaticamente e a sessão será bloqueada para que os aplicativos de tela de bloqueio do usuário possam ser executados.

Screenshot showing the lock screen

Screenshot showing the lock screen apps

Visão geral rápida

  • O Windows Update requer reinicialização

  • O computador é capaz de reiniciar (nenhum aplicativo em execução que perderia dados)?

    • Reiniciar para você

    • Fazer logon novamente

    • Bloquear computador

  • Habilitado ou desabilitado por Política de Grupo

    • Desabilitado por padrão em SKUs de servidor

  • Por quê?

    • Algumas atualizações não podem ser concluídas até que o usuário faça logon novamente.

    • Melhor experiência do usuário: não é necessário aguardar 15 minutos até a instalação das atualizações ser concluída

  • Como posso fazer isso? Logon automático

    • armazena senha, usa essa credencial para fazer logon

    • salva a credencial como um segredo LSA na memória paginada

    • Só poderá ser habilitado se o BitLocker estiver habilitado

Política de Grupo: conectar o último usuário interativo automaticamente após uma reinicialização iniciada pelo sistema

No Windows 8.1/Windows Server 2012 R2, o logon automático do usuário da tela de bloqueio após uma reinicialização de Windows Update é de aceitação para SKUs de servidor e de recusa para SKUs de cliente.

Local da política: Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > Opções de Logon do Windows

Nome da Política: conectar o último usuário interativo automaticamente após uma reinicialização iniciada pelo sistema

Com suporte em: no mínimo Windows Server 2012 R2, Windows 8.1 ou Windows RT 8.1

Descrição/Ajuda:

Essa configuração de política controla se um dispositivo vai entrar automaticamente no último usuário interativo depois que o Windows Update reiniciar o sistema.

Se você habilitar ou não definir essa configuração de política, o dispositivo salvará com segurança as credenciais do usuário (incluindo o nome de usuário, o domínio e a senha criptografada) para configurar a entrada automática após uma reinicialização Windows Update. Após a reinicialização do Windows Update, o usuário será conectado automaticamente e a sessão será bloqueada automaticamente com todos os aplicativos de tela de bloqueio configurados para esse usuário.

Se você desabilitar essa configuração de política, o dispositivo não armazenará as credenciais do usuário para entrada automática após uma reinicialização Windows Update. Os aplicativos de tela de bloqueio dos usuários não serão reiniciados após a reinicialização do sistema.

Editor do Registro

Nome do valor Tipo Dados
DisableAutomaticRestartSignOn DWORD 0

Exemplo:

0 (Habilitado)

1 (Desabilitado)

Local do Registro da Política: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Tipo: DWORD

Nome do Registro: DisableAutomaticRestartSignOn

Valor: 0 ou 1

0 = Habilitado

1 = Desabilitado

Screenshot showing policy setting controls UI where you can specify whether a device will automatically sign-in the last interactive user after Windows Update restarts the system

Solução de problemas

Quando o WinLogon for bloqueado automaticamente, o rastreamento de estado do WinLogon será armazenado no log de eventos do WinLogon.

O status de uma tentativa de configuração do logon automático é registrado

  • Se for bem-sucedido

    • registra-o como tal

  • Se for uma falha:

    • registra o que foi a falha

  • Quando o estado do BitLocker é alterado:

    • a remoção de credenciais será registrada

      • Elas serão armazenadas no log operacional da LSA.

Motivos pelos quais o logon automático pode falhar

Há vários casos em que um logon automático do usuário não pode ser realizado. Esta seção destina-se a capturar os cenários conhecidos nos quais isso pode ocorrer.

O usuário deve alterar a senha no próximo logon

O logon do usuário pode entrar em um estado bloqueado quando a alteração de senha no próximo logon é necessária. Isso pode ser detectado antes da reinicialização na maioria dos casos, mas nem todos (por exemplo, a validade da senha pode ser atingida entre o desligamento e o próximo logon).

Conta de usuário desabilitada

Uma sessão de usuário existente pode ser mantida mesmo se desabilitada. A reinicialização de uma conta desabilitada pode ser detectada localmente na maioria dos casos com antecedência, dependendo da GP, pode não se destinar às contas de domínio (alguns cenários de logon armazenados em cache de domínio funcionam mesmo se a conta estiver desabilitada no controlador de domínio).

Horários de logon e controles parentais

Os horários de logon e os controles parentais podem impedir a criação de uma nova sessão de usuário. Se uma reinicialização ocorresse durante essa janela, o usuário não teria permissão para fazer logon. Há uma política adicional que causa bloqueio ou logoff como uma ação de conformidade. Isso pode ser problemático para muitas ocorrências secundárias em que o bloqueio da conta pode ocorrer entre a hora de dormir e o despertar, especialmente se a janela de manutenção for normalmente durante esse tempo.

Recursos adicionais

Tabela SEQ Table \* ARABIC 3: ARSO Glossary

Termo Definição
Autologon Logon automático é um recurso que esteve presente em várias versões do Windows. É um recurso documentado do Windows que tem até ferramentas como o Autologon para Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx

Ele permite que um único usuário do dispositivo entre automaticamente sem inserir credenciais. As credenciais são configuradas e armazenadas no Registro como um segredo LSA criptografado.