Автоматический вход при перезапуске с помощью Winlogon (ARSO)

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Автор: Джастин Тернер, старший инженер по эскалации поддержки с группой Windows

Примечание.

Этот материал создан инженером службы поддержки клиентов Майкрософт и предназначен для опытных администраторов и архитекторов систем, которым нужны более глубокие технические сведения о функциях и решениях в Windows Server 2012 R2, а не обычная информация, доступная в статьях на сайте TechNet. Однако он не был отредактирован согласно требованиям сайта, поэтому некоторые формулировки могут быть не такими выверенными, как на станицах TechNet.

Обзор

Windows 8 представила приложения для экрана блокировки. Это приложения, которые выполняют и отображают уведомления, пока сеанс пользователя заблокирован (встречи календаря, электронная почта и сообщения и т. д.). Устройства, которые перезапускаются из-за Обновл. Windows процесса, не отображают эти уведомления экрана блокировки при перезапуске. Некоторые пользователи зависят от этих приложений экрана блокировки.

Что изменилось?

При входе пользователя на устройство Windows 8.1 LSA сохранит учетные данные пользователя в зашифрованной памяти, доступной только lsass.exe. Когда Обновл. Windows инициирует автоматическую перезагрузку без присутствия пользователя, эти учетные данные будут использоваться для настройки автологона для пользователя. Обновл. Windows запуска как системы с привилегиями TCB инициирует вызов RPC для этого.

При перезагрузке пользователь автоматически войдет в систему с помощью механизма автологона, а затем дополнительно заблокирован для защиты сеанса пользователя. Блокировка будет инициирована с помощью Winlogon, а управление учетными данными выполняется LSA. Автоматически войдите и заблокируя пользователя в консоли, приложения экрана блокировки пользователя будут перезапущены и доступны.

Примечание.

После Обновл. Windows индуцированной перезагрузки последний интерактивный пользователь автоматически войдет в систему и сеанс заблокирован, чтобы приложения экрана блокировки пользователя могли выполняться.

Screenshot showing the lock screen

Screenshot showing the lock screen apps

Краткий обзор

  • Обновл. Windows требуется перезапуск

  • Может ли компьютер перезапустить (не выполняющиеся приложения, которые потеряют данные)?

    • Перезапуск для вас

    • Войдите обратно в систему

    • Блокировка компьютера

  • Включена или отключена групповой политикой

    • Отключен по умолчанию в номерах SKU сервера

  • Почему?

    • Некоторые обновления не могут завершиться до тех пор, пока пользователь не войтится в систему.

    • Лучшее взаимодействие с пользователем: не нужно ждать 15 минут, чтобы обновления завершили установку

  • Как это сделать? AutoLogon

    • сохраняет пароль, использует эти учетные данные для входа в систему.

    • сохраняет учетные данные в виде секрета LSA в памяти страниц

    • Можно включить только в том случае, если BitLocker включен

Групповая политика: автоматический вход последнего интерактивного пользователя после перезапуска, инициированного системой

В Windows 8.1 / Windows Server 2012 R2 автоматический журнал пользователя экрана блокировки после Обновл. Windows перезапуска будет включен в номера SKU сервера и отказаться от номеров SKU клиента.

Расположение политики: политика конфигурации > компьютера Администратор istrative templates > Windows Components Windows Components >> Windows Logon Option

Имя политики: автоматический вход последнего интерактивного пользователя после перезапуска, инициированного системой

Поддерживается: По крайней мере Windows Server 2012 R2, Windows 8.1 или Windows RT 8.1

Описание и справка:

Этот параметр политики определяет, будет ли устройство автоматически выполнять вход последнего интерактивного пользователя после Обновл. Windows перезапуска системы.

Если этот параметр политики включен или не настроен, устройство безопасно сохраняет учетные данные пользователя (включая имя пользователя, домен и зашифрованный пароль), чтобы настроить автоматический вход после перезагрузки Обновл. Windows. После перезагрузки Обновл. Windows пользователь автоматически войдет в систему, и сеанс автоматически блокируется со всеми приложениями экрана блокировки, настроенными для этого пользователя.

Если этот параметр политики отключен, устройство не сохраняет учетные данные пользователя для автоматического входа после Обновл. Windows перезапуска. Приложения экрана блокировки пользователей не перезапускаются после перезагрузки системы.

Редактор реестра

Имя значения Тип Data
DisableAutomaticRestartSignOn DWORD 0

Пример:

0 (включено)

1 (отключено)

Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Тип: DWORD

Имя реестра: DisableAutomaticRestartSignOn

Значение: 0 или 1

0 = включено

1 = отключено

Screenshot showing policy setting controls UI where you can specify whether a device will automatically sign-in the last interactive user after Windows Update restarts the system

Устранение неполадок

При автоматической блокировке WinLogon трассировка состояния WinLogon будет храниться в журнале событий WinLogon.

Состояние попытки настройки автолога регистрируется

  • Если это успешно

    • записывает его как таковое

  • Если это сбой:

    • записывает сведения о том, что произошло сбоем

  • При изменении состояния BitLocker:

    • Удаление учетных данных будет зарегистрировано

      • Они будут храниться в журнале операций LSA.

Причины сбоя автолога

Существует несколько случаев, когда невозможно достичь автоматического входа пользователя. Этот раздел предназначен для отслеживания известных сценариев, в которых это может произойти.

Пользователь должен изменить пароль при следующем входе

Имя входа пользователя может ввести заблокированное состояние при изменении пароля при следующем входе. Это может быть обнаружено до перезапуска в большинстве случаев, но не все (например, срок действия пароля может быть достигнут между завершением работы и следующим именем входа.

Учетная запись пользователя отключена

Существующий сеанс пользователя можно поддерживать даже в том случае, если он отключен. Перезапуск учетной записи, которая отключена, можно обнаружить локально в большинстве случаев заранее, в зависимости от групповой политики она может не быть для учетных записей домена (некоторые сценарии входа в кэшированные домены работают, даже если учетная запись отключена на контроллере домена).

Часы входа и родительские элементы управления

Часы входа и родительские элементы управления могут запретить создание нового сеанса пользователя. Если во время этого окна произошла перезагрузка, пользователь не сможет войти в систему. Существует дополнительная политика, которая приводит к блокировке или выходу в качестве действия соответствия требованиям. Это может быть проблематично для многих случаев, когда блокировка учетной записи может происходить между временем сна и пробуждением, особенно если период обслуживания обычно находится в течение этого времени.

Дополнительные ресурсы

Таблица SEQ Table \* АРАБСКИЙ 3: ARSO Глоссарий

Термин Определение
Автологон Автологон — это функция, которая присутствует в Windows для нескольких выпусков. Это документированная функция Windows, которая даже имеет такие средства, как autologon для Windows версии 3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx

Он позволяет одному пользователю устройства автоматически входить без ввода учетных данных. Учетные данные настраиваются и хранятся в реестре в качестве зашифрованного секрета LSA.