Interactive logon: Do not require CTRL+ALT+DEL
Describes the best practices, location, values, and security considerations for the Interactive logon: Do not require CTRL+ALT+DEL security policy setting.
Reference
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can sign in.
If this policy setting is enabled on a device, a user isn’t required to press CTRL+ALT+DEL to sign in.
If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to the Windows operating system (unless they’re using a smart card for signing in).
Microsoft developed this feature to make it easier for users with certain types of physical impairments to sign in to a device running the Windows operating system; however, not having to press the CTRL+ALT+DELETE key combination leaves users susceptible to attacks that attempt to intercept their passwords. Requiring CTRL+ALT+DELETE before users sign in ensures that users are communicating through a trusted path when entering their passwords.
A malicious user might install malware that looks like the standard sign-in dialog box for the Windows operating system, and capture a user’s password. The attacker can then sign in to the compromised account with whatever level of user rights that user has.
When the policy is defined, registry value DisableCAD located in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System is created. To revert the changes made by this policy, it is not enough to set its value to Not defined, this registry value needs to be removed as well.
Possible values
- Enabled
- Disabled
- Not defined
Best practices
- We recommend that you set Disable CTRL+ALT+DEL requirement for logon to Not configured.
Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Default values
The following table lists the actual and effective default values for this policy. Default values are also listed on the policy’s property page.
| Server type or GPO | Default value |
|---|---|
| Default Domain Policy | Not defined |
| Default Domain Controller Policy | Not defined |
| Stand-Alone Server Default Settings | Disabled |
| DC Effective Default Settings | Disabled |
| Member Server Effective Default Settings | Disabled |
| Client Computer Effective Default Settings | Disabled |
Policy management
This section describes features and tools that are available to help you manage this policy.
Restart requirement
None. Changes to this policy become effective without a device restart when they’re saved locally or distributed through Group Policy.
Policy conflict considerations
Beginning with Windows Server 2008 and Windows Vista, the CTRL+ALT+DELETE key combination is required to authenticate if this policy is disabled.
Group Policy
This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). If this policy isn’t contained in a distributed GPO, this policy can be configured on the local computer by using the Local Security Policy snap-in.
Security considerations
This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Vulnerability
This setting makes it easier for users with certain types of physical impairments to sign in to devices that run the Windows operating system. However, if users aren’t required to press CTRL+ALT+DEL, they’re susceptible to attacks that attempt to intercept their passwords. If CTRL+ALT+DEL is required before signing in, user passwords are communicated through a trusted path.
If this setting is enabled, an attacker could install malware that looks like the standard sign-in dialog box in the Windows operating system, and capture the user’s password. The attacker would then be able to sign in to the compromised account with whatever level of privilege that user has.
Countermeasure
Disable the Interactive logon: Do not require CTRL+ALT+DEL setting.
Potential impact
Unless they use a smart card to sign in, users must simultaneously press the three keys before the sign-in dialog box is displayed.
Related topics
Билл Гейтс покаялся в существовании Ctrl-Alt-Delete
Билл Гейтс признал сочетание клавиш Ctrl-Alt-Delete неудобным для нажатия и сообщил, что если бы мог вернуться назад в прошлое, то только эту деталь и исправил бы, назначив на эту же функцию одну кнопку. Он по-прежнему возлагает вину за сложность комбинации на инженеров IBM.
Проблема Ctrl-Alt-Delete
Основатель компании Microsoft Билл Гейтс (Bill Gates) сообщил общественности, что если бы у него была возможность вернуться назад во времени и изменить какое-то из принятых решений, он бы изменил комбинацию Ctrl-Alt-Delete.
В операционных системах Microsoft эта комбинация является аварийной мерой. В DOS и ранних Windows она приводила к перезагрузке, а потом начала запускать диспетчер задач, c помощью которого пользователь может принудительно закрыть «зависшую» программу или завершить неугодный ему процесс.
Комбинация Ctrl-Alt-Delete не работает в операционных системах компьютеров Apple. В отдельных дистрибутивах Linux одновременное нажатие этих трех клавиш вызывает окно диспетчера задач. В Windows 10 с помощью этой комбинации можно на выбор заблокировать компьютер, сменить пользователя, выйти из системы, изменить пароль или вызвать диспетчер задач.
Позиция Гейтса
На бизнес-форуме Bloomberg в Нью-Йорке Гейтс побеседовал на эту тему с основателем Carlyle Group Дэвидим Рубинштейном (David Rubenstein), который спросил у него, зачем была придумана комбинация, требующая трех пальцев. Как и несколько лет назад, Гейтс возложил ответственность за неудобства Ctrl-Alt-Delete на инженеров IBM, которые некогда отвечали за разработку клавиатуры первых компьютеров на Windows.
«На аппаратной клавиатуре IBM PC должен был быть только один способ добиться гарантированного прерывания сеанса. Так что люди, принимавшие в этом участие, должны были назначить другую клавишу, чтобы это работало. На множестве машин сегодня то же самое можно сделать более очевидным путем», — отметил Гейтс.
Основатель Microsoft Билл Гейтс сожалеет о Ctrl-Alt-Del
Рубинштейн начал развивать тему и спросил, сожалеет ли Гейтс, что все так вышло. Гейтс ушел от прямого ответа, но признал, что сейчас поступил бы по-другому.
«Ну, я не думаю, что можно вернуться назад в жизни и изменить какие-то мелочи, не подвергая риску другие вещи. Конечно, если бы я мог внести одну маленькую правку, я сделал бы это однокнопочной операцией», — заметил он.
Предыдущее признание
Гейтс не первый год винит IBM в том, что Ctrl-Alt-Delete пользователям приходится нажимать тремя пальцами. Речь об этом зашла еще в 2013 г. во время интервью для кампании Гарварда по сбору средств.
Дмитрий Курашев, UserGate: Рынок безопасности корпоративных сетей переходит на российское ПО
Импортонезависимость
«Это была ошибка, — признал Гейтс под смех аудитории. — У нас могла бы быть одна кнопка, но парень, который занимался дизайном клавиатуры IBM, на захотел дать нам одну кнопку».
Под «парнем» Гейтс подразумевает Дэвида Брэдли (David Bradley), работавшего над компьютером IBM PC, который, собственно, и изобрел знаменитую комбинацию. «Может, я и изобрел ее, но Билл сделал ее известной», — сообщал до этого сам Брэдли в интервью.
Как активировать «Shift+Ctrl+Alt+Del» — режим быстрой перезагрузки системы (пошаговый алгоритм)
Каждый уважающий себя «юзер» должен уметь использовать комбинацию клавиш «Shift+Ctrl+Alt+Del»: эта комбинация служит для быстрой перезагрузки компьютера (От автора: о том, что кнопкой «Reset» пользоваться крайне нежелательно — я уже упоминал в одной из статей.
В отличие от «Reset» — комбинация «Shift+Ctrl+Alt+Del» не несет в себе вредных факторов для системы). Но такая «горячая» комбинация включена не на всех компьютерах и именно поэтому я решил посвятить этой теме статью. На этом увертюра окончена и переходим к главному: к пошаговой инструкции активации функции «Shift+Ctrl+Alt+Del».
Итак, как обычно, выполняем вход в «Редактор реестра»: «Пуск» — «выполнить». В командную строку прописываем команду regedit и кликаем на «Ок». В «Редакторе реестра» вы видите список «веток», которые начинаются с HKEY_. Нам необходимо пройти по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (для полных «чайников»: находите HKEY_LOCAL_MACHINE и кликаете на маленький крестик возле этой ветки: откроется раскладка, в которой ищете следующую папку-адрес, то есть — SOFTWARE, кликаете на крестик рядом с ней, далее — Microsoft, потом Windows NT — CurrentVersion — Winlogon).
Добрались до нужного раздела? Отлично: теперь поднимите глаза и отыщите в верхнем левом углу слово «Правка» (там есть пять окон: «Файл», «Правка», «Вид», «избранное» и «Справка»).
Нажимаем на окно «Правка» ЛЕВОЙ кнопкой мышки, выпадет меню, в котором выбираем строчку «Создать» и «Строковый параметр». Кликаем на «Строковый параметр» и вписываем новое имя записи EnableQuickReboot. Затем, ДВА раза кликаем ЛЕВОЙ кнопкой мышки на этом имени и в открывшемся окошке меняем значение «ноль» на значение «один» (0 меняем на 1). Кликаем «Ок» и закрываем «Редактор реестра». Чтобы функция вступила в права необходимо перезагрузить систему («Пуск» — «Выключение» — «Перезагрузить»).
Всё: теперь комбинация клавиш «Shift+Ctrl+Alt+Del» работает, с чем вас и поздравляю! Сообщение об активации данной функции будет отображено в Системном Журнале событий: сообщение можно быстро отыскать с помощью оснастки «Просмотра событий» (англ. — Event Viewer) и выглядит оно так: Event ID – 6008 The previous system shutdown at on was unexpected.
Всего вам доброго и до новых встреч!
- Как открыть папку, если при её открытии вам отказано в доступе (пошаговый алгоритм)
- Аварийное завершение работы ПК — вызываем «Синий экран смерти» самостоятельно (для чего это надо или выход из ситуации, когда бессильна комбинация «Ctrl+Alt+Del»: очень полезная информация)
Клавиши CTRL и ALT в сеансе службы терминалов застрять при снятии блокировки локального компьютера
В этом случае сеанс служб терминалов ведет себя, как при нажатии клавиши CTRL и ALT.
Например после возвращения к сеансу служб терминалов, клавишу DELETE при работе. В этом примере сеанса служб терминалов предполагает, что просто быть нажаты клавиши CTRL + ALT + DELETE.
Примечание. Эта проблема возникает, если выполняются следующие условия при блокировке компьютера:
- Локальной сети отключили и подключили.
- Требуется переподключение сеанса служб терминалов.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Чтобы применить это исправление, необходимо использовать одну из следующих операционных систем:
- Пакет обновления 1 (SP1) для Windows Vista
- Windows Vista с пакетом обновления 2 (SP2)
- Windows Server 2008
- Windows Server 2008 с пакетом обновления 2 (SP2)
Дополнительные сведения о получении пакета обновления Windows XP щелкните следующий номер статьи базы знаний Майкрософт:
Как получить последний пакет обновления Windows XP 322389
Чтобы получить дополнительные сведения о получении пакета обновления для Windows Vista, щелкните следующий номер статьи базы знаний Майкрософт:
935791 как получить последний пакет обновления для Windows Vista
Дополнительные сведения о том, как получить пакет обновления для Windows Server 2008, щелкните следующий номер статьи базы знаний Майкрософт:
Как получить последний пакет обновления для Windows Server 2008 968849
Необходимость перезагрузки
Не требуется перезагружать компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows XP
- Кроме файлов, указанных в приведенных ниже таблицах данное исправление также устанавливает соответствующий файл каталога безопасности (KBномер.cat), подписанный цифровой подписью корпорации Майкрософт.
Примечания к сведениям о файле Windows Vista и Windows Server 2008
Важно. Исправления для Windows Server 2008 и Windows Vista исправления включены в те же пакеты. Однако только «Windows Vista» отображается на странице запрос исправления. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows Vista» на странице. Всегда смотрите раздел «Информация в данной статье относится к следующим продуктам» статьи для определения фактических операционных систем, к которым применяется каждое исправление.
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице.
| Версия | Продукт | SR_Level | Направление поддержки |
|---|---|---|---|
| 6.0.600 0. 20 xxx |
Windows Vista | RTM | LDR |
| 6.0.600 1. 22 xxx |
Windows Vista и Windows Server 2008 | SP1 | LDR |
| 6.0.600 2. 22 xxx |
Windows Vista и Windows Server 2008 | SP2 | LDR |