Блокировка экрана компьютера при бездействии через GPO
02.11.2023
itpro
Active Directory, Windows 10, Windows 11, Windows Server 2019, Групповые политики
комментария 24
Общепринятые практики информационной безопасности требуют обязательной блокировки экрана компьютера при неактивности пользователя. Пользователь Windows может самостоятельно заблокировать экран компьютера (сочетанием клавиш Win+L). Но лучше внедрить групповую политику, которая обеспечит автоматическую блокировку экрана при бездействии на всех компьютерах домена.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Включить блокировка компьютера при неактивности с помощью групповой политики
На уровне безопасности компьютера можно включить политику, которая требует от любого пользователя повторно выполнить аутентификацию (ввести пароль) после заданного периода неактивности.
-
- Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с компьютерами на которых вы хотите применить политику блокировки);
- Перейдите в раздел Computer Configuration -> Policies-> Windows Settings -> Security Settings -> Local Policies -> Security Options;
- В параметре Interactivelogon:Machineinactivitylimit задайте через сколько секунд неактивности нужно заблокировать компьютер. Например, чтобы блокировать компьютер через 5 минут, задайте здесь 300;
- Для применения новых настроек групповых политик нужно перезагрузить компьютеры. Теперь ваши компьютеры будут автоматически блокироваться после неактивности, отключения дисплея (задается в настройках электропитания, или при запуске скринсейвера).
Эта GPO изменяет значение параметра реестра InactivityTimeoutSecs в ветке HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System. Если значение этого параметра – 0, значит рабочий стол компьютера не будет блокироваться.
С помощью GPO Security Filtering вы можете задать список компьютеров, на которые не применяется политика блокировки экрана.
- Создайте в AD группу безопасности NoLockComputers и добавьте в нее учетные записи компьютеров, которые не должны блокироваться;
- В консоли GPMC выберите вашу политику, перейдите на вкладку Delegation и нажмите кнопку Advanced;
- Добавьте группу безопасности, которую вы создали, и задайте для нее Deny в поле Applygrouppolicy;
- Теперь экраны компьютеров в этой группе не будет блокироваться автоматически.
Групповая политика с настройками скринсейвера для блокировки экрана пользователя
С помощью параметров скринсейвера Windows можно также внедрить политику автоматической блокировки экрана у пользователей. Такую политику можно применить на пользователей (а не на компьютеры).
- Создайте GPO и назначьте ее на OU с учетными записями пользователей;
- Отредактируйте политику и перейдите в User Configuration ->Policies ->Administrative Templates ->Control Panel ->Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
- В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
- Дождитесь обновления настроек групповых политик на клиентах или обновите их вручную командой ( gpupdate /force ).
- После этого настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя будет автоматически блокироваться после 5 минут неактивности и запускаться пустая экранная заставка. Настройки блокировки будут применяться как к консольным сессиям пользователей, так и к RDP сеансам на RDS серверах.
Чтобы разблокировать компьютер, пользователю нужно нажать Ctrl+Alt+End, щелкнуть по экрану или нажать любую клавишу (в зависимости от версии Windows) и ввести пароль.
Если вам нужно настроить разные параметры блокировки экрана для разные групп пользователей, можно использовать GPO Security Filtering (как указано выше), или внедрять параметры блокировки через реестр. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда
Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:
- Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
- Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
- Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.
Вы можете с помощью GPO распространить нужные значения параметров реестра на разные группы пользователей.
Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).
Также придется создать еще 4 параметра реестра со значениями REG_SZ 0, которые принудительно отключают блокировку экрана для группы SPB-not-lock-desktop (иначе, политики не будут перезатирать установленные ранее значения).
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Предыдущая статья Следующая статья
Внезапная блокировка Windows 10 и отключение компьютера
Принесли нам на ремонт компьютер с необычным дефектом. Спустя минуту (или около того) работы Windows — резко появляется надпись “Блокировка” на синем фоне и компьютер выключается. Точнее не выключается, а уходит в гибернацию.
Компьютер был Acer E5-573, но проблема может повторится и на другом ноутбуке. На стационарных ПК такой проблемы нет. Беглая диагностика показала что корень проблемы — неисправная батарея. В нашем компьютере она встроена в корпус и его пришлось разобрать. Достаточно отключить или заменить батарею на новую и проблема будет решена. Неисправный контроллер батареи постоянно указывает компьютеру что батарея снята, потом что установлена, потом что 0 процентов заряда, в итоге микросхема которая определяет всю эту чипуху (микроконтроллер) на короткий промежуток времени указывает что батарея полностью разряжена, а блок питания не подключен (ну глюк, да) и система Windows согласна плану электропитания резко переводит систему в режим гибернации.
Автоматическое Windows компьютере, если вы отойти от него
Windows устройства, сопряженные с компьютером, помогают определить, когда вас нет на компьютере, а затем заблокировать компьютер вскоре после того, как сопряженное устройство находится вне Bluetooth диапазона. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.
Чтобы настроить такое поведение, выполните следующие действия.
- Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте, как с помощью Bluetooth
- На компьютере Windows 11 выберите Начните >Параметры >учетных записей >параметры вход.
- Выберите Динамическая блокировка, а затем Windows разрешить автоматически заблокировать устройство, когда вас нет на компьютере.
- Если вы отходите от компьютера и берете с собой телефон, компьютер автоматически блокируется в течение примерно одной минуты после того, как вы покидаете зону действия Bluetooth. (Обратите внимание: зона действия Bluetooth зависит от устройства.)
Чтобы настроить такое поведение, выполните следующие действия.
- Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте, как с помощью Bluetooth
- На компьютере с Windows 10 нажмите кнопку Пуск и выберите Параметры >Учетные записи >Параметры входа.
- В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство, когда вас нет рядом.
- Если вы отходите от компьютера и берете с собой телефон, компьютер автоматически блокируется в течение примерно одной минуты после того, как вы покидаете зону действия Bluetooth. (Обратите внимание: зона действия Bluetooth зависит от устройства.)
Как включить функцию автоматической блокировки компьютера на Windows 10
В операционной системе Windows 10 есть масса полезных опций, среди которых предусмотрены как базовые функции, предназначенные для большинства пользователей, так и достаточно специфические. Одной из таких функций является возможность автоматической блокировки компьютера.
Обновлено: 2023-05-30 20:39:32 ДП Дарья Полонская автор материала
Назначение автоматической блокировки
Для защиты данных пользователя операционная система Windows 10 предусматривает возможность блокировки компьютера с помощью клавиатурной комбинации Win + L без необходимости выключать ПК или выходить из учетной записи. При этом получить доступ к операционной системе можно будет только после ввода пароля пользователя, при условии, что он был предварительно установлен.
Также можно активировать блокировку учетной записи при помощи специального ярлыка, в котором будет прописана соответствующая команда.
В обоих этих случаях для активации блокировки необходимо предпринять определенные действия. Однако для удобства можно настроить автоматическое включение блокировки Windows 10 по истечении определенного времени. Функция очень полезная, но в случае регулярных отлучений от рабочего места лучше всего использовать ручной метод.
Автоматическая блокировка подойдет тем, кто делает запланированные перерывы на более или менее точное время. После последнего действия пользователя пройдет некоторое время, и операционная система Windows 10 самостоятельно заблокирует доступ к учетной записи.
Включение автоматической блокировки компьютера на Windows 10
Включить функцию автоматической блокировки компьютера на Windows 10 можно двумя различными способами. Каждый из них стоит разобрать более подробно.
Через локальную политику безопасности
Утилита под названием «Локальная политика безопасности» предоставляется пользователям операционных систем Windows 10 Pro, Enterprise и Education. В данном случае необходимая процедура включает в себя выполнение следующих действий:
- Открыть окно «Выполнить» с помощью клавиатурной комбинации Win+R.
- В появившееся окно вписать команду secpol.msc и нажать Enter.
- После этого откроется утилита « Локальная политика безопасности », в которой нужно перейти в раздел Локальные политики – Параметры безопасности .
Через редактор реестра
Эта методика более универсальна, так как подходит для всех пользователей Windows 10 независимо от редакции операционной системы.
- Открыть окно «Выполнить» с помощью клавиатурной комбинации Win+R.
- Ввести команду regedit и нажать Enter.
- Пройти по пути HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System.
После этого операционная система Windows 10 будет автоматически блокироваться в том случае, если с момента последнего действия пользователя прошло указанное количество секунд. Отключить данную опцию можно удалением созданного параметра или выставлением значения «0» в соответствующем окне.
Методики, описанные в этой статье, позволят быстро включить опцию автоматической блокировки компьютера и защитить личные файлы от любопытных глаз. Выбор наиболее подходящего способа зависит от используемой редакции операционной системы Windows 10 и предпочтений каждого конкретного пользователя.