Общепринятые практики информационной безопасности требуют обязательной блокировки экрана компьютера при неактивности пользователя. Пользователь Windows может самостоятельно заблокировать экран компьютера (сочетанием клавиш Win+L). Но лучше внедрить групповую политику, которая обеспечит автоматическую блокировку экрана при бездействии на всех компьютерах домена.
Включить блокировка компьютера при неактивности с помощью групповой политики
На уровне безопасности компьютера можно включить политику, которая требует от любого пользователя повторно выполнить аутентификацию (ввести пароль) после заданного периода неактивности.
- Откройте консоль управления доменными политиками Group Policy Management console (
gpmc.msc
), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с компьютерами на которых вы хотите применить политику блокировки); - Перейдите в раздел Computer Configuration -> Policies-> Windows Settings -> Security Settings -> Local Policies -> Security Options;
- В параметре Interactive logon: Machine inactivity limit задайте через сколько секунд неактивности нужно заблокировать компьютер. Например, чтобы блокировать компьютер через 5 минут, задайте здесь 300;
- Для применения новых настроек групповых политик нужно перезагрузить компьютеры. Теперь ваши компьютеры будут автоматически блокироваться после неактивности, отключения дисплея (задается в настройках электропитания, или при запуске скринсейвера).
- Откройте консоль управления доменными политиками Group Policy Management console (
С помощью GPO Security Filtering вы можете задать список компьютеров, на которые не применяется политика блокировки экрана.
- Создайте в AD группу безопасности NoLockComputers и добавьте в нее учетные записи компьютеров, которые не должны блокироваться;
- В консоли GPMC выберите вашу политику, перейдите на вкладку Delegation и нажмите кнопку Advanced;
- Добавьте группу безопасности, которую вы создали, и задайте для нее Deny в поле Apply group policy;
- Теперь экраны компьютеров в этой группе не будет блокироваться автоматически.
Групповая политика с настройками скринсейвера для блокировки экрана пользователя
С помощью параметров скринсейвера Windows можно также внедрить политику автоматической блокировки экрана у пользователей. Такую политику можно применить на пользователей (а не на компьютеры).
- Создайте GPO и назначьте ее на OU с учетными записями пользователей;
- Отредактируйте политику и перейдите в User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
- В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
- Enable screen saver — включить экранную заставку;
- Password protect the screen saver — требовать пароль для разблокировки компьютера;
- Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер (чтобы автоматически блокировать экран через 5 минут, укажите здесь 300);
- Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это
scrnsave.scr
( подробнее о настройке экранной заставки с помощью GPO); - Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.
- Дождитесь обновления настроек групповых политик на клиентах или обновите их вручную командой (
gpupdate /force
). - После этого настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя будет автоматически блокироваться после 5 минут неактивности и запускаться пустая экранная заставка. Настройки блокировки будут применяться как к консольным сессиям пользователей, так и к RDP сеансам на RDS серверах.
Чтобы разблокировать компьютер, пользователю нужно нажать Ctrl+Alt+End, щелкнуть по экрану или нажать любую клавишу (в зависимости от версии Windows) и ввести пароль.
Если вам нужно настроить разные параметры блокировки экрана для разные групп пользователей, можно использовать GPO Security Filtering (как указано выше), или внедрять параметры блокировки через реестр. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда
Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:
- Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
- Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
- Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.
Вы можете с помощью GPO распространить нужные значения параметров реестра на разные группы пользователей.
Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).
Так ведь Win+L
или это версия статьи для правшей? 😉
єто для тех хто забивает на Win+L но их ПК нужно ПРИНУДИТЕЛЬНО блокировать
Да Win+L (Lock), поправил 🙂
Подскажите пожалуйста если за это отведенное время для блокировки, пользователь будет только общаться по Call и не трогать мышку или клавиатуру компьютер должен будет блокироваться ?
Доброго дня.
Поставил Screen saver timeout 2400 на ПК настойки сохранились как 40мин.
в реестре HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop\
ScreenSaveTimeOut 2400
Блокировка срабатывает в течении 3 минут простоя.
Что может быть? до этого никакой блокировки не происходило.
Показал 7bc4a2f9-d8fc-4469-b07b-33eb785aaca0 и сделал настройку тоже на 40 мин.
Всё равно уходил в блокировку.
убираю из ГПО
Password protect the screen saver и Screen saver timeout (назначал только эти 2 параметра)
И блокировки нет.
Добрый день! А есть вариант блокировки через Конфигурацию компьютера, а не пользователя?
При такой настройке блокируется не только ПК, а и удаленные сессии rdp что не очень удобно для юзеров!
А разве блокировать RDP сессии при простое не нужно? В чем тут отличие от обычных компьютеров?
Либо просто не назначайте политики блокировки экрана на RDS сервера.
Подскажите, как сделать так, чтобы ПК не блокировался при затухании экрана.
Заставка отключена в Параметрах и Панели управления, политики не настроены. Поставил в параметрах питания гасить экран через 3 мин. Теперь когда гаснет экран, то блокируется сеанс.
Попробуйте отключить через реестр:
REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization /v NoLockScreen /t REG_DWORD /d 00000001
Не работает этот способ, по крайней мере в актуальной Windows 10.
Всё равно, когда гаснет экран, то блокируется ПК. Но есть нюанс. В «электропитании» установлено отключать дисплей через 1 мин, но дисплей не отключается, а блокируется сеанс, а через некоторое время гаснет дисплей (этот параметр тоже можно в дополнительных параметрах питания поправить при установке в реестре »
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\PowerSettings\7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48c2-BE75-4F3044BE88A7″ параметра «Attributes» со значением 2, тогда можно настроить когда погаснет экран после блокировки — «Время ожидания до отключения экрана блокировки»).
Но мне всё же надо, чтобы экран не блокировался, когда гаснет дисплей.
Есть ещё идеи.
upd: может быть не верно выразился.
Интересует: Как отключить блокировку ПК (аналог Win+L), когда гаснет дисплей. ПК в домне. Блокировка экрана отключена, заставка отключена.
Нашёл решение. Помогли на ТечНет:
Попробуйте открыть параметры Windows, перейти в Учётные записи -> Варианты входа и изменить параметры в «Требуется вход», а именно про выполнение повторного входа на «Никогда» и снимите галочку с «Динамическая блокировка», если она установлена.
Выделил себя в отдельную OU, чтобы другие политики не мешали, сделал политику по инструкции, определил настройки Enable screen saver, Password protect the screen saver, Screen saver timeout (10 seconds). Политика применилась, в gpresult видна. Через 10 секунд ничего не происходит.
upd: Попробовал сделать это через ключ реестра — работает на моей сессии на windows server 2012r2, а на windows 10 по-прежнему ничего не происходит(
для десятки другой ключ?
UPD: Перелогиниться надо было, насколько я понимаю, CURRENT_USER применяется только при входе в систему.
Через реестр заработало, но все еще непонятно, почему не заработало через Административные шалоны, по первому способу..
Тоже столкнулся с этим. Блокировать rdp сессии не нужно потому, что они могут быть просто свёрнуты и их бывает пять сразу. В итоге фильтрами wmi применил политику исключительно к десктопным операционным системам.
Сделал всё, как сказано в начале статьи. Сработало, спасибо.
Теперь, для некоторых компьютеров хочу отменить все внесённые изменения. Как это сделать?
Пытался создать нулевые значения в реестре клиентов, как сказано в конце статьи, но на компьютерах нет раздела реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop.
В каком разделе реестра фиксируются изменения созданные GPO согласно п. 3 этой статьи?
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop
Вроде понятно. Настройки GPО из п. 3 статьи создают этот путь в реестре и четыре раздела в нём. Отключение политики удаляет все эти разделы. Но сохраняется время отключения экрана и защита паролем.
С помощью политики настроил четыре параметра, указанных в п. 3. Параметр ScreenSaveTimeout = 900. Перезагрузил клиентский компьютер. Все параметры применились. Проверил это в реестре, в разделе HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop.
Но экран блокируется через 300 секунд.
Где ещё может быть указан этот параметр, что его не перебивают групповые политики?
Windows 10 Pro, является членом домена.
powercfg.exe /SETACVALUEINDEX SCHEME_CURRENT SUB_VIDEO VIDEOCONLOCK 900
это команда решит проблему. в данном случае на себе проверено на Win10 900 секунд
А для тех кому настроили политикой, но пользователь не хочешь что бы блокировалось, есть — caffeine
Ещё проще — wmp в режиме воспроизведения. На windows 10 (10.0.19045) работает.
Применил политику для компьютеров, всё работает, но если пользователь подключается по RDP, там так же применяется данная политика. Получается пользователь видит в окне rdp заблокированный компьютер если отходил на несколько минут. Подключение идёт к обычному компьютеру с Windows 10 Pro. Как сделать так, что бы при подключении по RDP не применялась эта политика, либо увеличить таймаут для тех, кто подключается по RDP?
Пробовал политики: «Задать ограничение времени для активных, но бездействующих сеансов служб удаленных рабочих столов: Никогда» и «Задать ограничение по времени для активных сеансов служб удаленных рабочих столов: Никогда» — не помогло.
С помощью указанных вами параметров не получится — они про другое. Тут трудность в определении типа сессии пользователя — RDP или консольная. Мне видется только вариант с логон скриптом, которые запускается при входе пользовтеля и в зависимости от типа сесиии, меняет таймут в параметре реестра ScreenSaveTimeout
Добрый день,
Подскажите что я делаю не так: Есть контролер домена там дефаултные политики
Конфигурация компьютера (включено)
.Политики
Конфигурация Windows
Параметры безопасности
Политики учетных записей/Политика паролейпоказатьПолитика
Политики учетных записей/Политика блокировки учетных записей
Политики учетных записей/Политика Kerberos
Локальные политики/Параметры безопасности
Политики работы с открытым ключом/Файловая система EFS
Есть сервер в отдельной группе там я завел отдельно политику LockScreenPolicy
Конфигурация компьютера (включено)
Политики
Конфигурация Windows
Параметры безопасности
Локальные политики/Параметры безопасностис
Другое
Политика Параметр
Интерактивный вход в систему: предел простоя компьютера 1200 сек.
Но что у контролера домена, что у сервера блокировка экрана срабатывает ровно через 5 минут. Как это победить? Уже даже политики сбрасывал до заводских.
Какие настройки получилось в результирующей политики на клиенте? (rsop.msc)
предел простоя компьютера 1200 сек.
Но блокируется за 300 сек.