Общепринятые практики информационной безопасности требуют обязательной блокировки экрана компьютера при неактивности пользователя. Пользователь Windows может самостоятельно заблокировать экран компьютера (сочетанием клавиш Win+L). Но лучше внедрить групповую политику, которая обеспечит автоматическую блокировку экрана при бездействии на всех компьютерах домена.
Включить блокировка компьютера при неактивности с помощью групповой политики
На уровне безопасности компьютера можно включить политику, которая требует от любого пользователя повторно выполнить аутентификацию (ввести пароль) после заданного периода неактивности.
- Откройте консоль управления доменными политиками Group Policy Management console (
gpmc.msc
), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с компьютерами на которых вы хотите применить политику блокировки); - Перейдите в раздел Computer Configuration -> Policies-> Windows Settings -> Security Settings -> Local Policies -> Security Options;
- В параметре Interactive logon: Machine inactivity limit задайте через сколько секунд неактивности нужно заблокировать компьютер. Например, чтобы блокировать компьютер через 5 минут, задайте здесь 300;
- Для применения новых настроек групповых политик нужно перезагрузить компьютеры. Теперь ваши компьютеры будут автоматически блокироваться после неактивности, отключения дисплея (задается в настройках электропитания, или при запуске скринсейвера).
- Откройте консоль управления доменными политиками Group Policy Management console (
С помощью GPO Security Filtering вы можете задать список компьютеров, на которые не применяется политика блокировки экрана.
- Создайте в AD группу безопасности NoLockComputers и добавьте в нее учетные записи компьютеров, которые не должны блокироваться;
- В консоли GPMC выберите вашу политику, перейдите на вкладку Delegation и нажмите кнопку Advanced;
- Добавьте группу безопасности, которую вы создали, и задайте для нее Deny в поле Apply group policy;
- Теперь экраны компьютеров в этой группе не будет блокироваться автоматически.
Групповая политика с настройками скринсейвера для блокировки экрана пользователя
С помощью параметров скринсейвера Windows можно также внедрить политику автоматической блокировки экрана у пользователей. Такую политику можно применить на пользователей (а не на компьютеры).
- Создайте GPO и назначьте ее на OU с учетными записями пользователей;
- Отредактируйте политику и перейдите в User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
- В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
- Enable screen saver — включить экранную заставку;
- Password protect the screen saver — требовать пароль для разблокировки компьютера;
- Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер (чтобы автоматически блокировать экран через 5 минут, укажите здесь 300);
- Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это
scrnsave.scr
( подробнее о настройке экранной заставки с помощью GPO); - Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.
- Дождитесь обновления настроек групповых политик на клиентах или обновите их вручную командой (
gpupdate /force
). - После этого настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя будет автоматически блокироваться после 5 минут неактивности и запускаться пустая экранная заставка. Настройки блокировки будут применяться как к консольным сессиям пользователей, так и к RDP сеансам на RDS серверах.
Чтобы разблокировать компьютер, пользователю нужно нажать Ctrl+Alt+End, щелкнуть по экрану или нажать любую клавишу (в зависимости от версии Windows) и ввести пароль.
Если вам нужно настроить разные параметры блокировки экрана для разные групп пользователей, можно использовать GPO Security Filtering (как указано выше), или внедрять параметры блокировки через реестр. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда
Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:
- Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
- Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
- Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.
Вы можете с помощью GPO распространить нужные значения параметров реестра на разные группы пользователей.
Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).