เปิดใช้งาน Windows Lock Screen หลังจากไม่มีการใช้งานผ่าน GPO

ในบทความนี้เราจะแสดงวิธีกำหนดค่าการล็อกหน้าจออัตโนมัติ (เซสชัน) บนคอมพิวเตอร์โดเมนหรือเซิร์ฟเวอร์โดยใช้นโยบายกลุ่ม การล็อคหน้าจอคอมพิวเตอร์เมื่อผู้ใช้ไม่ได้ใช้งาน (ไม่ได้ใช้งาน) เป็นองค์ประกอบความปลอดภัยของข้อมูลที่สำคัญ ผู้ใช้อาจลืมล็อกเดสก์ท็อป (ด้วยแป้นพิมพ์ลัด Win + L ) เมื่อเขาต้องออกจากที่ทำงานในช่วงเวลาสั้นๆ ในกรณีนี้ พนักงานหรือลูกค้ารายอื่นที่อยู่ใกล้เคียงจะสามารถเข้าถึงข้อมูลของเขาได้ นโยบายการล็อกหน้าจออัตโนมัติจะแก้ไขข้อบกพร่องนี้ หลังจากไม่มีการใช้งานเป็นระยะเวลาหนึ่ง (ไม่ได้ใช้งาน) เดสก์ท็อปของผู้ใช้จะถูกล็อคโดยอัตโนมัติ และผู้ใช้จะต้องป้อนรหัสผ่านโดเมนอีกครั้งเพื่อกลับไปยังเซสชัน

มาสร้างและกำหนดค่านโยบายกลุ่มของโดเมนเพื่อจัดการตัวเลือกการล็อกหน้าจอ:

1. เปิดคอนโซลการจัดการนโยบายกลุ่ม (gpmc.msc ) สร้างวัตถุ GPO ใหม่ (LockScreenPolicy ) และเชื่อมโยงไปยังรูทโดเมน (หรือไปยัง OU ของผู้ใช้)
2. แก้ไขการแก้ไขนโยบายและไปที่ การกำหนดค่าผู้ใช้ -> นโยบาย -> เทมเพลตการดูแลระบบ -> แผงควบคุม -> การปรับเปลี่ยนในแบบของคุณ;
3. มีตัวเลือกบางอย่างในการจัดการการตั้งค่าโปรแกรมรักษาหน้าจอและล็อกหน้าจอในส่วน GPO:
   • เปิดใช้งานโปรแกรมรักษาหน้าจอ
   • รหัสผ่านป้องกันโปรแกรมรักษาหน้าจอ — ให้ป้อนรหัสผ่านเพื่อปลดล็อกคอมพิวเตอร์
   • หมดเวลาโปรแกรมรักษาหน้าจอ – ตั้งเวลาเป็นวินาทีที่จะเปิดใช้งานโปรแกรมรักษาหน้าจอและคอมพิวเตอร์จะถูกล็อคหากผู้ใช้ไม่ได้ใช้งาน
   • บังคับโปรแกรมรักษาหน้าจอเฉพาะ – คุณสามารถระบุไฟล์สกรีนเซฟเวอร์ที่จะใช้ได้ ส่วนใหญ่มักจะเป็น scrnsave.scr (คุณสามารถสร้างโปรแกรมรักษาหน้าจอสไลด์โชว์โดยใช้ GPO)
   • ป้องกันการเปลี่ยนโปรแกรมรักษาหน้าจอ – ป้องกันไม่ให้ผู้ใช้เปลี่ยนการตั้งค่าโปรแกรมรักษาหน้าจอ
4. เปิดใช้งานนโยบายทั้งหมดและตั้งค่าเวลาที่คอมพิวเตอร์ไม่ได้ใช้งานใน ระยะหมดเวลาของโปรแกรมรักษาหน้าจอ นโยบาย. ฉันป้อน 300 หมายความว่าเซสชันผู้ใช้จะถูกล็อคโดยอัตโนมัติหลังจาก 5 นาที
5. รอจนกว่าการตั้งค่านโยบายกลุ่มจะได้รับการอัปเดตในไคลเอ็นต์หรือรีเฟรชด้วยตนเองโดยใช้คำสั่ง:gpupdate /force . หลังจากใช้ GPO แล้ว การตั้งค่าโปรแกรมรักษาหน้าจอและล็อกหน้าจอจะได้รับการปกป้องจากการแก้ไขในอินเทอร์เฟซของ Windows และเซสชันผู้ใช้จะถูกล็อคใน 5 นาทีที่ไม่มีการใช้งาน (เพื่อวินิจฉัยว่ามีการใช้ GPO อย่างไร คุณสามารถใช้เครื่องมือ gpresult และ บทความตามลิงค์นี้)

ในบางกรณี คุณอาจต้องกำหนดค่านโยบายการล็อกที่แตกต่างกันสำหรับกลุ่มผู้ใช้ต่างๆ ตัวอย่างเช่น หน้าจอของพนักงานในสำนักงานควรถูกล็อคหลังจากผ่านไป 10 นาที และหน้าจอของการผลิตหรือผู้ปฏิบัติงาน SCADA ไม่ควรถูกล็อค ในการใช้กลยุทธ์ดังกล่าว คุณอาจใช้ GPO Security Filtering (ดูตัวอย่างด้วยการจำกัดการเข้าถึงอุปกรณ์ USB โดยใช้ GPO) หรือ Item Level Targeting ใน GPP มาศึกษาส่วนหลังในรายละเอียดกันดีกว่า

คุณสามารถกำหนดการตั้งค่าการล็อกคอมพิวเตอร์โดยใช้รีจิสทรีแทน GPO และปรับใช้การตั้งค่ารีจิสทรีที่เกี่ยวข้องกับคอมพิวเตอร์ของผู้ใช้ผ่าน GPO พารามิเตอร์รีจิสทรีต่อไปนี้ตรงกับนโยบายที่กล่าวถึงข้างต้น ซึ่งอยู่ใน HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop :

• รหัสผ่านป้องกันโปรแกรมรักษาหน้าจอ เป็นพารามิเตอร์ REG_SZ ที่มีชื่อ ScreenSaverIsSecure =1
• หมดเวลาโปรแกรมรักษาหน้าจอ เป็นพารามิเตอร์ REG_SZ ที่มีชื่อ ScreenSaveTimeout =300
• บังคับโปรแกรมรักษาหน้าจอเฉพาะ เป็นพารามิเตอร์ REG_SZ ที่มีชื่อ ScreenSaveActive =1 และ SCRNSAVE.EXE =scrnsave.scr

สร้างกลุ่มความปลอดภัยของโดเมน (grp_not-lock-prod ) ที่คุณต้องการปิดใช้งานนโยบายล็อกหน้าจอและเพิ่มผู้ใช้เข้าไป สร้างพารามิเตอร์รีจิสทรีที่อธิบายไว้ข้างต้นในส่วน GPO ที่เกี่ยวข้อง (การกำหนดค่าผู้ใช้ -> ค่ากำหนด -> การตั้งค่า Windows -> รีจิสทรี ). การใช้การกำหนดเป้าหมายระดับรายการ , ตั้งค่าสำหรับแต่ละพารามิเตอร์ที่ไม่ต้องใช้นโยบายสำหรับกลุ่มความปลอดภัยเฉพาะ (ผู้ใช้ไม่ใช่สมาชิกของกลุ่มความปลอดภัย grp_not-lock-prod ).