У цій статті ми розглянемо, як налаштувати автоматичне блокування екрану / сесій на комп’ютерах і серверах домена за допомогою GPO. Блокування екрану комп’ютера при бездіяльності – це важливий елемент інформаційної безпеки. Користувач, відходячи ненадовго від свого робочого місця, може забути заблокувати свій комп’ютер (поєднання клавіш Win+L). В цьому випадку доступ до його даних може отримати будь-який інший співробітник або клієнт, який перебуває поблизу. Політика автоматичного блокування екрана дозволять виправити цей недолік. Робочий стіл користувача через деякий час простою (неактивності) буде автоматично заблокований, і, щоб повернутися в свою сесію, користувачеві потрібно буде заново ввести свій доменний пароль.

Створимо і налаштуємо доменну політику управління параметрами блокування екрана:

    1. Відкрийте консоль управління доменними політиками Group Policy Management console (gpmc.msc), Створіть новий об’єкт GPO (LockScreenPolicy) І призначте його на корінь домену (або на OU з користувачами); LockScreenPolicy
    2. Перейдіть в режим редагування політики і виберіть секцію Конфігурація користувача -> Політика -> Адміністративні шаблони -> Панель управління -> Персоналізація (Конфігурація користувача -> Політики -> Адміністративні шаблони -> Панель управління -> Персоналізація);
    3. В цьому розділі GPO є кілька параметрів для управління екранної заставкою і параметрами блокування екрана:
      • Увімкнути заставку – включити заставку;
      • Захистіть заставку паролем – вимагати пароль для розблокування комп’ютера;
      • Час очікування заставки – через скільки секунд неактивності потрібно включити заставку і заблокувати комп’ютер;
      • Примусити конкретну заставку – можна вказати файл скрінсейвера, які потрібно використовувати. Найчастіше це scrnsave.scr (За допомогою GPO можна зробити скрінсейвер у вигляді слайд-шоу);
      • Prevent changing screen saver – заборонити користувачам змінювати встановити заставку.
  • Додайте всі політики і задайте необхідний час неактивності комп’ютера в політики Screen saver timeout. Я вказав 300. Це означає, що сесії користувачів буде автоматично блокуватися через 5 хвилин; заблокувати комп'ютера при неактивності через групові політики
  • Дочекайтеся оновлення налаштувань групових політики на клієнтах або поновіть їх вручну командою (gpupdate /force). Після застосування GPO в інтерфейсі Windows встановити заставку і блокування екрану стануть недоступними для зміни, а сесія користувача автоматично блокуватися після 5 хвилин неактивності (для діагностики застосування gpo можна використовувати утиліту gpresult і статтю за посиланням).
Починаючи з Windows Server 2012 / Windows 8 є окрема політика безпеки комп’ютера, в якій задається період неактивності комп’ютера, після якого його потрібно блокувати. Політика називається setting Інтерактивний вхід: Межа бездіяльності машини і знаходиться в розділі Конфігурація комп’ютера GPO -> Налаштування Windows -> Налаштування безпеки -> Локальна політика -> Параметри безпеки. политика Інтерактивний вхід: Межа бездіяльності машини

У деяких випадках вам може знадобиться налаштувати різні політики блокування для різних груп користувачів. Наприклад, для офісних працівників потрібно блокувати екран через 10 хвилин, а на комп’ютерах операторів виробництва екран не повинен блокуватися ніколи. Для реалізації такої стратегії ви можете використовувати GPO Security Filtering (див. Приклад з груповими політиками обмеженням доступу до USB пристроїв) або можливості Item Level Targeting в GPP. Розглянемо другий варіант докладніше.

Ви можете налаштувати параметри блокування комп’ютерів не за допомогою окремих параметрів GPO, а через реєстр. Замість розглянутої вище політики ви можете через GPO поширити на комп’ютери користувачів параметри реєстру. Розглянутим вище політикам відповідають наступні параметри реєстру в гілці HKEY_CURRENT_USER Software Policies Microsoft Windows Control Panel Desktop:

  • Password protect the screen save – параметр типу REG_SZ з іменем ScreenSaverIsSecure = 1;
  • Screen saver timeout – параметр типу REG_SZ з іменем ScreenSaveTimeout = 300;
  • Force specific screen saver – параметр типу REG_SZ з іменем ScreenSaveActive = 1 і SCRNSAVE.EXE = scrnsave.scr.

Створіть в домені групу користувачів (SPB-not-lock-desktop), Для яких потрібно скасувати дію політики блокування і наповніть її користувачами. Створіть в секції GPO (Конфігурація користувача -> Преференції -> Налаштування Windows -> Реєстр розглянуті вище параметри реєстру). Для кожного параметра і за допомогою Націлювання на рівень елемента вкажіть, що політика не повинна застосовуватися для певної групи безпеки (the user is not a member of the security group SPB-not-lock-desktop).

відключити блокування екрану політикою для певних користувачів

Також доведеться створити ще 4 параметра реєстру зі значеннями REG_SZ 0, Які примусово відключають блокування екрану для групи SPB-not-lock-desktop (інакше, політики не будуть перезатірать встановлені раніше значення).

Leave a Reply

Your email address will not be published. Required fields are marked *