Trong bài viết này, chúng tôi sẽ trình bày cách định cấu hình khóa màn hình (phiên) tự động trên máy tính miền hoặc máy chủ bằng cách sử dụng Chính sách nhóm. Khóa màn hình máy tính khi người dùng không hoạt động (nhàn rỗi) là một yếu tố bảo mật thông tin quan trọng. Người dùng có thể quên khóa màn hình của mình (bằng phím tắt Win + L
) khi anh ta cần rời khỏi nơi làm việc trong một thời gian ngắn. Trong trường hợp này, bất kỳ nhân viên hoặc khách hàng nào khác ở gần đều có thể truy cập dữ liệu của anh ta. Chính sách tự động khóa màn hình sẽ sửa lỗi này. Sau một thời gian không hoạt động (không hoạt động), màn hình của người dùng sẽ tự động bị khóa và người dùng cần nhập lại mật khẩu miền của họ để quay lại phiên.
Hãy tạo và định cấu hình Chính sách nhóm miền để quản lý các tùy chọn khóa màn hình:
- Mở bảng điều khiển Quản lý Chính sách Nhóm (
gpmc.msc
), tạo một đối tượng GPO mới ( LockScreenPolicy ) và liên kết nó với gốc miền (hoặc với Đơn vị tổ chức của người dùng); - Chỉnh sửa chỉnh sửa chính sách và đi tới Cấu hình người dùng -> Chính sách -> Mẫu quản trị -> Bảng điều khiển -> Cá nhân hóa ;
- Có một số tùy chọn để quản lý trình bảo vệ màn hình và cài đặt khóa màn hình trong phần GPO:
- Bật trình bảo vệ màn hình
- Mật khẩu bảo vệ trình bảo vệ màn hình - lời nhắc nhập mật khẩu để mở khóa máy tính
- Thời gian chờ của trình bảo vệ màn hình - đặt thời gian tính bằng giây khi trình bảo vệ màn hình được bật và máy tính sẽ bị khóa nếu người dùng không hoạt động
- Buộc trình bảo vệ màn hình cụ thể - bạn có thể chỉ định tệp bảo vệ màn hình sẽ được sử dụng. Thường thì nó là
scrnsave.scr
(bạn có thể tạo trình bảo vệ màn hình trình chiếu bằng GPO) - Ngăn thay đổi trình bảo vệ màn hình - ngăn người dùng thay đổi cài đặt trình bảo vệ màn hình
- Bật tất cả các chính sách và đặt thời gian chờ máy tính trong Thời gian chờ của trình bảo vệ màn hình chính sách. Tôi đã nhập 300. Có nghĩa là phiên của người dùng sẽ tự động bị khóa sau 5 phút;
- Chờ cho đến khi cài đặt Chính sách Nhóm được cập nhật trên máy khách hoặc làm mới chúng theo cách thủ công bằng lệnh:
gpupdate /force
. Sau khi GPO được áp dụng, cài đặt trình bảo vệ màn hình và khóa màn hình sẽ được bảo vệ khỏi chỉnh sửa trong giao diện Windows và các phiên người dùng sẽ bị khóa trong 5 phút không hoạt động (để chẩn đoán cách GPO được áp dụng, bạn có thể sử dụng công cụ gpresult và bài viết theo liên kết này).
Trong một số trường hợp, bạn có thể cần phải định cấu hình các chính sách khóa khác nhau cho các nhóm người dùng khác nhau. Ví dụ, màn hình của nhân viên văn phòng nên được khóa sau 10 phút và màn hình của các nhà điều hành sản xuất hoặc SCADA không bao giờ được khóa. Để triển khai chiến lược như vậy, bạn có thể sử dụng Lọc bảo mật GPO (xem ví dụ về việc hạn chế quyền truy cập vào thiết bị USB bằng GPO) hoặc Nhắm mục tiêu theo cấp độ mặt hàng trong GPP. Hãy cùng nghiên cứu chi tiết hơn về phần sau.
Bạn có thể định cấu hình cài đặt khóa máy tính bằng cách sử dụng sổ đăng ký thay vì GPO và triển khai cài đặt đăng ký tương ứng cho máy tính của người dùng thông qua GPO. Các tham số đăng ký sau phù hợp với các chính sách được thảo luận ở trên. Chúng nằm trong HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ Control Panel \ Desktop :
- Mật khẩu bảo vệ trình bảo vệ màn hình là một tham số REG_SZ với tên ScreenSaverIsSecure =1
- Thời gian chờ của trình bảo vệ màn hình là một tham số REG_SZ với tên ScreenSaveTimeout =300
- Buộc trình bảo vệ màn hình cụ thể là một tham số REG_SZ với tên ScreenSaveActive =1 và SCRNSAVE.EXE =scrnsave.scr
Tạo nhóm bảo mật miền (grp_not-lock-prod
) mà bạn muốn tắt chính sách khóa màn hình và thêm người dùng vào đó. Tạo thông số đăng ký được mô tả ở trên trong phần GPO tương ứng ( Cấu hình người dùng -> Tùy chọn -> Cài đặt Windows -> Đăng ký ). Sử dụng Nhắm mục tiêu theo cấp độ mặt hàng , đặt cho mỗi tham số mà chính sách không được áp dụng cho nhóm bảo mật cụ thể (người dùng không phải là thành viên của nhóm bảo mật grp_not-lock-prod
).
Bạn cũng sẽ phải tạo 4 tham số đăng ký bổ sung với giá trị REG_SZ 0 , vô hiệu hóa mạnh mẽ khóa màn hình cho nhóm grp_not-lock-prod (nếu không, GPO của bạn sẽ không ghi đè các giá trị đăng ký đã đặt trước đó).