Inicio de sesión con reinicio automático de Winlogon (ARSO)
Autor: Justin Turner, ingeniero sénior de escalación de soporte técnico con el grupo de Windows
Nota
Este contenido está escrito por un ingeniero de asistencia al cliente de Microsoft y está destinado a los arquitectos de sistemas y administradores con experiencia que están buscando explicaciones técnicas más detalladas de características y soluciones de Windows Server 2012 R2 que los temas que se suelen proporcionar en TechNet. Sin embargo, no ha experimentado los mismos pasos de edición, por lo que parte del lenguaje puede parecer menos perfeccionado de lo que se encuentra normalmente en TechNet.
Información general
Windows 8 introdujo las aplicaciones de pantalla de bloqueo. Se trata de las aplicaciones que se ejecutan y muestran notificaciones mientras la sesión del usuario está bloqueada (citas del calendario, correo electrónico y mensajes, etc.). Los dispositivos que se reinician debido al proceso de Windows Update no muestran estas notificaciones de pantalla de bloqueo al reiniciarse. Algunos usuarios dependen de estas aplicaciones de pantalla de bloqueo.
¿Qué es lo que ha cambiado?
Cuando un usuario inicie sesión en un dispositivo Windows 8.1, la LSA guardará las credenciales de usuario en una memoria cifrada a la que solo podrá acceder lsass.exe. Cuando Windows Update comienza un reinicio automático sin la presencia del usuario, estas credenciales se usan para configurar Autologon para el usuario. Si Windows Update se ejecuta como sistema con privilegios TCB iniciará la llamada RPC para hacerlo.
Al reiniciar, el usuario iniciará sesión automáticamente mediante el mecanismo Autologon y después se bloqueará adicionalmente para proteger la sesión del usuario. El bloqueo se iniciará a través de Winlogon, mientras que LSA realiza la administración de credenciales. Al iniciar sesión y bloquear automáticamente al usuario en la consola, las aplicaciones de la pantalla de bloqueo del usuario se reiniciarán y estarán disponibles.
Nota
Tras un reinicio inducido por Windows Update, se inicia automáticamente la sesión del último usuario interactivo y se bloquea la sesión para que puedan ejecutarse las aplicaciones de la pantalla de bloqueo del usuario.
Introducción rápida
Windows Update requiere reiniciar
¿Puede reiniciarse el equipo (sin aplicaciones en ejecución que pudieran perder datos)?
Reiniciar automáticamente
Volver a iniciar sesión
Bloquear la máquina
Habilitado o deshabilitado por directiva de grupo
- Deshabilitado de forma predeterminada en las SKU del servidor
¿Por qué?
Algunas actualizaciones no pueden finalizar hasta que el usuario vuelva a iniciar sesión.
Mejor experiencia de usuario: no es necesario esperar 15 minutos para que las actualizaciones finalicen la instalación
¿Cómo lo hago? Inicio de sesión automático
almacena la contraseña, usa esa credencial para iniciar sesión
guarda la credencial como un secreto de LSA en la memoria paginada
Solo se puede habilitar si BitLocker está habilitado
Directiva de grupo: Iniciar sesión automáticamente con el último usuario interactivo después de un reinicio iniciado por el sistema
En Windows 8.1 / Windows Server 2012 R2, el inicio de sesión automático del usuario de la pantalla de bloqueo tras un reinicio de Windows Update está habilitado para las SKU de servidor y deshabilitado para las SKU de cliente.
Ubicación de la directiva: Configuración del equipo > Directivas > Plantillas Administrativas > Componentes de Windows > Opción de inicio de sesión de Windows
Nombre de la directiva: Inicio de sesión del último usuario interactivo automáticamente tras un reinicio iniciado por el sistema
Compatible con: Al menos Windows Server 2012 R2, Windows 8.1 o Windows RT 8.1
Descripción/Ayuda:
Esta configuración de directiva controla si un dispositivo iniciará automáticamente la sesión del último usuario interactivo después de que Windows Update reinicie el sistema.
Si habilita o no establece esta configuración de directiva, el dispositivo guarda de forma segura las credenciales del usuario (incluido el nombre de usuario, el dominio y la contraseña cifrada) para configurar el inicio de sesión automático después de un reinicio de Windows Update. Tras el reinicio de Windows Update, el usuario inicia sesión automáticamente y la sesión se bloquea automáticamente con todas las aplicaciones de la pantalla de bloqueo configuradas para ese usuario.
Si deshabilita esta configuración de directiva, el dispositivo no almacena las credenciales del usuario para el inicio de sesión automático después de un reinicio de Windows Update. Las aplicaciones de pantalla de bloqueo de los usuarios no se reinician después de reiniciar el sistema.
Editor del Registro
| Nombre del valor | Tipo | Datos |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 Ejemplo: 0 (habilitado) 1 (deshabilitado) |
Ubicación del registro de directivas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Tipo: DWORD
Nombre del registro: DisableAutomaticRestartSignOn
Valor: 0 o 1
0 = Habilitado
1 = Deshabilitado
Solución de problemas
Cuando Winlogon se bloquea automáticamente, el seguimiento del estado de Winlogon se almacenará en el registro de eventos de Winlogon.
Se registra el estado de un intento de configuración de inicio de sesión automático
Si se realiza correctamente:
- lo registra como tal
Si aparece un error:
- registra cuál ha sido el error
Cuando cambia el estado de BitLocker:
se registrará la eliminación de credenciales
- Estas se almacenarán en el registro operativo de LSA.
Motivos por los que puede no realizarse el inicio de sesión automático
Hay varios casos en los que no se puede lograr un inicio de sesión automático del usuario. En esta sección se capturarán los escenarios conocidos en los que se puede producir esto.
El usuario debe cambiar la contraseña en el siguiente inicio de sesión
El inicio de sesión de un usuario puede entrar en un estado bloqueado cuando se requiera un cambio de contraseña en el siguiente inicio de sesión. En la mayoría de los casos, este problema se puede detectar antes del reinicio, pero no en todos (por ejemplo, la expiración de la contraseña puede llegar entre el apagado y el siguiente inicio de sesión).
Cuenta de usuario deshabilitada
Se puede mantener una sesión de usuario existente, aunque esté deshabilitada. El reinicio de una cuenta que está deshabilitada se puede detectar localmente en la mayoría de los casos de antemano, dependiendo de la directiva de grupo no puede ser para las cuentas de dominio (algunos escenarios de inicio de sesión almacenados en la caché del dominio funcionan aunque la cuenta esté deshabilitada en DC).
Horas de inicio de sesión y controles parentales
Las horas de inicio de sesión y los controles parentales pueden prohibir la creación de una nueva sesión de usuario. Si se produjera un reinicio durante esta ventana, no se permitiría al usuario iniciar sesión. Hay una directiva adicional que provoca un bloqueo o cierre de sesión como una acción de cumplimiento. Esto podría ser un problema en muchos casos secundarios en los que el bloqueo de cuentas puede producirse entre el momento de irse a dormir y el de despertar, sobre todo si la ventana de mantenimiento suele estar durante este tiempo.
Recursos adicionales
Tabla SEQ Tabla \* ÁRABE 3: Glosario de ARSO
| Término | Definición |
|---|---|
| Autologon | El inicio de sesión automático es una característica que ha estado presente en varias versiones de Windows. Se trata de una característica documentada de Windows que incluso tiene herramientas como Autologon para Windows v3.01http:/technet.microsoft.com/sysinternals/bb963905.aspx Permite que un único usuario del dispositivo inicie sesión automáticamente sin escribir sus credenciales. Las credenciales se configuran y almacenan en el Registro como un secreto de LSA cifrado. |