Connexion de redémarrage automatique Winlogon
Auteur : Justin Turner, ingénieur support senior d’escalade auprès du groupe Windows
Notes
Ce contenu est écrit par un ingénieur du support client Microsoft et est destiné aux administrateurs expérimentés et aux architectes système qui recherchent des explications techniques plus approfondies des fonctionnalités et des solutions Windows Server 2012 R2 que n'en proposent généralement les rubriques de TechNet. Toutefois, il n'a pas subi les mêmes passes de correction. De ce fait, une partie du langage peut sembler moins finalisée que le contenu de TechNet.
Vue d’ensemble
Windows 8 a introduit les applications d’écran de verrouillage. Il s’agit des applications qui exécutent et affichent des notifications alors que la session de l’utilisateur est verrouillée (rendez-vous de calendrier, e-mails et messages, etc.). Les appareils redémarrés en raison du processus Windows Update ne parviennent pas à afficher ces notifications d’écran de verrouillage au redémarrage. Certains utilisateurs dépendent de ces applications d’écran de verrouillage.
Nouveautés
Lorsqu’un utilisateur se connecte sur un appareil Windows 8.1, l’autorité de sécurité locale enregistre les informations d’identification de l’utilisateur dans une mémoire chiffrée accessible uniquement par lsass.exe. Lorsque Windows Update lance un redémarrage automatique sans présence de l’utilisateur, ces informations d’identification sont utilisées pour configurer l’ouverture de session automatique pour l’utilisateur. Windows Update s’exécutant en tant que système avec le privilège TCB lance l’appel RPC pour ce faire.
Lors du redémarrage, l’utilisateur est automatiquement connecté par le biais du mécanisme d’ouverture de session automatique, puis verrouillé pour protéger la session de l’utilisateur. Le verrouillage est lancé par l’intermédiaire de Winlogon, tandis que la gestion des informations d’identification est effectuée par l’autorité de sécurité locale. Grâce à la connexion automatique et au verrouillage de l’utilisateur sur la console, les applications d’écran de verrouillage de l’utilisateur sont redémarrées et deviennent disponibles.
Notes
Après un redémarrage Windows Update provoqué, le dernier utilisateur interactif est automatiquement connecté et la session est verrouillée afin que les applications d’écran de verrouillage de l’utilisateur puissent s’exécuter.
Aperçu rapide
Windows Update nécessite un redémarrage
L’ordinateur peut-il redémarrer (aucune application en cours d’exécution ne perdrait des données) ?
Redémarrer pour vous
Se reconnecter
Verrouiller l’ordinateur
Activé ou désactivé par stratégie de groupe
- Désactivé par défaut dans les références SKU de serveur
Pourquoi ?
Certaines mises à jour ne peuvent pas se terminer tant que l’utilisateur ne se reconnecte pas.
Meilleure expérience utilisateur : pas besoin d’attendre 15 minutes avant la fin de l’installation des mises à jour
Comment faire ? AutoLogon
stocke le mot de passe, utilise ces informations d’identification pour vous connecter
enregistre les informations d’identification en tant que secret LSA dans la mémoire paginée
Peut être activé uniquement si BitLocker est activé
Stratégie de groupe : connexion du dernier utilisateur interactif automatiquement après un redémarrage initié par le système
Dans Windows 8.1/Windows Server 2012 R2, l’ouverture de session automatique de l’utilisateur de l’écran de verrouillage après un redémarrage Windows Update est activée pour les références SKU de serveur et désactivée pour les références SKU clientes.
Emplacement de la stratégie : Configuration de l’ordinateur >Stratégies > Modèles d’administration > Composants Windows > Option d’ouverture de session Windows
Nom de la stratégie : connexion du dernier utilisateur interactif automatiquement après un redémarrage initié par le système
Prise en charge sur : au moins Windows Server 2012 R2, Windows 8.1 ou Windows RT 8.1
Description/Aide :
Ce paramètre de stratégie détermine si un appareil connecte automatiquement le dernier utilisateur interactif après un redémarrage du système par Windows Update.
Si vous activez ou ne configurez pas ce paramètre de stratégie, l’appareil enregistre en toute sécurité les informations d’identification de l’utilisateur (notamment le nom d’utilisateur, le domaine et le mot de passe chiffré) pour configurer la connexion automatique après un redémarrage Windows Update. Après le redémarrage Windows Update, l’utilisateur est automatiquement connecté et la session est automatiquement verrouillée avec toutes les applications d’écran de verrouillage configurées pour cet utilisateur.
Si vous désactivez ce paramètre de stratégie, l’appareil ne stocke pas les informations d’identification de l’utilisateur pour la connexion automatique après un redémarrage Windows Update. Les applications d’écran de verrouillage de l’utilisateur ne sont pas redémarrées après le redémarrage du système.
Éditeur du Registre
| Nom de la valeur | Type | Données |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 Exemple : 0 (Activé) 1 (Désactivé) |
Emplacement du registre de stratégie : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type : DWORD
Nom du registre : DisableAutomaticRestartSignOn
Valeur : 0 ou 1
0 = Activé
1 = Désactivé
Résolution des problèmes
Lorsque WinLogon se verrouille automatiquement, la trace d’état de WinLogon est stockée dans le journal des événements WinLogon.
L’état d’une tentative de configuration de journalisation automatique est journalisé
En cas de réussite,
- l’enregistre en tant que tel
En cas d’échec
- enregistre ce que l’échec a été
Lorsque l’état de BitLocker change :
la suppression des informations d’identification est journalisée
- Ces dernières seront stockées dans le journal des opérations LSA.
Raisons pour lesquelles la journalisation automatique peut échouer
Il existe plusieurs cas dans lesquels une connexion automatique d’utilisateur ne peut pas être obtenue. Cette section est destinée à rassembler les scénarios connus dans lesquels cela peut se produire.
L’utilisateur doit changer de mot de passe à la prochaine connexion
La connexion utilisateur peut entrer un état bloqué lorsque la modification du mot de passe lors de la prochaine connexion est requise. Cela peut être détecté avant le redémarrage dans la plupart des cas, mais pas tous (par exemple, l’expiration du mot de passe peut être atteinte entre l’arrêt et la prochaine connexion.
Compte d’utilisateur désactivé
Une session utilisateur existante peut être conservée même si elle est désactivée. Le redémarrage d’un compte désactivé peut être détecté localement dans la plupart des cas à l’avance, en fonction de la stratégie de groupe, il peut ne pas s’agir des comptes de domaine (certains scénarios de connexion mise en cache de domaine fonctionnent même si le compte est désactivé sur le contrôleur de domaine).
Heures de connexion et contrôles parentaux
Les heures d’ouverture de session et les contrôles parentaux peuvent empêcher la création d’une session utilisateur. Si un redémarrage devait se produire pendant cette fenêtre, l’utilisateur ne serait pas autorisé à se connecter. Il existe une stratégie supplémentaire qui provoque le verrouillage ou la déconnexion en tant qu’action de conformité. Cela peut être problématique dans de nombreux cas d’enfants où le verrouillage du compte peut se produire entre le moment du coucher et le réveil, en particulier si la fenêtre de maintenance est généralement pendant cette période.
Ressources supplémentaires
Table SEQ Table \* ARABIC 3: ARSO Glossary
| Terme | Définition |
|---|---|
| Autologon | La connexion automatique est une fonctionnalité présente dans Windows depuis plusieurs versions. Il s’agit d’une fonctionnalité documentée de Windows qui dispose même d’outils tels que l’ouverture de session automatique pour Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx Elle permet à un seul utilisateur de l’appareil de se connecter automatiquement sans entrer d’informations d’identification. Les informations d’identification sont configurées et stockées dans le Registre en tant que secret LSA chiffré. |