ARSO (Logon de Reinicialização Automática) do Winlogon
Durante um Windows Update, há processos específicos do usuário que precisam ocorrer para que a atualização seja concluída. Esses processos exigem que o usuário esteja conectado ao dispositivo. No primeira conexão após o início de uma atualização, os usuários precisam aguardar esses processos específicos do usuário serem concluídos para começar a usar o dispositivo.
Como ele funciona?
Quando o Windows Update inicia uma reinicialização automática, o ARSO extrai as credenciais derivadas do usuário conectado no momento, persiste-as em disco e configura o logon automático para o usuário. O Windows Update em execução como sistema com o privilégio TCB inicia a chamada RPC.
Após a reinicialização final do Windows Update, o usuário será conectado automaticamente por meio do mecanismo de logon automático e a sessão do usuário será reidratada com os segredos persistentes. Além disso, o dispositivo é bloqueado para proteger a sessão do usuário. O bloqueio é iniciado por meio do Winlogon, enquanto que o gerenciamento de credenciais é feito pela LSA (autoridade de segurança local). Após uma configuração do ARSO bem-sucedida e uma conexão, as credenciais salvas são imediatamente excluídas do disco.
Ao fazer logon e bloquear automaticamente o usuário no console, o Windows Update pode concluir os processos específicos do usuário antes que o usuário retorne ao dispositivo. Dessa forma, o usuário pode começar imediatamente a usar o dispositivo.
O ARSO trata dispositivos não gerenciados e gerenciados de maneira diferente. Para os dispositivos não gerenciados, a criptografia do dispositivo é usada, mas não é necessária para o usuário obter o ARSO. Para os dispositivos gerenciados, o TPM 2.0, o SecureBoot e o BitLocker são necessários para a configuração do ARSO. Os administradores de TI podem substituir esse requisito por meio da Política de Grupo. Atualmente, o ARSO para dispositivos gerenciados só está disponível para os dispositivos ingressados no Microsoft Entra ID.
| Windows Update | shutdown -g -t 0 | Reinicializações iniciadas pelo usuário | APIs com sinalizadores SHUTDOWN_ARSO/EWX_ARSO |
|---|---|---|---|
| Dispositivos gerenciados – Sim Dispositivos não gerenciados – Sim |
Dispositivos gerenciados – Sim Dispositivos não gerenciados – Sim |
Dispositivos gerenciados – Não Dispositivos não gerenciados – Sim |
Dispositivos gerenciados – Sim Dispositivos não gerenciados – Sim |
Observação
Após uma reinicialização induzida pelo Windows Update, o último usuário interativo é conectado automaticamente e a sessão é bloqueada. Isso permite que os aplicativos de tela de bloqueio de um usuário ainda sejam executados, apesar da reinicialização do Windows Update.
Política nº 1
Conectar e bloquear o último usuário interativo automaticamente após uma reinicialização iniciada
No Windows 10, o ARSO está desabilitado para SKUs de Servidor e recusado nos SKUs de Cliente.
Local da política de grupo: Configuração do Computador > Modelos Administrativos > Componentes do Windows > Opções de Entrada do Windows
Política do Intune:
- Plataforma: Windows 10 e posterior
- Tipo de perfil: Modelos Administrativos
- Caminho: \Componentes do Windows\Opções de Logon do Windows
Compatível com: no mínimo, Windows 10 versão 1903
Descrição:
Essa configuração de política controla se um dispositivo conectará e bloqueará automaticamente o último usuário interativo após a reinicialização do sistema ou após um desligamento e uma inicialização a frio.
Isso só ocorre se o último usuário interativo não tiver saído antes da reinicialização ou do desligamento.
Se o dispositivo estiver ingressado no Active Directory ou no Microsoft Entra ID, essa política só se aplicará às reinicializações do Windows Update. Caso contrário, isso se aplicará às reinicializações do Windows Update e às reinicializações e aos desligamentos iniciados pelo usuário.
Se você não definir essa configuração de política, ela será habilitada por padrão. Quando a política está habilitada, o usuário é conectado automaticamente. Além disso, depois que o dispositivo é inicializado, a sessão é bloqueada com todos os aplicativos de tela de bloqueio configurados para esse usuário.
Depois de habilitar essa política, você poderá definir suas configurações por meio da política ConfigAutomaticRestartSignOn. Ela define o modo para entrar automaticamente e bloqueia o último usuário interativo após uma reinicialização ou inicialização a frio.
Se você desabilitar a configuração dessa política, o dispositivo não vai configurar a entrada automática. Os aplicativos de tela de bloqueio do usuário não são reiniciados após a reinicialização do sistema.
Editor do Registro:
| Nome do valor | Tipo | Dados |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (Habilitar o ARSO) |
| 1 (Desabilitar o ARSO) |
Local do Registro da política: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Tipo: DWORD
Política nº 2
Configurar o modo de entrada e bloqueio automáticos do último usuário interativo após uma reinicialização ou uma inicialização a frio
Local da política de grupo: Configuração do Computador > Modelos Administrativos > Componentes do Windows > Opções de Logon do Windows
Política do Intune:
- Plataforma: Windows 10 e posterior
- Tipo de perfil: Modelos Administrativos
- Caminho: \Componentes do Windows\Opções de Logon do Windows
Compatível com: no mínimo, Windows 10 versão 1903
Descrição:
Essa configuração de política controla a configuração na qual uma reinicialização automática e o logon e o bloqueio ocorrem após uma reinicialização ou uma inicialização a frio. Se você escolher "Desabilitado" na política "Entrar e bloquear o último usuário interativo automaticamente após uma reinicialização", a conexão automática não ocorrerá e essa política não precisará ser configurada.
Se você habilitar essa configuração de política, poderá escolher uma das duas seguintes opções:
- A configuração “Habilitado se o BitLocker estiver ativado e não suspenso” especifica que o logon automático e o bloqueio só ocorrerão se o BitLocker estiver ativo e não suspenso durante a reinicialização ou o desligamento. Os dados pessoais podem ser acessados no disco rígido do dispositivo neste momento se o BitLocker não estiver ativado ou estiver suspenso durante uma atualização. A suspensão do BitLocker remove temporariamente a proteção de componentes e dados do sistema, mas pode ser necessária em algumas circunstâncias para atualizar com sucesso os componentes críticos de inicialização.
- O BitLocker é suspenso durante as atualizações se:
- O dispositivo não tem o TPM 2.0 e o PCR7 ou
- O dispositivo não usa um protetor somente de TPM
- O BitLocker é suspenso durante as atualizações se:
- A configuração “Sempre Habilitado” especifica que o logon automático ocorrerá mesmo se o BitLocker estiver desativado ou suspenso durante a reinicialização ou o desligamento. Quando o BitLocker não está habilitado, os dados pessoais ficam acessíveis no disco rígido. A reinicialização e a conexão automáticas só devem ser executadas sob essa condição se você tiver certeza de que o dispositivo configurado está em um local físico seguro.
Se você desabilitar ou não definir essa configuração, o logon automático usará como padrão o comportamento “Habilitado se o BitLocker estiver ativado e não suspenso”.
Editor do Registro
| Nome do valor | Tipo | Dados |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (Habilitar o ARSO se for seguro) |
| 1 (Habilitar o ARSO sempre) |
Local do Registro da política: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Tipo: DWORD
Solução de problemas
Quando o Winlogon realiza um logon, o rastreamento de estado dele é armazenado no seu log de eventos. Verifique Logs de Aplicativos e Serviços > Microsoft > Windows > Winlogon > Operacional no Visualizador de Eventos para os seguintes eventos do Winlogon:
| ID do evento | Descrição do evento | Origem do Evento |
|---|---|---|
| 1 | Authentication started. |
Winlogon |
| 2 | Authentication stopped. Result 0 |
Winlogon |
O status de uma tentativa de configuração de ARSO é armazenado no log de eventos do LSA. Verifique Logs de Aplicativos e Serviços > Microsoft > Windows > LSA > Operacional no Visualizador de Eventos para os seguintes eventos do LSA:
| ID do evento | Descrição do evento | Origem do Evento |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> |
LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory |
LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: <errorText> |
LSA |
Motivos pelos quais o logon automático pode falhar
Há vários casos em que um logon automático do usuário não pode ser feito. Esta seção destina-se a capturar os cenários conhecidos nos quais isso pode ocorrer.
O usuário deve alterar a senha no próximo logon
O logon do usuário pode entrar em um estado bloqueado quando a alteração de senha no próximo logon é necessária. Isso pode ser detectado antes da reinicialização na maioria dos casos, mas nem todos (por exemplo, a validade da senha pode ser atingida entre o desligamento e o próximo logon).
Conta de usuário desabilitada
Uma sessão de usuário existente pode ser mantida mesmo se desabilitada. A reinicialização de uma conta desabilitada pode ser detectada localmente na maioria dos casos com antecedência, dependendo da GP, pode não se destinar às contas de domínio (alguns cenários de logon armazenados em cache de domínio funcionam mesmo se a conta estiver desabilitada no controlador de domínio).
Horários de logon e controles parentais
Os horários de logon e os controles dos pais podem proibir a criação de uma sessão de usuário. Se uma reinicialização tiver que ocorrer durante essa janela, o usuário não terá permissão para fazer entrar. A política também causa o bloqueio ou o logoff como uma ação de conformidade. O status de uma tentativa de configuração do Logon Automático é registrado em log.
Detalhes de segurança
Nos ambientes em que a segurança física do dispositivo é uma preocupação (por exemplo, o dispositivo pode ser roubado), a Microsoft não recomenda o uso do ARSO. O ARSO depende da integridade do firmware da plataforma e do TPM, e um invasor com acesso físico talvez possa comprometê-los e, dessa forma, acessar as credenciais armazenadas em disco com o ARSO habilitado.
Nos ambientes corporativos em que a segurança dos dados do usuário protegidos pela DPAPI (API de Proteção de Dados) é uma preocupação, a Microsoft não recomenda o uso do ARSO. O ARSO afeta negativamente os dados do usuário protegidos pela DPAPI porque a descriptografia não exige as credenciais do usuário. As empresas devem testar o impacto na segurança dos dados do usuário protegidos pela DPAPI antes de usar o ARSO.
Credenciais armazenadas
| Hash de senha | Chave de credencial | Tíquete de concessão de tíquete | Token de atualização principal |
|---|---|---|---|
| Conta local – Sim | Conta local – Sim | Conta local – Não | Conta local – Não |
| Conta MSA – Sim | Conta MSA – Sim | Conta MSA – Não | Conta MSA – Não |
| Conta ingressada no Microsoft Entra - Sim | Conta ingressada no Microsoft Entra - Sim | Conta ingressada do Microsoft Entra - Sim (caso híbrida) | Conta ingressada no Microsoft Entra - Sim |
| Conta ingressada no domínio – Sim | Conta ingressada no domínio – Sim | Conta ingressada no domínio – Sim | Conta ingressada no domínio – Sim (se híbrida) |
Interação do Credential Guard
Há suporte para o ARSO no Credential Guard habilitado em dispositivos que usam o Windows 10 versão 2004 e posterior.
Recursos adicionais
O Logon Automático é um recurso que esteve presente no Windows em várias versões. É um recurso documentado do Windows que traz até ferramentas como o Logon Automático para Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Ele permite que um único usuário do dispositivo entre automaticamente sem inserir credenciais. As credenciais são configuradas e armazenadas no Registro como um segredo da LSA criptografado. Isso pode ser problemático para muitos casos filho em que o bloqueio da conta pode ocorrer entre a hora de dormir e de despertar, especialmente se a janela de manutenção for comum durante esse período.