Блокировка экрана компьютера при простое с помощью групповой политики

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

1. 1. Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
   2. Перейдите в режим редактирования политики и выберите секцию User Configuration ->Policies ->Administrative Templates ->Control Panel ->Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
   3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
      • Enable screen saver — включить экранную заставку;
      • Password protect the screen saver — требовать пароль для разблокировки компьютера;
      • Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
      • Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это scrnsave.scr (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
      • Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

• Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
• Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

• Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
• Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
• Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Как запретить (отключить) блокировку компьютера в Windows

В данной статье показаны действия, с помощью которых можно запретить (отключить) или разрешить блокировку компьютера в операционной системе Windows 7, 8.1 и 10.

Блокировка компьютера защищает его от несанкционированного использования, когда нужно отойти от компьютера и вы не хотите выходить из системы или выключать компьютер. Когда вы заблокируете компьютер, то по умолчанию включится экран блокировки. Другие пользователи по-прежнему могут входить в свои учетные записи используя экран входа.

Если вы отключите блокировку компьютера, то блокировка будет удалена из меню Пуск, с экрана безопасности (Ctrl+Alt+Del), а также будет отключено сочетание клавиш + L с помощью которого блокируется компьютер.

Чтобы запретить (отключить) или разрешить блокировку компьютера, необходимо войти в систему с правами администратора.

Редактор локальной групповой политики

Редактор локальной групповой политики доступен в Windows 10 редакций Pro, Enterprise, Education Данный способ позволяет запретить (отключить) или разрешить блокировку компьютера только для текущей учетной записи пользователя.

Чтобы запретить (отключить) или разрешить блокировку компьютера, откройте редактор локальной групповой политики, для этого нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите (скопируйте и вставьте) gpedit.msc и нажмите кнопку OK.

В открывшемся окне редактора локальной групповой политики, разверните следующие элементы списка:

Конфигурация пользователя ➯ Административные шаблоны ➯ Система ➯ Варианты действий после нажатия CTRL+ALT+DEL

Далее, в правой части окна дважды щелкните левой кнопкой мыши по параметру политики с названием Запретить блокировку компьютера.

В окне «Запретить блокировку компьютера» установите переключатель в положение Включено и нажмите кнопку OK.

Изменения вступают в силу сразу.

Блокировка через редактор реестра

Данный способ позволяет запретить (отключить) или разрешить блокировку компьютера только для всех пользователей компьютера и предполагает изменение параметров в системном реестре Windows.

Прежде чем вносить какие-либо изменения в реестр, настоятельно рекомендуется создать точку восстановления системы

Чтобы запретить (отключить) блокировку компьютера для всех (учётных записей) пользователей в Windows, откройте редактор реестра, для этого нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите (скопируйте и вставьте) regedit и нажмите кнопку OK.

В открывшемся окне редактора реестра перейдите по следующему пути:

Затем в разделе Winlogon, в правой части окна дважды щёлкните левой кнопкой мыши по параметру DisableLockWorkstation, установите в качестве его значения 1 и нажмите кнопку OK. Изменения вступают в силу сразу.

Чтобы разрешить (включить) блокировку компьютера, дважды щёлкните левой кнопкой мыши по параметру DisableLockWorkstation, установите в качестве его значения 0 и нажмите кнопку OK. Изменения вступают в силу сразу.

Использование файла реестра

Данный способ также позволяет запретить (отключить) или разрешить блокировку компьютера как для всех пользователей, так и для текущего пользователя с помощью внесения изменений в системный реестр Windows посредством файла реестра.

Прежде чем вносить какие-либо изменения в реестр, настоятельно рекомендуется создать точку восстановления системы

Все изменения производимые в реестре отображены ниже в листингах файлов реестра.

Чтобы запретить (отключить) блокировку компьютера для всех пользователей, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
«DisableLockWorkstation»=dword:00000001

Чтобы разрешить (включить) блокировку компьютера для всех пользователей, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
«DisableLockWorkstation»=dword:00000000

Чтобы запретить (отключить) блокировку компьютера для текущего пользователя, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]
«DisableLockWorkstation»=dword:00000001

Чтобы разрешить (включить) блокировку компьютера для текущего пользователя, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]
«DisableLockWorkstation»=-

Используя рассмотренные выше действия, можно запретить (отключить) или разрешить блокировку компьютера для всех пользователей или для текущей учетной записи пользователя, в операционной системе Windows 7, 8.1 и 10

Как включить функцию автоматической блокировки компьютера на Windows 10

В операционной системе Windows 10 есть масса полезных опций, среди которых предусмотрены как базовые функции, предназначенные для большинства пользователей, так и достаточно специфические. Одной из таких функций является возможность автоматической блокировки компьютера.

Назначение автоматической блокировки

Для защиты данных пользователя операционная система Windows 10 предусматривает возможность блокировки компьютера с помощью клавиатурной комбинации Win + L без необходимости выключать ПК или выходить из учетной записи. При этом получить доступ к операционной системе можно будет только после ввода пароля пользователя, при условии, что он был предварительно установлен.

Также можно активировать блокировку учетной записи при помощи специального ярлыка, в котором будет прописана соответствующая команда.

В обоих этих случаях для активации блокировки необходимо предпринять определенные действия. Однако для удобства можно настроить автоматическое включение блокировки Windows 10 по истечении определенного времени. Функция очень полезная, но в случае регулярных отлучений от рабочего места лучше всего использовать ручной метод.

Автоматическая блокировка подойдет тем, кто делает запланированные перерывы на более или менее точное время. После последнего действия пользователя пройдет некоторое время, и операционная система Windows 10 самостоятельно заблокирует доступ к учетной записи.

Включение автоматической блокировки компьютера на Windows 10

Включить функцию автоматической блокировки компьютера на Windows 10 можно двумя различными способами. Каждый из них стоит разобрать более подробно.

Через локальную политику безопасности

Утилита под названием «Локальная политика безопасности» предоставляется пользователям операционных систем Windows 10 Pro, Enterprise и Education. В данном случае необходимая процедура включает в себя выполнение следующих действий:

1. Открыть окно «Выполнить» с помощью клавиатурной комбинации Win+R.
2. В появившееся окно вписать команду secpol.msc и нажать Enter.
3. После этого откроется утилита « Локальная политика безопасности », в которой нужно перейти в раздел Локальные политики – Параметры безопасности .

Через редактор реестра

Эта методика более универсальна, так как подходит для всех пользователей Windows 10 независимо от редакции операционной системы.

1. Открыть окно «Выполнить» с помощью клавиатурной комбинации Win+R.
2. Ввести команду regedit и нажать Enter.
3. Пройти по пути HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System.

После этого операционная система Windows 10 будет автоматически блокироваться в том случае, если с момента последнего действия пользователя прошло указанное количество секунд. Отключить данную опцию можно удалением созданного параметра или выставлением значения «0» в соответствующем окне.

Методики, описанные в этой статье, позволят быстро включить опцию автоматической блокировки компьютера и защитить личные файлы от любопытных глаз. Выбор наиболее подходящего способа зависит от используемой редакции операционной системы Windows 10 и предпочтений каждого конкретного пользователя.