Что такое интерактивный вход
Интерактивный вход в систему: отображать сведения о пользователе, когда сеанс заблокирован
Относится к:
Описывает лучшие практики, расположение, значения и соображения безопасности для интерактивного логотипа: отображение сведений о пользователях при блокировке параметра политики безопасности сеанса.
Справочники
Этот параметр безопасности контролирует, отображаются ли сведения, такие как адрес электронной почты или имя пользователя, с иным иным пользователем на экране входной записи. Для клиентов, Windows 10 версии 1511 и 1507 (RTM), этот параметр работает аналогично предыдущим версиям Windows. Однако из-за нового параметра конфиденциальности, Windows 10 версии 1607, этот параметр безопасности влияет на этих клиентов по-разному.
Изменения, начиная с Windows 10 версии 1607
Начиная с Windows 10 версии 1607, в Windows 10 были добавлены новые функции для сокрытия сведений о имени пользователя, таких как адрес электронной почты по умолчанию, с возможностью изменения по умолчанию для демонстрации сведений. Эта функция управляется новым параметром конфиденциальности в Параметры > учетныхзаписей. > **** Параметр Privacy отключен по умолчанию, который скрывает сведения.
Интерактивный логотип: отображение сведений о пользователе при блокировке сеанса параметр групповой политики контролирует те же функции.
Этот параметр имеет эти возможные значения:
Имя отображения пользователя, домен и имена пользователей
Для локального логотипа отображается полное имя пользователя. Если пользователь подписался с помощью учетной записи Майкрософт, отображается адрес электронной почты пользователя. Для логотипа домена отображается имя домена\пользователя. Этот параметр имеет такой же эффект, как включение параметра Конфиденциальность.
Только имя отображения пользователя
Отображается полное имя пользователя, который заблокировали сеанс. Этот параметр имеет тот же эффект, что и отключение параметра Конфиденциальность.
Не отображать сведения о пользователях
Имена не отображаются. Начиная с Windows 10 версии 1607, этот параметр не поддерживается. Если выбран этот параметр, вместо него отображается полное имя пользователя, заблокившего сеанс. Это изменение делает этот параметр совместимым с функциональными возможностями нового параметра Конфиденциальность. Чтобы отобразить сведения о пользователе, внося параметр Групповой политики Интерактивный логотип: неотображайте последнюю подпись.
Только имена доменов и пользователей
Только для логотипа домена отображается имя пользователя. Параметр Конфиденциальности автоматически включит и выключит серый цвет.
Пустое
Параметр по умолчанию. Этот параметр переводится как «Не определено», но он будет отображать полное имя пользователя таким же образом, как только имя отображения пользователя параметра. При наборе параметра эту политику нельзя сбросить пустым или не определить.
Hotfix для Windows 10 версии 1607
Клиенты, Windows 10 версии 1607, не будут отображать сведения на экране входной записи, даже если выбран параметр Пользовательского отображения, домена и имен пользователей, так как параметр Privacy отключен. Если параметр Конфиденциальность включен, покажут сведения.
Параметр Конфиденциальности не может быть изменен для клиентов в массовом объеме. Вместо этого применяем 4013429 КБ для клиентов, Windows 10 версии 1607, чтобы они вели себя так же, как и предыдущие версии Windows. Клиентам, которые запускают более поздние версии Windows 10, не требуется hotfix.
Существуют соответствующие параметры групповой политики:
Взаимодействие с связанными настройками групповой политики
Для всех версий Windows 10 по умолчанию отображается только имя отображения пользователя.
Если пользователь блокирует отображение сведений учетной записи при входе, отображается только имя отображения пользователя независимо от других параметров групповой политики. Пользователи не смогут показывать сведения.
Если **** не включено отображение сведений учетной записи при входе, можно установить интерактивный логотип: отображение сведений о пользователе, когда сеанс заблокирован для отображения имени пользователя, домена и имен пользователей или домена и имен пользователей, только для отображения дополнительных сведений, таких как domain\username. **** В этом случае клиентам, Windows 10 версии 1607, требуется 4013429 КБ. Пользователи не смогут скрыть дополнительные сведения.
Если не включено отображение сведений учетной **** записи во входе и не отображается последняя запись, имя пользователя не будет отображаться.
Рекомендации
Реализация этой политики зависит от требований к безопасности для отображаемой информации с логотипом. Если вы запустите компьютеры, хранимые конфиденциальные данные, с мониторами, отображаемыми в незащиченных расположениях, или если у вас есть компьютеры с удаленным доступом к конфиденциальным данным, выявление в журнале полных имен пользователей или имен учетных записей домена может противоречить общей политике безопасности.
В зависимости от политики безопасности также может потребоваться включить логотип Interactive: Не отображайте политику фамилии пользователя.
Местонахождение
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Значения по умолчанию
| Тип сервера или объект групповой политики (GPO) | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию отдельного сервера | Не определено |
| Эффективные параметры контроллера домена по умолчанию | Имя отображения пользователя, домен и имена пользователей |
| Параметры сервера-участника по умолчанию | Имя отображения пользователя, домен и имена пользователей |
| Эффективные параметры по умолчанию GPO на клиентских компьютерах | Имя отображения пользователя, домен и имена пользователей |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.
Соображения конфликта политики
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповой политикой (GPMC), которая будет распространяться через объекты групповой политики (GPOs). Если эта политика не содержится в распределенной GPO, эту политику можно настроить на локальном компьютере с помощью привязки к локальной политике безопасности.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Когда компьютер отображает безопасный рабочий стол в необеспеченной области, некоторые сведения о пользователе могут быть легко доступны любому, кто смотрит на монитор физически или с помощью удаленного подключения. Отображаемая информация пользователя может включать имя учетной записи пользователя домена или полное имя пользователя, который заблокировали сеанс или вошел в систему в последний раз.
Противодействие
Включение этого параметра политики позволяет операционной системе скрывать определенные сведения пользователей от отображения на безопасном рабочем столе (после загрузки устройства или при блокировке сеанса с помощью CTRL+ALT+DEL). Однако сведения о пользователе отображаются, если используется функция Switch, чтобы отображаться плитки с логотипом для каждого пользователя, зарегистрированного в журнале.
Кроме того, может потребоваться включить интерактивный логотип: не отображать последнюю политику входа, которая не позволит операционной системе Windows отобразить имя логотипа и логотипную плитку последнего пользователя, чтобы войти в систему.
Безопасность при работе в сети
Вход в систему
Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой.
Типы процессов входа в систему
При использовании Windows 2000 в качестве операционной системы сервера, Windows XP Professional использует четыре типа процессов входа.
При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе.
Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer.myorganization.com.
Интерактивный вход
Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит «за кулисами». В процессе входа задействованы следующие компоненты.
Запуск от имени
Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.
Запуск от имени позволяет запускать:
Для запуска Run As проделайте следующие шаги.
Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС.
Как, используя встроенные возможности операционной системы «Windows 10», включить или отключить безопасный вход в систему?
Но особенно большое внимание ей стали уделять после стремительного развития огромного множества различных вариантов образцов персональных компьютерных устройств, представленных в стационарном и мобильном исполнении.
Введение
Основными и наиболее востребованными видами компьютерных устройств, которые бесспорно можно назвать основополагающими представителями данного класса, безоговорочно являются настольные персональные компьютеры и ноутбуки широкого вариативного ряда. Обладая сверх скоростными и высоко производительными внутренними комплектующими, означенные образцы компьютерных устройств способны мгновенно исполнять большой объем единовременных высоко затратных процессов, освобождая пользователей от трудоемких действий, значительно упрощая общее взаимодействие последних как между собой, так и с разнообразными видами информационных материалов, в последнее время регулярно и в огромных количествах используемыми пользователями в своей ежедневной деятельности.
Полноценно решать поставленные задачи и максимально использовать заложенные производителями возможности компьютеров помогает современное программное обеспечение, основное усилие которого направлено на увеличение общего уровня производительности, снижение трудоемкости обслуживаемых процессов и повышение удобства каждодневного использования устройств.
Одним из таких, массово представленных на рынке программных продуктов, неоспоримо является операционная система «Windows» производства корпорации «Microsoft». Обладая существенными и многочисленными преимуществами, система «Windows» значительно опередила схожие программные оболочки других производителей, и как следствие, представлена на подавляющем количестве пользовательских компьютеров в мире.
Операционная система «Windows», особенно новейшая ее версия «Windows 10», уделяет повышенное внимание обеспечению серьезного уровня безопасности как информационных материалов, хранящихся на персональных компьютерах или обрабатываемых посредством возможностей системы и установленных в ней приложениях, так и непосредственно защите компьютера, проверяя и контролируя доступ к нему при помощи доступных встроенных системных инструментов.
Это означает, что пользователи могут дополнительно укрепить защиту своего персонального компьютера, на базе самой целевой операционной системы на планете «Windows 10», и на соответствующем безопасном уровне полноценно обеспечить себе защиту как при взаимодействии по сети, так и в автономном режиме. И далее в нашем руководстве показано, как включить или отключить такой инструмент защиты, как безопасный вход в систему «Windows 10».
Безопасный вход является дополнительным компонентом, который присутствует на экране входа в «Windows 10». К сожалению, данный инструмент не способен помешать кому-либо получить доступ к пользовательскому компьютеру, если сторонний человек обладает корректными учетными данными конкретного пользователя для успешного входа в систему. Однако, встроенный инструмент скрывает стандартные поля для ввода данных, пока пользователь не наберет ключевую комбинацию символов. Лишь после верного исполнения, поля для ввода «ПИН-кода» или данных учетной записи становиться доступны для использования в обычном режиме.
Инструмент безопасного входа направлен на предотвращение зловредных действий вредоносных программ. Вредоносный код может находиться на компьютере пользователя, функционировать в фоновом режиме и подделывать экран входа в «Windows 10», чтобы захватывать учетные данные пользователя для дальнейшей передачи злоумышленнику. Поскольку приложения и программы, как правило, не имеют доступа к команде «Ctrl + Alt + Delete», пользователи могут обойти ложный экран входа в систему с помощью безопасного входа, который активируется путем ввода данной команды из трех клавиш, и быть полноценно уверенными, что вводят свои данные действительно в стандартные системные поля.
Активировать инструмент безопасного входа можно разными способами, и далее мы подробнее на них остановимся.
Способ 1. Включить или отключить инструмент безопасного входа в настройках учетных записей пользователей
При использовании данного способа пользователям потребуется запустить панель «Учетные записи пользователей», воспользовавшись специальным исполняемым системным приложением «Netplwiz», активирующимся соответствующей одноименной командой.
Для отображения панели пользователям необходимо задействовать возможности диалогового окна «Выполнить», открыть которое можно путем совместного нажатия комбинации клавиш «Windows + R». В текстовом поле «Открыть» запущенного окна введите команду «netplwiz» (без граничных кавычек), а затем нажмите на кнопку «ОК» или клавишу «Ввод» на клавиатуре для непосредственного исполнения. 
Кроме того, пользователи могут получить доступ к панели «Учетные записи пользователей» и другим способом. Например, нажмите на «Панели задач» в нижнем левом углу рабочего стола на кнопку «Поиск», выполненную в виде значка с изображением лупы, и откройте поисковую панель. В поле ввода запроса наберите фразу «netplwiz». Система мгновенно произведет поиск подходящих вариантов, и в поле «Лучшее соответствие» представит итоговый результат. Щелкните его левой кнопкой мыши или нажмите в боковом меню поисковой панели на кнопку «Открыть» для мгновенного отображения востребованной панели «Учетные записи пользователей». 
Искомая панель настроек учетных записей появится на экране. Перейдите на вкладку «Дополнительно» (если она не загружается сразу напрямую по умолчанию). В нижней части панели в разделе «Безопасный вход в систему» отыщите параметр «Требовать нажатия CTRL + ALT + DELETE». Установите или снимите индикатор выбора («галочку») в связанной ячейке означенной строки параметра, чтобы соответственно включить или отключить инструмент безопасности на экране входа в «Windows 10». 
Нажмите на кнопку «Применить», а затем на кнопку «ОК» для завершения и сохранения установленных изменений настроек экрана доступа в систему.
Способ 2. Включить или отключить интерактивный вход в систему, используя приложение «Локальная политика безопасности»
В данном способе управления инструментом безопасного входа в операционную систему «Windows 10» пользователям потребуется использовать возможности приложения «Локальная политика безопасности», который несколько более трудоемкий, чем простое следование инструкциям, представленным в предыдущем разделе.
Запустите диалоговое окно «Выполнить», одновременно нажав комбинацию клавиш «Windows + R». В открывшемся окне в текстовом поле набора запроса «Открыть» введите команду «secpol.msc» (без учета наружных кавычек), а затем нажмите клавишу «Ввод» на клавиатуре или на кнопку «ОК» для выполнения. 
Как и в ранее представленном «Способе 1», пользователи также могут получить доступ к приложению «Локальная политика безопасности», осуществив набор фразы «secpol.msc» в поле запроса поисковой панели, добиться отображения которой следует путем нажатия на кнопку «Поиск» на «Панели задач» в левом нижнем углу рабочего стола, и щелкнув итоговый результат, представленный в разделе «Лучшее соответствие», или нажав на кнопку «Открыть» в боковом правом меню поисковой панели. 
В открывшемся, по результатам исполненных действий, окне приложения «Локальная политика безопасности» разверните в левой боковой панели раздел «Локальные политики», выбрав требуемый из перечисленных вариантов доступных разделов параметров безопасности, нажав на схематическую стрелку «вправо» в строке соответствующего раздела, а потом, из списка вложенных директорий, выберите подпапку «Параметры безопасности». Теперь в связанной правой панели окна, используя стандартные методы перемещения посредством колеса управления компьютерной мыши или ползунка полосы прокрутки, отыщите и дважды щелкните левой кнопкой мыши строку записи политики «Интерактивный вход в систему: не требовать нажатия CTRL + ALT + DEL». 
Всплывающая панель свойств выбранной записи политики мгновенно будет отображена на экране, и по умолчанию представлена вкладкой «Параметр локальной безопасности». Установите в связанной ячейке строки «Включен» или «Отключен» индикатор выбора (точку), чтобы соответственно включить или отключить данную функцию. Завершите настройку и сохраните внесенные изменения, нажав на кнопку «Применить», а затем на кнопку «ОК». 
Способ 3. Включить или отключить инструмент безопасного входа в систему посредством возможностей приложения «Редактор реестра»
Данный вариант предполагает наличие у пользователей определенных знаний и навыков, позволяющих им производить процедуру редактирования реестра операционной системы «Windows 10», и подходит для уверенных опытных пользователей. Однако стоит помнить, что неосторожные или необдуманные действия, связанные с внесением пользователями изменений в реестр, могут привести к развитию разнообразных ошибок, возможному отказу отдельных приложений или даже полному краху операционной системы.
Откройте диалоговое окно «Выполнить», воспользовавшись одновременным нажатием комбинации клавиш «Windows + R». Введите команду «regedit» (опустив внешние кавычки) в текстовое поле «Открыть» и нажмите на кнопку «ОК» или щелкните на клавиатуре клавишу «Ввод» для продолжения. 
Как и в первых двух предыдущих вариантах, пользователи могут получить доступ к «Редактору реестра» из поисковой панели, открывающейся нажатием на кнопку «Поиск» на «Панели задач» в левом нижнем углу рабочего стола, набрав в соответствующем текстовом поле запрос «regedit» или «редактор реестра» и щелкнув, представленный в разделе «Лучшее соответствие», итоговой результат, или нажав на кнопку «Открыть» в боковом меню панели поиска. 
В окне приложения «Редактор реестра» осуществите пошаговый последовательный переход и разверните вложенные папки в следующем порядке:
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
После выбора окончательной папки из предложенного ряда «Winlogon», в правой панели окна будут отображены ее вложенные записи, управляющие определенными заданными параметрами. Отыщите в представленном списке запись реестра «DisableCad» и дважды щелкните ее левой кнопкой мыши, чтобы осуществить запуск всплывающего окна, ответственного за смену установленных настроек. 
В представленном окне «Изменение параметра DWORD (32 бита)» установите в текстовом поле «Значение» один из двух числовых коэффициентов, каждый из которых задает определенное действие:
Затем нажмите на кнопку «ОК» для завершения редактирования параметров отмеченной записи реестра и сохранения установленных разрешений. Потом перезагрузите компьютер, чтобы заданные изменения вступили в силу. 
Примечание. Если в настройках директории «Winlogon» запись реестра «DisableCad» не отображена, то щелкните правой кнопкой мыши по названию «Winlogon» в левой панели окна и во всплывающем контекстном меню наведите курсор на раздел «Создать». Мгновенно будет отображено новое скрытое вложенное меню, в котором из представленных вариантов выберите раздел «Параметр DWORD (32 бита)». Новый параметр появиться в правой панели окна. Присвойте ему название «DisableCAD» (без ограничивающих кавычек) и измените его значение в соответствии с ранее описанным способом.
Заключение
Вопросы обеспечения общей безопасности как персональных компьютерных устройств, так и разнообразных информационных материалов, тем или иным способом хранящихся на компьютерах или задействованных в различных сферах деятельности пользователей, требуют ответственного подхода и наличия действенных инструментов защиты.
Операционная система «Windows», массово представленная на подавляющем количестве персональных компьютеров в мире, обладает встроенными инструментами безопасности, установленными по умолчанию, как непосредственно сразу активными после первичной установки системы, так и требующими дополнительного включения при соответствующем желании пользователей.
Для исключения непредвиденной кражи пользовательских данных учетной записи, позволяющих осуществлять беспрепятственный доступ в систему, в «Windows 10», новейшей версии операционной системы корпорации «Microsoft» присутствует защитный инструмент безопасного доступа на экране входа. Применяя описанные в данном руководстве способы, пользователи могут быстро включить или, при соответствующей необходимости, отключить доступный инструмент безопасности любым из предложенных вариантов.
Полную версию статьи со всеми дополнительными видео уроками читайте в нашем блоге.