Automatyczne blokowanie komputerów

Blokowanie komputera, czyli chwilowe zabezpieczenie go hasłem bez konieczności wylogowania się i zamykania uruchomionych programów to rzecz banalna i dostępna w Windowsach od wielu lat. Każdy świadomy użytkownik komputera robi to odruchowo idąc na kawę czy spotkanie, nie tylko po to, aby zabezpieczyć się przed żartami kolegów („włamanie” na Facebooka, wysłanie maila w jego imieniu), ale też by uniknąć realnego zagrożenia, jakim jest dostęp niepowołanej osoby do poufnych danych. Mając świadomość jak istotny jest to nawyk, stajemy przed podstawowymi pytaniami:  Jak zachęcić do tego użytkowników? Jak wdrożyć automatyczne blokowanie? Zacznijmy jednak od podstaw.

 

Zablokowanie lokalnego komputera

Metod blokowana lokalnej maszyny jest kilka: ot, choćby wybranie odpowiedniej opcji z menu start, wybranie z listy po wciśnięciu Ctr+Alt+Del, albo też użycie wielokrotnie wspominanego skrótu klawiszowego  Windows+L, ale jestem pewien,  że o tym od dawna wiecie 😉

Zablokowanie zdalnego komputera

Czasem może pojawić się potrzeba zablokowania zdalnej maszyny (na przykład, gdy przypominacie sobie, że nie zablokowaliście jakiegoś komputera, a akurat jesteście z dala od niego).  Jeśli pamiętacie mój artykuł o psshutdown.exe , to znacie rozwiązanie:

psshutdown.exe -l \\nazwa_komputera

Polityka automatycznego blokowania wielu komputerów

Komputery i serwery mogą blokować się same po określonym czasie nieaktywności. Zaznaczę jednak, że tak naprawdę nie będziemy wywoływać akcji „zablokuj komputer”, tylko uruchomimy wygaszacz ekranu zablokowany hasłem. Efekt ten sam, ale wypadało to wyjaśnić 😉

W środowisku BEZ DOMENY, musimy pogrzebać w rejestrze na każdej maszynie i każdym zalogowanym użytkowniku. Musimy zmodyfikować 2 klucze, których lokalizacja nieco różni się w zależności od wersji Windows.

W Windows XP, 2003 Serwer jest to:

HKCU/Software/Policies/Microsoft/Windows/Control Panel/Desktop

W Windows Vista/7/8, 2008 Server jest to:

HKCU/Control Panel/Desktop

Klucze, które należy zmodyfikować to:

ScreenSaverIsSecure (domyślna wartość „0” oznacza wyłączenie hasła w wygaszaczu i musimy ją ustawić na „1”, aby aktywować tę funkcję.)

ScreenSaveTimeOut – to oczywiście czas w sekundach, po jakim włączy się wygaszacz.  Oczywiście zbyt krótki (np. 2 minuty) spowoduje pewnie fale krytyki od użytkowników, którym zbyt często blokuje się maszyna, a zbyt długi (np. 25 minut) mija się z celem, gdyż w tym czasie dostęp do komputera będzie nieograniczony.

 

Polityka GPO

W domenie dzięki GPO można to zrobić łatwo i przyjemnie i nie musimy ciągle pamiętać o wykonywaniu zmiany na nowych komputerach.

Do edycji GPO użyjemy przystawki Group Policy Management. W Windows XP w edytorze wybieramy kolejno:

User Configuration\Administrative Templates\Control Panel\Display

W Vista i nowszych:

User Configuration\Administrative Templates\Control Panel\Personalization

Wartość “Password Protect The Screen Saver”  ustawiamy na “Enabled”, a “Screen Saver Timeout” również na “Enabled” wraz z liczbą oznaczającą po ilu sekundach uruchomi się wygaszacz.

I to wszystko 🙂  Teraz wystarczy upewnić się, że utworzona polityka GPO została podpięta do odpowiedniego kontenera (OU).

Polityka automatycznego blokowania komputerów to jeden z ważniejszych elementów Polityki Bezpieczeństwa w firmie. Nawet najbardziej złożone hasła użytkowników nie zabezpieczą nas przed dostępem osób niepowołanych, jeśli zostawimy im do dyspozycji zalogowany komputer.  Jeśli jeszcze nie stosujecie opisanego zabezpieczenia, zachęcam do skorzystania z tej porady.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

9 komentarzy

  1. Benko pisze:

    Teraz wystarczy upewnić się, że utworzona polityka GPO została podpięta do odpowiedniego kontenera (OU)
    Dla laika, proszę o instrukcję gdzie to sprawdzić?
    Dzięki

  2. Artur pisze:

    Mam pytanie. Bo w GPO ustawiłem wygaszacz na 10 minut, a na niektórych stacjach włącza się on po 1 minucie. W ustawieniach użytkownik widzi 10 minut.

    • Jesteś na 100% pewien, że to wygaszacz? Serio miałem takie skargi u siebie w firmie, i zawsze był to MONITOR przechodzący w stan uśpienia.

    • Artur pisze:

      Użytkownikom włącza sie wygaszacz. Monitor też jest na 10 minut ustawiony

    • Przed zaaplikowaniem GPO było coś robione z wygaszaczami przez zmiany w rejestrze?

      Podejrzyj sobie zawartość klucza na pechowym komputerze i zalogowanym użytkowniku:
      HKEY_CURRENT_USERControl PanelDesktopScreenSaveTimeOut

    • Artur pisze:

      OK rzeczywiście był problem w rejestrze. Po restarcie wszystko jest ok. Dziękuę za pomoc

    • Artur pisze:

      Mam jeszcze jedno pytanie , czy można w tej polityce ustawić tak, żeby nie zmieniał użytkownikom ustawień dla przycisku zasilania i zamknięcia klapy?

    • Opcji zasilania musisz szukać tutaj: User configuration > Preferences > Control Panel Settings > Power Options

Dodaj komentarz