Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован.
Справка
Когда в операционной системе Windows заблокирован сеанс (т. е. пользователь нажал на компьютере клавиши CTRL+ALT+DEL и отобразился безопасный рабочий стол), видны сведения о пользователе. По умолчанию эти сведения представлены в виде <имя пользователя> — вход выполнен. Отображаемое имя пользователя — это полное имя пользователя, указанное на его странице "Свойства". Эти параметры не применяются к плиткам для входа, которые отображаются на рабочем столе после использования функции Сменить пользователя. Согласно требованиям к безопасности отображаемую информацию можно изменить с помощью значений, представленных ниже.
Возможные значения
Выводимое имя пользователя, имена домена и пользователя
Если выполняется локальный вход, полное имя пользователя отображается на безопасном рабочем столе. Если выполняется вход в домен, отображается доменное имя и имя учетной записи пользователя.
"Только имя пользователя".
На безопасном рабочем столе отображается полное имя пользователя, заблокировавшего сеанс.
"Не отображать сведения о пользователе".
На безопасном рабочем столе не будет отображаться никаких имен, но на экране Сменить пользователя будет отображаться полное имя пользователя.
Пустое значение.
Значение по умолчанию. Оно означает, что значение не определено, но при этом будет отображаться полное имя пользователя, как при выборе параметра Выводимое имя пользователя, имена домена и пользователя. При выборе параметра вы не можете сбросить настройки политики, чтобы ее значение было неопределенным.
Рекомендации
Способ применения этой политики зависит от ваших требований к безопасности, касающихся отображения сведений при входе в систему. Если у вас есть устройства с конфиденциальными данными, мониторы которых видны в небезопасных местах либо к которым возможен удаленный доступ, раскрытие полных имен пользователей или имен учетных записей домена, с помощью которых выполняется вход в систему, может противоречить вашей общей политике безопасности.
Для реализации политики безопасности можно включить политику Интерактивный вход в систему: не отображать последнее имя пользователя, которая не позволит Windows отображать имя и плитку для входа того пользователя, который последним входил в систему.
Расположение
\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Выводимое имя пользователя, имена домена и пользователя |
Действующие параметры рядового сервера по умолчанию |
Выводимое имя пользователя, имена домена и пользователя |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Выводимое имя пользователя, имена домена и пользователя |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Нет
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если компьютер находится в небезопасном месте, некоторые сведения о пользователе, отображаемые на безопасном рабочем столе, могут стать доступны посторонним, как благодаря физическому доступу, так и через удаленное подключение. Отображаемая информация может включать имя учетной записи пользователя в домене или полное имя пользователя, заблокировавшего сеанс или входившего в систему последним.
Меры противодействия
Включение этого параметра политики позволит операционной системе скрыть некоторые сведения о пользователе, отображаемые на безопасном рабочем столе (после загрузки устройства или блокировки сеанса с помощью клавиш CTRL+ALT+DEL). Несмотря на это, сведения о пользователях будут отображаться при использовании функции Сменить пользователя, чтобы отображались плитки для входа всех пользователей.
Кроме того, можно включить политику Интерактивный вход в систему: не отображать последнее имя пользователя, которая не позволит Windows отображать имя и плитку для входа того пользователя, который последним входил в систему.
Возможные последствия
Если вы не включите эту политику, результат будет таким же, как если бы вы включили ее и выбрали параметр Выводимое имя пользователя, имена домена и пользователя.
Если политика включена и выбрано значение Не отображать сведения о пользователе, наблюдатель не сможет увидеть на безопасном рабочем столе, кто вошел в систему. Но плитка для входа по-прежнему будет видна, если не включена политика Интерактивный вход в систему: не отображать последнее имя пользователя. В зависимости от того, как настроены плитки для входа, они могут давать визуальные подсказки о том, какой пользователь вошел в систему. Кроме того, если политика Интерактивный вход в систему: не отображать последнее имя пользователя выключена, информация о пользователе будет отображаться при использовании функции Сменить пользователя.