通过 GPO 在不活动后启用 Windows 锁定屏幕

在本文中，我们将展示如何使用组策略在域计算机或服务器上配置自动屏幕（会话）锁定。当用户不活动（空闲）时锁定计算机屏幕是一个重要的信息安全要素。用户可能忘记锁定桌面（使用键盘快捷键

Win + L

）当他需要短时间离开工作场所时。在这种情况下，附近的任何其他员工或客户都可以访问他的数据。自动锁屏策略将修复此缺陷。一段时间不活动（空闲）后，用户的桌面将自动锁定，用户需要重新输入域密码才能返回会话。

让我们创建并配置域组策略来管理屏幕锁定选项：

1. 打开组策略管理控制台（

   gpmc.msc

   ），创建一个新的 GPO 对象 (LockScreenPolicy) 并将其链接到域根（或用户 OU）；

   

2. 编辑策略编辑并转到用户配置 -> 策略 -> 管理模板 -> 控制面板 -> 个性化；

3. GPO 部分中有一些用于管理屏幕保护程序和屏幕锁定设置的选项：

   • 启用屏幕保护程序

4. 密码保护屏幕保护程序 - 提示输入密码以解锁计算机

5. 屏幕保护程序超时 - 设置启用屏幕保护程序并在用户不活动时锁定计算机的时间（以秒为单位）

6. 强制使用特定的屏幕保护程序 - 您可以指定要使用的屏幕保护程序文件。最常见的就是

   scrnsave.scr

   （您可以使用 GPO 制作幻灯片屏幕保护程序）

7. 阻止更改屏幕保护程序 - 阻止用户更改屏幕保护程序设置

8. 启用所有策略并在屏幕保护程序超时策略中设置计算机空闲时间。我输入了300。这意味着用户会话将在5分钟后自动锁定；

   

9. 等待客户端上的组策略设置更新或使用以下命令手动刷新它们：

   gpupdate /force

   。应用 GPO 后，屏幕保护程序和屏幕锁定设置将受到保护，无法在 Windows 界面中进行编辑，并且用户会话将在 5 分钟不活动后被锁定（要诊断 GPO 的应用方式，您可以使用 gpresult 工具和此链接后面的文章）。

在 Windows Server 2012/Windows 8 或更高版本中，有一个单独的计算机安全策略，用于设置计算机不活动时间，超过该时间后计算机将被锁定。该策略称为交互式登录：计算机不活动限制，您可以在计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项中找到它。

在某些情况下，您可能需要为不同的用户组配置不同的锁定策略。例如，办公室工作人员的屏幕应在 10 分钟后锁定，而生产或 SCADA 操作员的屏幕不应被锁定。要实施此类策略，您可以使用 GPO 安全过滤（请参阅使用 GPO 限制对 USB 设备的访问的示例）或 GPP 中的项目级目标。让我们更详细地研究后者。

您可以使用注册表而不是 GPO 配置计算机锁定设置，并通过 GPO 将相应的注册表设置部署到用户的计算机。以下注册表参数与上面讨论的策略相匹配。它们位于 HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop 中：

• 密码保护屏幕保护程序是一个 REG_SZ 参数，名称为 ScreenSaverIsSecure=1

• 屏幕保护程序超时是一个 REG_SZ 参数，名称为 ScreenSaveTimeout=300

• 强制特定屏幕保护程序是一个 REG_SZ 参数，名称为 ScreenSaveActive=1 且 SCRNSAVE.EXE=scrnsave.scr

创建域安全组（

grp_not-lock-prod

）您想要禁用屏幕锁定策略并向其添加用户。在相应的 GPO 部分（用户配置 -> 首选项 -> Windows 设置 -> 注册表）中创建上述注册表参数。使用项目级别目标，为每个参数设置策略不得应用于特定安全组（用户不是该安全组的成员）

grp_not-lock-prod

）。

您还必须创建 4 个附加注册表参数，其值为 REG_SZ 0，强制禁用 grp_not-lock-prod 组的屏幕锁定（否则，您的 GPO 将不会覆盖之前设置的注册表值）。