Автоблокировка экрана через GPO: почему не работает и как починить
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет практики я видел десятки инцидентов с утечкой данных просто из-за того, что сотрудник отошёл на обед, а компьютер остался разблокирован. Казалось бы, элементарная настройка — автоматическая блокировка через 5 минут простоя. Но в половине проектов, куда я прихожу, оказывается, что GPO настроена, но не работает. Разберу, как это правильно сделать и как диагностировать проблемы.
Зачем нужна автоблокировка в офисе
Это одно из базовых требований любого аудита информационной безопасности. ФСТЭК приказ 21, ISO 27001, 152-ФЗ — все прямо требуют автоматическую блокировку экрана после периода неактивности. Причины понятны:
- Сотрудник отошёл к принтеру — коллега видит экран с зарплатой.
- Уборщица заходит ночью в кабинет с незаблокированными ПК.
- Гость в переговорке дотянется до чужой учётки за 30 секунд.
- Социальная инженерия — злоумышленник «проходит мимо» открытого компьютера бухгалтера.
Я всегда в первый же день после старта на новом клиенте настраиваю эту политику — и неизменно нахожу 30-70% рабочих мест без неё.
Какой таймаут выбрать
| Категория рабочих мест | Рекомендуемый таймаут | Обоснование |
|---|---|---|
| Бухгалтерия, кадры | 3 минуты | Чувствительные данные |
| IT-администраторы | 5 минут | Права домена |
| Обычный офис | 10 минут | Компромисс между UX и ИБ |
| Кабинет руководителя | 15 минут | Часто отвлекается |
| Ресепшн | 5 минут | Публичная зона |
| Переговорные с презентациями | Отключено | Слайды не должны выключаться |
Правильный способ: две политики
Я всегда комбинирую два механизма. Первый — классическая screensaver-политика, второй — Machine Inactivity Limit. Это даёт надёжность: даже если пользователь отключил скринсейвер локально, сработает машинная блокировка.
# Открываем gpmc.msc на контроллере домена
# Создаём GPO "Screen Lock Policy"
# Привязываем к OU "Workstations"
# Настройки 1: User Configuration
# Policies -> Admin Templates -> Control Panel -> Personalization
Enable screen saver = Enabled
Force specific screen saver = Enabled
Screen saver executable name = scrnsave.scr
Password protect the screen saver = Enabled
Screen saver timeout = Enabled
Number of seconds = 600 # 10 минут
# Настройки 2: Computer Configuration (надёжность)
# Policies -> Windows Settings -> Security Settings -> Local Policies
# -> Security Options
Interactive logon: Machine inactivity limit = 600Типичные проблемы и их решения
После применения GPO проверяйте на 3-5 тестовых машинах разных отделов. У нас на практике вот топ-5 проблем:
Проблема 1: GPO не применяется совсем
На клиентском ПК в PowerShell:
gpresult /h C:\report.html
# Открываем отчёт, смотрим "Applied GPOs"Если нашей GPO нет в списке — проверяйте:
- OU компьютера — связан ли с вашей GPO.
- Security Filtering — включена ли группа Authenticated Users или Domain Computers.
- WMI-фильтр — не отсекает ли машину.
- Enforced/Blocked Inheritance на вышестоящих OU.
Проблема 2: GPO применяется, но таймаут не срабатывает
Чаще всего виноваты три вещи:
- Пользователь — локальный админ. Он может игнорировать настройки. Решение — вывести пользователей из Administrators, оставить только у IT.
- Конфликтующие GPO. Другая политика задаёт другой таймаут или отключает скринсейвер. Проверка через gpresult /h.
- Power Options переопределяет. Power Plan с "Turn off display = Never" побеждает скринсейвер. Настраивайте через Power Management Policy тоже.
Проблема 3: пользователь отключает вручную
После применения политики всегда тестируйте «а что если». Если в реестре HKCU\Control Panel\Desktop\ScreenSaverIsSecure сохраняется — GPO применилась. Но пользователь с правами admin может поменять. Решение:
# Machine Config -> Preferences -> Registry -> Update
# Действие: Replace (пересоздавать при каждом обновлении GPO)
# Hive: HKEY_CURRENT_USER
# Key: Control Panel\Desktop
# Value: ScreenSaveTimeOut REG_SZ 600
# Value: ScreenSaverIsSecure REG_SZ 1
# Value: ScreenSaveActive REG_SZ 1Проблема 4: блокировка не проходит на ноутбуках вне сети
Классика: ноутбук дома не видит DC, последние настройки GPO кешируются, но Machine Inactivity Limit не применяется. Решение — настройка через Local Security Policy + скрипт logon/startup, который принудительно дублирует ключ в реестре:
# lock-screen.ps1 в GPO startup
$path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
New-ItemProperty -Path $path -Name InactivityTimeoutSecs -Value 600 -PropertyType DWORD -ForceПроблема 5: в Windows 11 24H2 новая ошибка
В Windows 11 24H2 Microsoft поменял логику. Если задан Lock Screen Picture через GPO и политика Don't display the lock screen, иногда Machine Inactivity Limit игнорируется. Хотфикс — KB5038253 или более новый накопительный.
Реальный кейс: исправление у клиента
В ноябре 2025 к нам обратилась медицинская клиника на 67 рабочих мест. Проходили аудит персданных, проверяющий написал критическое нарушение: «отсутствие автоматической блокировки экрана». Админ клиники якобы настроил GPO, но проверка на 40 машинах показала — работает только на 8.
За полдня наш инженер:
- Нашёл в WMI-фильтре старой GPO условие «OS = Windows 7», из-за чего 32 новых ПК с Windows 10 не получали политику.
- Обнаружил 14 пользователей с правами локальных администраторов — вывел в Power Users.
- Создал новую правильную GPO со всеми тремя уровнями: screensaver, machine inactivity, registry preference.
- Настроил Power Plan без Turn off display через Power Management Policy.
- Протестировал на 5 машинах разных отделов — все блокируются за 5 минут.
Работа заняла 4.5 часа, стоила 18 000 ₽. Через неделю клиника прошла повторный аудит без замечаний. Сервер контроллера домена — Dell PowerEdge с Xeon Platinum 8280 в дата-центре МТС, всё под нашим мониторингом 24/7.
Как проверить применение на машине
# PowerShell — текущее значение таймаута пользователя
Get-ItemProperty "HKCU:\Control Panel\Desktop" |
Select-Object ScreenSaveTimeOut, ScreenSaverIsSecure, ScreenSaveActive
# Machine Inactivity Limit
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" |
Select-Object InactivityTimeoutSecs
# Применённые GPO
gpresult /scope computer /r
gpresult /scope user /rНастроим политики безопасности в вашем домене
Аудит существующих GPO, настройка блокировки экрана, управления паролями, прав пользователей, USB-носителей и других политик под требования ФСТЭК и 152-ФЗ. Срок — 1-3 рабочих дня.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по блокировке экрана GPO
- Какой таймаут рекомендован?
- 5-10 минут для офиса, 3 минуты для бухгалтерии, 15 для руководства.
- Почему GPO не применяется?
- Права локального админа, неправильный путь политики, конфликтующие GPO. Проверка через gpresult /h.
- Работает ли screensaver в Windows 11?
- Да, на всех версиях 7-11. В 24H2 добавляйте Machine Inactivity Limit.
- Можно ли исключить пользователей?
- Да, через Security Filtering или Item-Level Targeting.
- Как проверить работу?
- Get-ItemProperty на HKCU\Control Panel\Desktop.