---
date: 2026-05-23
project: glavtorg
tags: [glavtorg, security, windows, vmware, autologon]
---

# Glavtorg: отключение AutoLogon без потери автозапуска VM

## Контекст
Клиент Ярослав (Главторг) пожаловался: после ребута сервера (Win 2012 R2, 100.70.195.47) пользователь сам автоматически логинится в console-сессию, экран не блокируется. Любой у монитора/iLO/KVM получает залогиненный рабочий стол админа сервера 1С.

AutoLogon был включён 2026-04-25 ради автостарта двух VMware Workstation VM (`nbgw` 192.168.1.50 — NetBird gateway, `Ubuntu` 192.168.1.51 — Amnezia VPN), которые поднимаются скриптом `C:\Scripts\start-vms.bat` через Task Scheduler `VMware AutoStart`.

## Проверка: нужен ли AutoLogon для VM?
На рабочем сервере:
- `vmrun list` — 2 VM running
- `Get-Process vmware-vmx` показал **SessionId=0** (System session, не интерактивная сессия Ярослава)
- `schtasks /Query /TN 'VMware AutoStart' /V`: `LogonType=Password`, `Last Result=0`, отработало после ребута 22.05.2026 13:17

Вывод: Task Scheduler стартует `vmrun ... nogui` со stored password, VM процессы живут в Session 0 как обычные сервисные процессы — интерактивная сессия для них **не требуется**.

## Решение
Снять AutoLogon полностью, оставив Task Scheduler как единственный механизм автозапуска VM.

### Что изменено в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
| Параметр | Было | Стало |
|---|---|---|
| AutoAdminLogon | 1 | 0 |
| ForceAutoLogon | 1 | 0 |
| AutoLogonCount | 999988 | (удалён) |
| DefaultPassword | (отсутствует, был только LSA secret) | — |
| DefaultUserName | Ярослав | Ярослав (оставлен — preselect на logon screen) |
| DefaultDomainName | glavtorg | glavtorg (оставлен) |

LSA secret `HKLM\SECURITY\Policy\Secrets\DefaultPassword` (создан Sysinternals Autologon) физически остаётся, но без флага `AutoAdminLogon=1` Winlogon его не читает. Полностью стереть можно через `Autologon64.exe /accepteula /delete` (бинарник не установлен — при необходимости скачать).

## Бэкап и rollback
- Бэкап Winlogon ветки: `C:\Scripts\winlogon-backup-20260523-125613.reg`
- Rollback-скрипт: `C:\Scripts\rollback-autologon.cmd` — импортирует бэкап + инструкция как вернуть пароль через Autologon64.exe если потребуется
- Для срочного возврата AutoLogon Ярославу достаточно запустить rollback-скрипт от админа и (если LSA secret был стёрт когда-нибудь позже) скачать Autologon с https://learn.microsoft.com/sysinternals/downloads/autologon

## Проверка после следующего ребута
1. После ребута сервер должен встать на logon screen (без автоматического входа)
2. `vmrun list` от Ярослава после RDP-логина должен показать обе VM running
3. `schtasks /Query /TN 'VMware AutoStart' /V /FO LIST` — `Last Result: 0`
4. NetBird-маршрутизация в 192.168.1.0/24 работает (доступ к Юрию Витальевичу/другим клиентам через nbgw)
5. Если что-то из этого не сработало — запустить `C:\Scripts\rollback-autologon.cmd`, ребутнуться, разбираться отдельно

## Связанные
- [[projects/glavtorg/README]]
- [[feedback_vmware_workstation_session]] — общая память про VMware Workstation и сессии (logoff роняет VM в interactive session; в нашем случае VM в Session 0, так что это про другой сценарий)