Déboires d'un g33k

Categories

04 Dec 2025, 00:00

Windows : écran de veille, exctiction écran et verrouillage session

under Windows

Share

Il y’a plusieurs réglages séparés qui contrôlent le comportement de Windows quant à l’inactivité de l’utilisateur.

Récap TL/DR

Par poste

Si on veut s’assurer du verrouillage d’un poste, quel que soit son utilisateur, le + sûr est d’activer la GPO

Config ordi -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

La valeur définie (en secondes) sera la valeur maximum avant verrouillage de l’écran ; et un mot de passe sera demandé en cas de :

  • économiseur d’écran
  • veille de l’écran
  • veille complète de l’ordi

Par utilisateur

Si on veut appliquer le réglage uniquement à certains utilisateurs, alors il faut activer la GPO :

Config utilisateur -> Stratégies -> Modèles d'admin -> Panneau de config -> Personnalisation
 - Dépassement du délai d’expiration de l’écran de veille
 - Un mot de passe protège l’écran de veille

pour protéger l’économiseur d’écran.
Il faut aussi activer la GPO :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Demander un mot de passe lorsqu’un ordinateur sort de la veille (sur batterie / sur secteur)

pour protéger la sortie de veille d’écran et de veille complète.

Gain de temps

Enfin on demande à arriver directement sur le champ de mot de passe avec la GPO suivante :

Config ordi -> Stratégies -> Modèles d'administration -> Panneau de configuration -> Personnalisation
 - Ne pas afficher l’écran de verrouillage

Extinction (veille) de l’écran / mise en veille

Permet de gérer les économies d’énergie, mais pas vraiment de sécuriser le poste, car les réglages/timing sont changeables par l’utilisateur final.

C’est lorsque l’écran passe complètement en mode veille/éco d’énergie (typiquement voyant orange).
Concerne la gestion de l’énergie, et s’applique à l’échelle du poste. Tous les utilisateurs partagent le même réglage.

Se gère dans le panneau de config, Options d’alimentation -> Modifier les paramètres du mode
ou app Paramètres -> Personnalisation -> Écran de verrouillage -> Paramètres du délai d’expiration de l’écran

Via GPO, on peut pré-définir un profil d’énergie qui contiendra d’autres paramètres, comme le délai d’extinction écran, par
Config ordi -> Préférences -> Paramètres du panneau de conf -> Options d'alimentation
Mais ceci reste modifiable par l’utilisateur final, on ne peut pas le forcer.

On peut par contre utiliser la GPO suivante pour contrôler le délai de mise en veille :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Spécifier le délai de veille du système (sur secteur / sur batterie)

qui aura pour effet de régler le délai de veille dans les options d’alimentation.

La GPO “Spécifier le délai de veille si l’ordinateur n’est pas utilisé (sur secteur)” me semble n’avoir aucun effet sur Win 10.

Demande du mot de passe pour déverrouillage

La nécessité ou non d’entrer un mot de passe lors de la reprise d’activité se gère par l’utilisateur dans les paramètres -> Comptes -> Options de connexion -> Exiger une connexion.
Il y’a le choix entre Jamais et “Lorsque le PC sort du mode veille” ; malgré l’intitulé trompeur, cette 2e option concerne la vraie mise en veille (sleep S3/S0i) du poste, mais aussi la veille de l’écran.
Elle ne concerne PAS la sortie d’économiseur d’écran, qui a son propre réglage (voir paragraphe suivant).
ATTENTION, il semble que si l’extinction de l’écran survient après l’économiseur d’écran, alors le mot de passe n’est pas demandé !

Au même endroit que précédemment :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Demander un mot de passe lorsqu’un ordinateur sort de la veille (sur batterie / sur secteur)

qui aura pour effet de griser le choix “Exiger une connexion”.

Économiseur d’écran / Écran de veille

Ce sont les animations qui s’affichent sur l’écran lors d’inactivité (bulles etc).
Ce comportement peut se paramétrer au niveau machine, ou bien au niveau utilisateur.

Niveau poste

Le verrouillage d’un poste peut être forcé, quel que soit l’utilisateur, via la stratégie locale (gpedit.msc) :

Config ordi -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

Par défaut, la valeur est vide. Il n’est pas possible de valider une valeur vide, mais on peut y mettre 0 pour annuler le paramétrage.

La saisie d’une valeur non-nulle sur cette stratégie va immédiatement obliger la saisie d’un mot de passe pour la sortie de veille, d’économiseur d’écran et d’extinction de l’écran ; non-désactivable par l’utilisateur final.
Le paramétrage “Exiger une connexion” dans l’app Paramètres va aussi être grisé.
La paramétrage “Demander un mot de passe” du réglage utilisateur de l’écran de veille ne sera pas coché ; mais actif quand même.

Il est toutefois nécessaire de redémarrer pour que le timer soit pris en compte.
Ce timer est le délai maximum avant verrouillage session ; un utilisateur peut choisir un délai + court si souhaité.
Le choix de l’économiseur d’écran est laissé libre à l’utilisateur ; si celui-ci choisit “Aucun”, alors il est amené immédiatement sur l’écran de verrouillage.

GPO

On peut forcer cette valeur par GPO :

Config ordi -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

L’application de cette GPO se répercute sur la valeur visible en local dans gpedit.msc.

ATTENTION, si la GPO est supprimée/désactivée, le paramétrage reste dans gpedit. Pour réinitialiser le comportement par défaut, il faut soit maintenir la GPO, mais avec une valeur de 0, soit passer manuellement la stratégie locale à 0 sur le poste.

Niveau utilisateur

On peut y accéder en cherchant “veille” dans le menu démarrer, on y trouve “Modifier l’écran de veille”.
On peut aussi entrer control desk.cpl,screensaver,@screensaver
Ou encore aller dans l’app Paramètres -> Personnalisation -> Écran de verrouillage -> Paramètres de l’écran de veille

ATTENTION, les paramètres visibles ici dépendent du paramétrage machine, s’il existe. En ce cas, si on définit une durée supérieure à la valeur machine, ce paramétrage ne sera pas pris en compte. On peut toutefois définir une valeur inférieure ou égale à la valeur machine.
Attention aussi, s’il y a paramétrage machine, que que l’on choisit “Aucun”, le timer défini en GUI, bien que grisé, est quand même appliqué ! Si on veut modifier le délai avant économiseur d’écran, il faut en choisir un (ou cocher la case de verrouillage), appliquer le timer souhaité, puis choisir “Aucun” (ou décocher) à nouveau.

On peut y choisir l’écran de veille en question, le délai d’activation, et le fait de protéger la reprise de session par un mot de passe.
Ces paramètres sont définis au niveau utilisateur, et se traduisent par les entrées de registre suivantes sous la clé HKCU\Control Panel\Desktop :

  • ScreenSaveTimeOut : délai en secondes de l’économiseur d’écran
  • ScreenSaverIsSecure (1 si le mot de passe est demandé à la reprise)
  • SCRNSAVE.EXE : choix de l’éco d’écran (absent si écran de veille désactivé)

À noter que l’écran de veille “Vierge” affiche un écran noir, mais ne déclenche pas la veille du moniteur.

GPO

Il est également possible de forcer les paramètres utilisateurs.
Pour ceci :

Config utilisateur -> Stratégies -> Modèles d'admin -> Panneau de config -> Personnalisation
 - Dépassement du délai d’expiration de l’écran de veille
 - Un mot de passe protège l’écran de veille

Ceci permet de forcer le verrouillage de certaines sessions sensibles uniquement.

Éviter l’écran de verrouillage

Ce que MS appelle l’écran de verrouillage, c’est l’écran avec l’heure et une image, mais sans champ de mot de passe ; lorsqu’on fait un clic de souris ou frappe clavier, la demande de mot de passe apparaît.

On peut éviter cet écran et arriver directement sur la demande de mot de passe en activant la GPO suivante :

Config ordi -> Stratégies -> Modèles d'administration -> Panneau de configuration -> Personnalisation
 - Ne pas afficher l’écran de verrouillage