Двогодинний поріг бездіяльності не відповідає жодному визнаному стандарту безпеки. CIS Control 4.3 обмежує стандартні сеанси ОС до 15 хвилин, а мобільні пристрої — до 2 хвилин. PCI DSS 8.1.8, NIST SP 800-53 AC-11 та HIPAA § 164.312(a)(2)(iii) сходяться на одному принципі: залишена без нагляду робоча станція має блокуватися достатньо швидко, щоб унеможливити опортуністичний доступ — і ніколи не через кілька годин бездіяльності.
Короткі тайм-аути традиційно суперечили продуктивності користувачів. Оператори обходили блокування, ділилися паролями або повністю вимикали заставку. Цей компроміс більше не актуальний. Автентифікація на основі наближення та апаратні ключі FIDO2 тепер дозволяють встановлювати агресивні параметри бездіяльності без жодних незручностей — пристрій блокується, щойно користувач відходить, і повторно автентифікується при поверненні.
Наступні розділи усувають суперечність, що поширена в мережі, зіставляють кожну вимогу відповідності з точним значенням тайм-ауту та детально описують, як налаштувати автоматичне блокування сеансу в Windows, macOS, Linux і у віддалених сеансах.
Що таке автоматичне блокування сеансу насправді (і чому «2 години» — помилка)
Визначення та механізм: блокування сеансу проти автоматичного виходу проти завершення сеансу
Автоматичне блокування сеансу призупиняє активний сеанс після визначеного часу бездіяльності та вимагає повторної автентифікації (пароль, PIN, біометрія, смарт-картка) перед відновленням. Сам сеанс залишається активним у пам'яті: запущені процеси, відкриті файли та мережеві з'єднання зберігаються за заблокованим екраном, часто у парі з приховуючим дисплеєм або заставкою. Автоматичний вихід повністю завершує сеанс користувача і закриває програми. Завершення сеансу йде далі — воно розриває базовий автентифікований контекст на рівні провайдера ідентичності. Кожен контроль усуває окремий ризик: опортуністичний фізичний доступ, збережені облікові дані або застарілі токени.
Вердикт щодо твердження про «2 години» — що насправді кажуть авторитетні джерела
Хибно. Жоден визнаний стандарт не схвалює максимум у 120 хвилин. CIS Control 4.3 обмежує час бездіяльності до 15 хвилин для робочих станцій та 2 хвилин для мобільних пристроїв; PCI DSS 8.2.8 і NIST AC-11 відповідають тій же межі.
Матриця фреймворків відповідності: необхідні тайм-аути за стандартом
Порівняння: CIS 15 хв, CJIS 30 хв, PCI DSS 15 хв, NIST AC-11, HIPAA §164.312(a)(2)(iii), ISO/IEC 27002
Аудитори рідко приймають «галузеву практику» як доказ. Вони очікують конкретну клаузулу, зіставлену з налаштованим тайм-аутом. Матриця нижче зводить вимоги кожного стандарту.
| Фреймворк | Клаузула | Макс. час бездіяльності | Охоплення |
|---|---|---|---|
| CIS Controls v8.1 | Safeguard 4.3 | 15 хв (ОС) / 2 хв (мобільні) | Корпоративні активи |
| NIST SP 800-53 | AC-11 | Визначається організацією, типово ≤15 хв | Федеральні системи |
| NIST SP 800-171 | 3.1.10 | Приховання вмісту обов'язкове | Середовища CUI |
| PCI DSS v4.0 | 8.2.8 | 15 хв | Дані власників карток |
| HIPAA Security Rule | §164.312(a)(2)(iii) | Розумний, адресований | Робочі станції ePHI |
| CJIS Security Policy | 5.5.5 | 30 хв | Кримінально-правова інформація |
| ISO/IEC 27002:2022 | 8.1 | Визначається політикою | Усі кінцеві точки |
Приховуючі дисплеї, повторна автентифікація та вимоги до доказів для аудиту
Три підконтролі визначають, чи проходить реалізація аудит. Блокування повинне приховувати попередній вміст екрана (NIST AC-11(1)), вимагати повторної автентифікації на основі облікових даних, а не простого жесту закриття, та генерувати записи журналів, що підтверджують дотримання вимог на всьому парку пристроїв.
Налаштування автоматичного блокування сеансу на кожній платформі
Windows GPO та реєстр, профілі MDM macOS і Linux (GNOME/KDE/TMOUT)
У Windows застосуйте політику через Computer Configuration → Policies → Administrative Templates → Control Panel → Personalization → Enable screen saver у поєднанні з Password protect the screen saver та Screen saver timeout, встановленим на 900 секунд. Еквівалентний шлях у реєстрі — HKLM\Software\Policies\Windows\Control Panel\Desktop. Для macOS розгорніть профіль конфігурації з ключами askForPassword та askForPasswordDelay через MDM. У Linux GNOME надає org.gnome.desktop.session idle-delay, KDE використовує kscreenlockerrc, а сеанси оболонки мають встановлювати TMOUT=900 у /etc/profile.d/.
RDP, VDI, SSH та блокування на рівні програм (EHR, ERP, адміністративні консолі)
Для віддалених сеансів потрібні власні засоби контролю. Налаштуйте fSessionTimeoutIdleLimit для RDP, встановіть ClientAliveInterval у sshd_config та визначте політики бездіяльності в Citrix або VMware Horizon. Контроль на рівні програм не менш важливий: Epic, SAP і консоль AWS мають власні параметри повторної автентифікації при бездіяльності, які діють незалежно від блокування ОС.
Усунення компромісу між зручністю та безпекою за допомогою наближення і FIDO2
Агресивні тайм-аути зазнають невдачі, коли користувачі з ними борються. З'являються стікери, поширюються mouse jiggler, а блокування відключають у службі підтримки. Автентифікація на основі наближення руйнує цю схему.
Апаратні ключі, FIDO2 та автоматичне блокування при відході й автоматичне розблокування при поверненні
Апаратний ключ FIDO2 у парі з Bluetooth з автоматичним блокуванням при відході та автоматичним розблокуванням при поверненні дозволяє застосовувати 2-хвилинне блокування бездіяльності без жодної скарги. Робоча станція блокується, щойно користувач відходить, і автоматично розблоковується при поверненні — криптографічна повторна автентифікація виконується ключем. Жодного повторного введення пароля, жодних незручностей із заставкою, жодних компромісів щодо порогу бездіяльності.
Блокування сеансу в архітектурі Zero Trust
Zero Trust вимагає безперервної перевірки, а не одноразового входу. Блокування сеансу реалізує принцип Verify Explicitly, примушуючи до повторної автентифікації, прив'язаної до контексту: стан пристрою, місцезнаходження, час доби. У поєднанні з умовним доступом кожне розблокування стає новим рішенням про довіру, а не успадкованим дозволом.
Помилки аудиту, віддалена робота та чеклист впровадження
Головні причини, через які організації не проходять аудит блокування сеансів — і рольові тайм-аути для віддалених, гібридних та спільних робочих станцій
Аудитори раз за разом фіксують одні й ті самі прогалини: GPO, обмежені неправильним OU, службові облікові записи, залишені інтерактивними, відсутні приховуючі дисплеї, обов'язкові згідно з NIST AC-11(1), користувачі, що вимикають блокування заставки локально, та сеанси програм, які зберігаються за заблокованою ОС. Віддалені та гібридні конфігурації посилюють ризик. Калібруйте тайм-аути за роллю: 2 хвилини для спільних клінічних терміналів, 5 хвилин для домашніх офісів і ноутбуків BYOD, 10 хвилин для агентів кол-центрів, 15 хвилин для стандартних офісних кінцевих точок.
Чеклист впровадження та ключові елементи шаблону політики
Розгортувана політика охоплює сім пунктів: реєстр активів, класифікація ризиків, застосування GPO та MDM, повторна автентифікація на рівні програм, ведення журналу аудиту подій блокування, щорічний перегляд та управління винятками. Поєднайте її з розблокуванням на основі наближення, щоб агресивні пороги залишалися практичними — замовте демо для індивідуальної покрокової інструкції з розгортання.
Поширені запитання
Чи повинно автоматичне блокування сеансу відбуватися після максимум двох годин бездіяльності?
Ні. Поріг у 120 хвилин суперечить кожному визнаному стандарту. CIS Control 4.3 обмежує стандартні сеанси ОС до 15 хвилин бездіяльності, а мобільні пристрої — до 2 хвилин. PCI DSS 8.2.8 і NIST AC-11 відповідають тому ж 15-хвилинному обмеженню.
Які фреймворки відповідності явно вимагають автоматичного блокування сеансу?
Шість фреймворків безпосередньо посилаються на цей контроль: NIST SP 800-53 AC-11, NIST SP 800-171 §3.1.10, CIS Critical Security Controls v8.1, PCI DSS Requirement 8.2.8, HIPAA §164.312(a)(2)(iii) та ISO/IEC 27002. CJIS додає максимум 30 хвилин для систем кримінального правосуддя.
Яке блокування сеансів безпечніше — парольне чи на основі наближення?
Блокування на основі наближення перевершує методи, що ґрунтуються лише на паролях. Воно усуває незручності для користувачів, виключає забуті ручні блокування та автоматично застосовує агресивні тайм-аути. У поєднанні з апаратною автентифікацією FIDO2 воно закриває розрив між задокументованою політикою та реальною поведінкою користувачів — найпоширенішою знахідкою аудиту при перевірці контролів блокування сеансів.
