如何在向日葵Sunlogin被控端配置定时锁屏防止误操作?
向日葵被控端定时锁屏配置教程:一步设置、多平台差异与回退方案,防止误操作
功能定位:为什么需要“定时锁屏”
连锁零售、高校机房、外包运维等场景里,被控端往往无人值守。远程任务结束后若未及时锁屏,路过人员轻轻一碰就可能中断补丁流程,甚至误删数据。向日葵 15.4 版把“定时锁屏”拆成独立策略,允许管理员预设“任务完成后 N 秒自动锁屏”,既保护现场,又省去人工复核的往返成本。
与“隐私屏”不同:隐私屏在远程会话开始时立即黑屏,防止围观;定时锁屏则在会话结束或脚本收尾后延迟锁屏,防止误操作。两条策略可叠加,优先级彼此独立,互不影响。
前置条件与版本边界
被控端需运行在 Windows 7 SP1 及以上、macOS 11 及以上、Ubuntu 20.04 及以上(Wayland 需切到 X11)。主程序版本不得低于 15.4.1.1221,低于此版仅支持“手动锁屏”,无定时策略入口。绿色被控端(免安装版)同样生效,但策略写入运行目录下的 sunlogin_service.ini,重启后才会读取;安装版直接写注册表,点“应用”立即生效。
Windows 被控端:最短配置路径
图形界面法
- 任务栏向日葵图标右键 →「设置」→「安全」→「锁屏策略」。
- 勾选「启用定时锁屏」,在「延迟时间」框输入 30–999 秒;建议 120 秒,给脚本收尾留余量。
- 触发条件选「远程会话正常结束」或「任务执行完成」二选一;多选时为“任一满足即触发”。
- 点「应用」→「确定」,策略实时下发,无需重启。
注册表回退法
若远程误配置导致立即锁屏、无法本地登录,可让现场人员运行:
reg delete "HKLM\SOFTWARE\Oray\SunLogin\Security" /v AutoLockTimeout /f
删除后策略恢复默认关闭,30 秒后守护进程自动重载,即可本地登录重新配置。
macOS 被控端:与系统睡眠差异
菜单路径:顶部向日葵图标 → Preferences → Security → Auto Lock。macOS 实质调用 CGSession -suspend,锁屏同时关闭背光;若只想黑屏但保持网络下载,请改用「隐私屏」。macOS 13 及以上需给「向日葵屏幕扩展」勾选「允许管理显示器」,否则策略生效但屏幕未熄灭,系统会弹警告。
Linux 被控端:Wayland 限制与缓解
Ubuntu 22–26 默认 Wayland 会话下,向日葵通过 org.freedesktop.ScreenSaver 接口锁屏,实测 GNOME 可正常触发,KDE 需额外安装 qdbus-qt5。若失败,日志 /var/log/sunlogin_agent.log 会提示 LockScreen denied by compositor,此时可临时切到 X11 登录,或在「设置-实验功能」打开「使用 loginctl 锁屏」开关(需 systemd 247+)。
与 CMD/SSH 批量任务的协同
在「批量脚本市场」推送 PowerShell 补丁脚本时,可在脚本尾行加:
Write-Output "TASK_DONE"
Agent 检测到标准输出含关键字即视为“任务完成”,随后按设定秒数锁屏。若脚本异常退出无输出,则不会触发锁屏,避免把故障现场锁死。
提示
关键字可在「安全-锁屏策略-高级」自定义,多关键字用半角逗号分隔,区分大小写。
不适用场景清单
- 远程会话结束后仍需投屏演示的培训电脑;
- 工控机运行 MES 客户端,锁屏会中断串口采集;
- 被控端已加入公司 AD 域且启用「交互式登录:计算机不活动限制」≤ 30 秒,两者叠加可能产生“双锁屏”日志。
经验性观察:若 AD 策略≤ 60 秒,建议把向日葵定时锁屏设为 180 秒以上,让域策略先生效,避免冲突。
性能与合规副作用
锁屏瞬间会触发系统内存转存加密(Windows Hello、FileVault 等),CPU 占用短时升高 5–8%,4 核以下工控机可能影响实时采集;锁屏后远程摄像头画面仍可在「屏幕墙」查看,但本地显示器熄灭,符合 GDPR「屏幕数据不可见」要求;若开启「锁屏水印 2.0」,水印透明度默认 35%,远程代码审查或遮挡行号,可在「安全-水印」把透明度降到 15%,或仅对文件管理器生效。
故障排查速查表
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 设定 120 秒却立即锁屏 | 同时勾选「会话结束」与「任务完成」,脚本输出 TASK_DONE 立即触发 | 查看日志 sunlogin_service.log 关键字 trigger=task_done | 去掉「任务完成」复选框,或修改脚本关键字 |
| macOS 锁屏后无法远程解锁 | 系统要求本地密码,未开启「使用账户密码解锁屏幕」 | 本地按任意键是否提示密码 | 在「系统设置-用户与群组-登录选项」打开解锁权限 |
Ubuntu 日志提示 compositor denied | Wayland 下 GNOME 插件未授权 | echo $XDG_SESSION_TYPE | 切到 X11 或启用实验性 loginctl 开关 |
最佳实践 6 条
- 延迟时间 ≥ 补丁脚本历史最大耗时 + 30%,避免任务未完就锁屏。
- 连锁门店建议「延迟 300 秒 + 只触发会话结束」,给营业员留手动复核空档。
- 工控场景先关闭锁屏,完成 PLC 调试后再用「一次性任务-脚本」打开锁屏,防止实时采集中断。
- 若被控端需 24h 无人值守,再叠加「隐私屏」与「摄像头轮巡」,形成“黑屏+可见”双保险。
- 每季度复查 AD 域/Intune 不活动策略,确保与向日葵策略差值 ≥ 90 秒。
- 开启「水印 2.0」时把透明度调到 20% 以下,远程代码评审可读性与合规兼顾。
FAQ(使用 FAQPage Schema)
定时锁屏与隐私屏能否同时开启?
可以,两者策略独立。隐私屏在远程会话开始时立即黑屏;定时锁屏在会话结束或任务完成后延迟锁屏,互不影响。
绿色被控端重启后策略会丢失吗?
不会。策略写入运行目录下的 ini 文件,重启仍读取同级目录配置;但若更换目录或 U 盘启动,需重新设置。
锁屏后远程摄像头还能录像吗?
可以。锁屏仅关闭显示器输出,摄像头采集仍在后台运行,可在屏幕墙继续查看。
如何验证策略已生效?
手动结束远程会话,观察本地显示器是否在设定秒数后熄灭;同时查看日志出现 AutoLock triggered after XXXs 即表示生效。
延迟时间最大能设多少?
图形界面允许 30–999 秒;如需更长,可在 ini 或注册表手动改值,但超过 1800 秒会被守护进程视为误配,启动时自动重置为 300 秒。
下一步行动清单
1. 确认被控端已升级至 15.4.1.1221 以上;
2. 在测试机按本文路径设置 120 秒延迟,运行一次补丁脚本并手动结束会话,验证锁屏时间;
3. 将验证后的策略导出为模板,用「机群批量命令」下发到全网点;
4. 每季度结合 AD 不活动策略复查,保持 ≥90 秒差值;
5. 若现场出现“双锁屏”冲突,优先降低域策略,保留向日葵策略,便于远程运维统一管控。
完成以上五步,即可在无人值守场景下把“误操作”概率降到可见范围内,同时保留必要的现场可见性,兼顾安全与效率。未来版本若将锁屏事件写入 Webhook,还可进一步对接 SIEM 平台,实现更细粒度的合规审计。
