Windows 11 22H2. Czy da się zalogować bez internetu?

Wśród nielicznych cech szczególnych nadchodzącej wersji Windows 11 jest jedna budząca wiele zastrzeżeń: obowiązkowe logowanie kontem Microsoft. Obawy dotyczą nie tylko konieczności zakładania konta, ale także tego, czy logowanie do systemu będzie możliwe bez internetu.

Odpowiedź na to pytanie brzmi: tak. Podobnie zresztą jest w przypadku Windows 10 (a także Windows 8.1). Wynika to z tego, że z perspektywy systemu operacyjnego pod spodem, "konto Microsoft" jest drobnym oszustwem. Przyjrzyjmy się temu, jak działa. Poniżej trochę technikaliów, ale konkluzje będą bardzo przystępne.

Gdy w kreatorze OOBE (pierwszego uruchomienia) wybierzemy logowanie kontem Microsoft, w systemie zostanie otworzone konto użytkownika przypisane do grupy Administratorzy. Z perspektywy użytkownika jest to konto, którego hasło jest "sprawdzane przez chmurę".

Za to w systemie wygląda to nieco inaczej. Konto lokalne i konto Microsoft są obiektami takiej samej klasy "konto użytkownika". Mają swoje nazwy, identyfikatory SID, katalogi domowe itp. Różnią się jedną główną cechą, jaką jest Principal Source.

Czym jest Principal Source? Jest to w systemie NT źródło autorytetu, który poświadcza konto, choć "autorytet" to nie do końca właściwe słowo - a zaprawieni w boju administratorzy wiedzą, dlaczego. Klasycznie jest to domena - Domain - Active Directory (hasło przechowywane na kontrolerze domeny) lub komputer lokalny - Local - (hasło przechowywane na pececie, do którego się logujemy). Windows 8 wprowadził trzeci autorytet: MicrosoftAccount. W zależności od tego, kto jest wystawcą konta, uwierzytelnianie przebiega inaczej.

Gdy konto jest domenowe, o poprawność hasła odpytywany jest kontroler domeny, zaczynając od tego, który trzyma rolę FSMO o nazwie "emulator kontrolera domeny pierwszego rzędu".

Gdy konto jest lokalne, użytkownik jest proszony o dostarczenie sekretu akceptowanego przez zainstalowanych w systemie dostawców poświadczeń. Domyślnym jest, oczywiście, hasło. Ale poza tym może to być odcisk palca lub inna biometria, karta inteligentna, klucz U2F lub coś kompletnie niestandardowego (dostawców poświadczeń można doinstalowywać).

Gdy konto jest kontem Microsoft, wybierany jest podzbiór dostawców poświadczeń kompatybilnych z logowaniem chmurowym. Pierwszeństwo ma Windows Hello oraz Konto Microsoft (wewnętrznie zwane wciąż Windows Live ID!). Tak zalogowany użytkownik jest automatycznie logowany do aplikacji chmurowych i zaopatrywany w obowiązujące go ustawienia Azure Active Directory, jeżeli należy do organizacji.

Dostawca poświadczeń "Konto Microsoft" sprawdza hasło w chmurze… gdy ma taką możliwość. Przechowuje jednak jego lokalny odcisk i to z nim będzie porównywać hasło podane do logowania na komputerze z Windows 10/11 który chwilowo nie ma internetu. Logowanie obędzie się bez dostępu do sieci - o ile użytkownik nie poda hasła innego niż zwykle. Wtedy dostawca założy, że hasło zostało zmienione i poprosi o połączenie z siecią aby to sprawdzić.

Gdy brak połączenia z siecią będzie przewlekły, Windows zacznie się zachowywać tak, jak w przypadku niedostępnego kontrolera domeny. Zacznie marudzić, następnie wyświetlać komunikaty o konieczności zweryfikowania hasła, a po jakimś czasie (zazwyczaj kilka dni) powie, że jego wiedza na temat konta jest przestarzała i potrzebne jest połączenie z internetem. To coś na kształt "utraty relacji zaufania", stosując analogię ze świata AD.

Co zatem z sytuacją, gdy wyjeżdżamy na trzytygodniowe wakacje bez internetu, a laptop ma nam służyć tylko jako maszyna do pisania, na której powstanie nasza najnowsza powieść, pisana w domku na odludziu? Po tygodniu przyjdzie zestawiać laptopowi hotspot? Nie, nie trzeba tego robić. Na ratunek przybywa Windows Hello.

Umożliwia ono dodanie poświadczeń sprzężonych z kontem, przechowywanych całkowicie lokalnie. Niezależnie od tego, czy wierzymy w to, że nasze odciski palca i PIN naprawdę nie są wysyłane do Microsoftu, logowanie przez Windows Hello nie wymaga internetu i będzie działać na odludziu.

Po pewnym czasie zbuntują się wszystkie chmurowe aplikacje. OneDrive, Poczta, Sklep i Edge stwierdzą, że nie można nam już ufać. Po ponownym podłączeniu sieci, Windows zażąda pełnego zalogowania z drugim składnikiem, by "naprawić problem z synchronizacją łącza". Jednak brak internetu nie pozbawi nas możliwości zalogowania, jeżeli ustawimy Windows Hello. Dlatego system tak o to marudzi, wyświetlając nawet ostrzeżenia Defendera na ten temat.

Swoją drogą, jeżeli naprawdę planujemy pisać powieść przez miesiąc na odludziu, warto pamiętać, że z powodu braku internetu zaprotestuje… Word, bowiem Office 365 musi periodycznie sprawdzać ważność licencji w ramach subskrypcji (ta wszak nie tylko może wygasnąć - może też zostać odebrana użytkownikowi). Może lepiej na wszelki wypadek mieć zainstalowany pakiet LibreOffice…?

Utworzenie konta lokalnego w dalszym ciągu jest możliwe w Windows 11. Dalej są też dostępne w sprzedaży pakiety Office z licencją permanentną. Chmury coraz trudniej ominąć, ale korzystanie z nich nie jest nieuniknione.