System Windows ma przydatną funkcję, która pozwala wyświetlać informacje o ostatniej interaktywnej próbie logowania bezpośrednio na ekranie powitalnym systemu Windows. Wygląda to tak: za każdym razem, gdy użytkownik wpisuje hasło, aby wejść do systemu, przed nim pojawiają się informacje z datą i godziną ostatniej udanej i nieudanej próby logowania (a także całkowitą liczbą nieudanych prób logowania). Jeśli nieprawidłowe hasło zostanie wprowadzone podczas próby zarejestrowania się na komputerze (na przykład w przypadku nieautoryzowanej próby dostępu), to przy następnym uruchomieniu systemu użytkownik zobaczy powiadomienie o nieudanej próbie wejścia na swój komputer.
W tym artykule dowiesz się, jak włączyć wyświetlanie informacji o ostatnim interaktywnym logowaniu na ekranie powitalnym. Ta funkcja będzie działać na wszystkich systemach operacyjnych Windows, poczynając od Windows Vista, a do pracy na poziomie domeny wymagany jest poziom funkcjonalności domeny przynajmniej Windows Server 2008. W tej wersji w schemacie usługi Active Directory pojawiła się seria nowych atrybutów użytkownika, które zawierają informacje o próbach zalogowania się interaktywnie.
- MSDS-FailedInteractiveLogonCount - liczba nieudanych prób logowania od momentu włączenia zasad gromadzenia informacji
- MSDS-FailedInteractiveLogonCountAtLastSuccessfulLogon - liczba nieudanych prób logowania od ostatniej pomyślnej próby logowania
- msDS-LastFailedInteractiveLogonTime - czas ostatniej nieudanej próby logowania
- MSDS-LastSuccessfulInteractiveLogonTime - czas ostatniej udanej próby wejścia na stację roboczą
Powyższe atrybuty, w przeciwieństwie do znanych nam atrybutów lastLogon, lastLogontimeStamp, badPasswordTime i badPwdCount (które pojawiły się w Windows 2000), są replikowane między wszystkimi kontrolerami domeny.
Uwaga. Atrybut lastLogontimeStamp jest także replikowany między kontrolerami domeny, ale ta operacja jest wykonywana rzadko - raz na 9-14 dni. Ten atrybut służy nie tylko do interaktywnego monitorowania prób logowania, ale do śledzenia czasu braku aktywności konta.Możesz włączyć informacje o poprzednich próbach logowania na ekranie powitalnym za pomocą zasad grupy. Aby to zrobić, otwórz konsolę zarządzania zasadami grupy lokalnej: gpedit.msc (jeśli chcesz włączyć tę funkcję na komputerze dla konta lokalnego) lub konsolę gpmc.msc (aby utworzyć / zmodyfikować zasady domeny) i przejdź do sekcji: Konfiguracja komputera -> Zasady -> Szablony administracyjne -> Składniki systemu Windows -> Opcje logowania systemu Windows . Interesuje nas polityka Wyświetl informacje o poprzednich logowaniach podczas logowania użytkownika.
Aby aktywować zasadę, zmień jej wartość na Włączone i zapisz zmiany.
Zasady będą działać na wszystkich komputerach z systemem operacyjnym wyższym niż Windows Vista. Komputery z systemem Windows XP i Windows Server 2003 ignorują te zasady grupy.
Pozostaje zastosować zasadę na komputerze docelowym:
- Jeśli korzystasz z lokalnych zasad, po prostu uruchom polecenie
gpupdate / force
i zaloguj się do systemu (zasady będą działać tylko dla kont lokalnych). - Jeśli używasz GPO domeny, musisz najpierw zastosować tę zasadę do wszystkich kontrolerów domeny. I dopiero po zakończeniu oczekiwania na zakończenie replikacji i wykonania na wszystkich kontrolerach domeny przypisz zasadę do żądanego kontenera usługi Active Directory.Jest ważne. Wyświetlane informacje o poprzednich logowaniach podczas logowania użytkownika muszą zostać zastosowane do kontrolerów domeny, aby te informacje zaczęły być na nich gromadzone (powyższe atrybuty zostaną wypełnione). Jeśli tego nie zrobisz, nie będziesz mógł zalogować się do komputera, którego dotyczą te zasady.!
Przy następnym logowaniu, po wprowadzeniu hasła do konta, pojawi się komunikat z tekstem:
Pomyślne logowanie Ostatnim interakcyjnym zalogowaniem się na to konto było: ...
Nieudane logowanie. Od czasu ostatniego interaktywnego logowania nie było nieudanych prób logowania interaktywnego z tym kontem
W rosyjskiej wersji systemu Windows tekst będzie wyglądał tak:
Pomyślne logowanie Ostatni interaktywny login to: „data i godzina”
Zły login. Od ostatniego interaktywnego logowania nie podjęto żadnych prób logowania
Aby kontynuować uruchamianie systemu, użytkownik musi kliknąć OK (lub Enter).
Na komputerach lokalnych, ale dla których nie ma edytora zasad grupy, możesz włączyć tę funkcję za pomocą edytora rejestru, dla którego:
- Uruchom regedit.exe
- Idź do oddziału HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Edytuj (a jeśli go nie ma, utwórz) parametr DWORD o nazwie DisplayLastLogonInfo
- Aby włączyć wyświetlanie informacji o ostatnim logowaniu, określ wartość 1. Jeśli musisz wyłączyć tę funkcję - 0.
Ostatnia funkcja interaktywnego śledzenia logowania jest wygodna w użyciu, gdy trzeba wykryć próbę zaatakowania katalogu AD poprzez wybranie hasła, a także w celu spełnienia wymagań regulacyjnych i zapewnienia audytu, śledzenia źródła i czasu dostępu do konta użytkownika.