Windows има полезна функция, която ви позволява да показвате информация за последния опит за интерактивно влизане точно на екрана за приветствие на Windows. Изглежда така: всеки път, когато потребителят въведе паролата си за влизане в системата, пред него се появява информация с датата и часа на последния успешен и неуспешен опит за влизане (както и общия брой на неуспешните опити за влизане). Ако по време на опит за регистрация на компютър (например в случай на неоторизиран опит за достъп) е въведена неправилна парола, след това при следващото зареждане на системата потребителят ще види известие за неуспешен опит да влезе в компютъра си..
Тази статия ще разбере как да активирате показването на информация за последното интерактивно вход на екрана за приветствие. Тази функционалност ще работи във всички Windows OS, като се започне от Windows Vista, а за работа на ниво домейн изисква функционалното ниво на домейна поне Windows Server 2008. Именно в тази версия в схемата на Active Directory се появиха поредица от нови потребителски атрибути, които съдържат информация за опити за интерактивно влизане.
- Информационен лист за безопасност-FailedInteractiveLogonCount - броя на неуспешните опити за влизане след включването на политиката за събиране на информация
- Информационен лист за безопасност-FailedInteractiveLogonCountAtLastSuccessfulLogon - брой неуспешни опити за влизане от последния успешен опит за влизане
- MSDS-LastFailedInteractiveLogonTime - време на последния неуспешен опит за влизане
- Информационен лист за безопасност-LastSuccessfulInteractiveLogonTime - време на последния успешен опит за влизане в работната станция
Горните атрибути, за разлика от познатите ни атрибути lastLogon, lastLogontimeStamp, badPasswordTime и badPwdCount (които се появиха в Windows 2000), се възпроизвеждат между всички контролери на домейни.
Можете да активирате информацията за предишните опити за влизане на екрана за добре дошли чрез груповата политика. За да направите това, отворете конзолата за управление на местната групова политика: gpedit.msc (ако искате да активирате тази функционалност на компютъра за локалния акаунт) или конзолата gpmc.msc (за създаване / промяна на политика на домейн) и отидете на раздела: Конфигурация на компютъра -> Политики -> Административни шаблони -> Компоненти на Windows -> Опции за влизане в Windows . Интересуваме се от политика Показване на информация за предишни влизания по време на влизане от потребителя.
За да активирате политика, променете нейната стойност на Enabled и запазете промените.
Политиката ще работи на всички компютри с ОС по-висока от Windows Vista. Машините с Windows XP и Windows Server 2003 игнорират тази групова политика.
Остава да приложите политиката към целевия компютър:
- Ако използвате локална политика, просто изпълнете командата
gpupdate / forceи влезте в системата (правилата ще работят само за локални акаунти). - Ако използвате домейн GPO, първо трябва да приложите тази политика към всички контролери на домейни. И едва след като изчакате края на неговата репликация и изпълнение на всички DC, задайте политика на желания контейнер на Active Directory.Важно е. Показваната информация за предишни влизания по време на политиката за влизане на потребителя трябва да бъде приложена към контролерите на домейни, така че тази информация да започне да се събира върху тях (горните атрибути ще бъдат попълнени). Ако не направите това, няма да можете да влезете в компютъра, засегнат от тази политика.!
При следващото влизане, след въвеждане на паролата на акаунта, се появява съобщение с текста:
Успешен вход. Последният път, когато интерактивно влязохте в този акаунт беше: ...
Неуспешен вход. Не са имали неуспешни опити за интерактивно влизане с този акаунт от последното ви интерактивно влизане
В руската версия на Windows текстът ще бъде такъв:
Успешно влизане. Последното интерактивно влизане беше: „дата и час“
Лошо влизане. От последното интерактивно влизане не са правени опити за влизане
За да продължи зареждането на системата, потребителят трябва да натисне OK (или Enter).
На локални компютри, но за които няма редактор на групови правила, можете да активирате тази функция чрез редактора на системния регистър, за който:
- начало regedit.exe
- Отидете до клона HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Политики \ Система
- Редактирайте (и ако той отсъства, създайте) параметър DWORD с име DisplayLastLogonInfo
- За да активирате показването на информация за последното влизане, посочете стойността 1. Ако трябва да деактивирате тази функция - 0.
Последната интерактивна функция за проследяване на влизане е удобна за използване, когато трябва да откриете опит за атака на директорията AD, като изберете парола, а също и за да се съобразите с регулаторните изисквания и да осигурите одит, проследяване на източника и времето на достъп до потребителския акаунт.
