Информации о последнем входе в Windows на экране приветствия | Windows для системных администраторов

Информации о последнем входе в Windows на экране приветствия

В Windows есть полезная функция, позволяющая отобразить информацию о последней интерактивной попытке входа в систему прямо на экране приветствия Windows. Выглядит это следующим образом: каждый раз, когда пользователь набирает свой пароль для входа в систему, перед ним появляется информация с датой и временем последней удачной и неудачной попытке входа в систему (а также общее количество неудачных попыток входа). Если при попытке регистрации на компьютере будет введен неверный пароль (например, в случае попытки несанкционированного доступа), то при следующей загрузке системы пользователь увидеть уведомление о неудавшейся попытке войти на его компьютер.

В этой статье разберемся, как включить отображение информации о последнем интерактивном входе в систему на экране приветствия. Данный функционал будет работать на всех ОС Windows, начиная с Windows Vista, а для работы на доменном уровне требует функционального уровня домена не менее Windows Server 2008. Именно в этой версии в схеме Active Directory появился ряд новых атрибутов пользователя, которые содержат информацию о попытках интерактивного входа в систему.

  • msDS-FailedInteractiveLogonCount количество неудачных попыток входа в систему с момента включения политики сбора информации
  • msDS-FailedInteractiveLogonCountAtLastSuccessfulLogonколичество неудачных попыток интерактивного входа с момент последней успешной попытки авторизации
  • msDS-LastFailedInteractiveLogonTime – время последней неудачной попытки входа
  • msDS-LastSuccessfulInteractiveLogonTimeвремя последней удачной попытки входа на рабочую станцию

Атрибуты AD для отслеживания времени последнего входа пользователя в системуattributesУказанные выше атрибуты, в отличии от уже знакомым нам атрибутов lastLogon, lastLogontimeStamp, badPasswordTime и badPwdCount (появившихся еще в Windows 2000), реплицируются между всеми контроллерами домена.

Примечание. Атрибут lastLogontimeStamp на самом деле тоже реплицируются между DC, но проводится это операция нечасто – раз 9-14 дней. И служит атрибут не столько для интерактивного мониторинга попыток входа, сколько для отслеживания времени неактивности учетной записи.

Включить отображение на экране приветствия информации о предыдущих попытках входа в систему можно через групповую политику. Для этого откройте консоль управления локальной групповой политикой: gpedit.msc (если нужно включить данный функционал на компьютере для локальной учетной записи) или консоль gpmc.msc (для создания/модификации доменной политики) и перейдите в раздел: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Logon Options . Нас интересует политика Display information about previous logons during user logon.

 Отображать при входе пользователя сведения о предыдущих попытках входаЧтобы активировать политику, поменяем ее значение на Enabled и сохраним изменения.

Включить политику сбора информации о последнем интерактивном входе в Active DirectoryПолитика будет работать на всех компьютерам с ОС, выше Windows Vista. Машины с Windows XP и Windows Server 2003 эту групповую политику игнорируют.

Осталось применить политику к целевому компьютеру:

  • В случае использования локальной политики достаточно выполнить команду gpupdate /force и перезайти в систему (политика будет работать только для локальных учетных записей).
  • Если же используется доменная GPO, эту политику придется применить сначала ко всем контроллерам домена. И лишь, дождавшись окончания ее репликации и выполнения на всех DC, назначить политику на нужный контейнер Active Directory.
    Важно. Политику Display information about previous logons during user logon нужно применить к контроллерам домена для чтобы на них стала собираться данная информация (будут заполнятся рассмотренные выше атрибуты). Если этого не сделать, войти на ПК, на который действует эта политика не удастся!
Совет. Продиагностировать применение политик можно с помощью утилиты gpresult.

При следующем входе в систему после ввода пароля учетной записи появится сообщение с текстом:

Successful sign-in. The last time you interactively signed in to this account was: …

Unsuccessful sign-in. There have been no unsuccessful interactive sign-in attempts with this account since your last interactive sign-in

Данные о последнем входе в систему на экране приветствияВ русской версии Windows текст будет таким:

Успешный вход в систему. Последний интерактивный вход в систему был выполнен: «дата и время»

Неудачный вход в систему. Со времени последнего интерактивного входа в систему не предпринималось попыток входа в систему

Чтобы продолжить загрузку системы пользователю нужно нажать OK (или Enter).

На локальных ПК, но которых отсутствует редактор групповых политик, включить эту функцию можно через редактор реестра, для чего:

  1. Запустите regedit.exe
  2. Перейдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  3. Отредактируйте (а если он отсутствует – создайте) параметр типа DWORD с именем DisplayLastLogonInfo
  4. Чтобы включить отображение информации о последнем входе, укажите значение 1. Если эту функцию нужно отключить – 0.DisplayLastLogonInfo - ключ в реестре

Функционал отслеживания последнего интерактивного входа удобно использовать, когда нужно обнаружить попытку атаки на каталог AD путем подбора пароля, а также в целях выполнения нормативных требований и обеспечения аудита, отслеживая источник и время попытки доступа к учетной записи пользователя.

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 8

Оставить комментарий
  1. myr4ik07 | 16.01.2015

    Классная информация, спасибо

    Ответить
  2. Николай | 20.01.2015

    Полезная функция.
    Подскажите, а в каких нормативах есть подобные требования?

    Ответить
    • itpro | 21.01.2015

      Имеются в виду некие локальные нормативные внутри корпоративныедокументы по ИТ / защите информации, предусматривающие отслеживание последнего входа пользователя. Не думаю, что на уровне законодательства, даже отраслевого, есть такие требования.

      Ответить
  3. Виктор | 22.01.2015

    Подскажите можно ли на экран приветствия вывести информацию о том когда истекает пароль пользователя?

    Ответить
    • itpro | 28.01.2015

      Предупреждение об истечении срока действия пароля обычно включается через политику Interactive Logon: Prompt User to change password before expiration (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options )
      Или через параметр реестра
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
      В качетве значения нужно указать за сколько дней до истечения срока пароля будут появляться уведомления.

      Ответить
  4. QuickQ | 26.01.2015

    Спасибо! Как раз искал нечто подобное — проверять последнюю загрузку

    Ответить
  5. Дмитрий | 12.02.2015

    В домене возникла проблема.
    При попытке авторизоваться написало что не может получить данные о последнем входе, ругается на сетевую недоступность DC и не пускает под доменной учеткой.

    Ответить
    • itpro | 12.02.2015

      Внимательно прочитайте модуль с меткой «Важно». Политику нужно применить к DC и дождаться окончания репликации. Лишь затем примените политику на клиентский ПК (на всякий случай не закрывайте консольное окно на DC, чтобы в случае чего отменить политику).

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)