Systém Windows obsahuje užitečnou funkci, která umožňuje zobrazit informace o posledním pokusu o interaktivní přihlášení přímo na uvítací obrazovce systému Windows. Vypadá to takto: pokaždé, když uživatel zadá heslo pro vstup do systému, objeví se před ním informace s datem a časem posledního úspěšného a neúspěšného pokusu o přihlášení (stejně jako celkový počet neúspěšných pokusů o přihlášení). Pokud je při pokusu o registraci v počítači zadáno nesprávné heslo (například v případě pokusu o neoprávněný přístup), zobrazí se při příštím spuštění systému oznámení o neúspěšném pokusu o zadání jeho počítače.
V tomto článku se dozvíte, jak povolit zobrazování informací o posledním interaktivním přihlášení na uvítací obrazovce. Tato funkce bude fungovat na všech operačních systémech Windows, počínaje Windows Vista a pro práci na úrovni domény vyžaduje funkční úroveň domény alespoň Windows Server 2008. Právě v této verzi se ve schématu služby Active Directory objevila řada nových uživatelských atributů, které obsahují informace o pokusech o interaktivní přihlášení.
- msDS-NeúspěšnéInteraktivníLogonCount - počet neúspěšných pokusů o přihlášení od zařazení zásady shromažďování informací
- msDS-NeúspěšnéInteraktivníLogonCountAtLastSuccessfulLogon - počet neúspěšných pokusů o přihlášení od posledního úspěšného pokusu o přihlášení
- msDS-LastFailedInteractiveLogonTime - čas posledního neúspěšného pokusu o přihlášení
- msDS-LastSuccessfulInteractiveLogonTime - čas posledního úspěšného pokusu o vstup na pracovní stanici
Výše uvedené atributy, na rozdíl od atributů, které jsou nám známé lastLogon, lastLogontimeStamp, badPasswordTime a badPwdCount (které se objevily ve Windows 2000), jsou replikovány mezi všemi řadiči domény.
Poznámka:. Atribut lastLogontimeStamp je ve skutečnosti také replikován mezi řadiči domény, ale tato operace se provádí občas - jednou za 9–14 dní. A atribut neslouží ani tak pro interaktivní monitorování pokusů o přihlášení, ale pro sledování doby nečinnosti účtu.Informace o předchozích pokusech o přihlášení můžete povolit na uvítací obrazovce prostřednictvím zásad skupiny. Chcete-li to provést, otevřete konzolu pro správu zásad místní skupiny: gpedit.msc (chcete-li tuto funkci v počítači povolit pro místní účet) nebo konzolu gpmc.msc (vytvořit / upravit zásady domény) a přejděte do sekce: Konfigurace počítače -> Zásady -> Šablony pro správu -> Součásti systému Windows -> Možnosti přihlášení k systému Windows . Zajímá nás politika Zobrazení informací o předchozích přihlášeních během přihlášení uživatele.
Chcete-li zásadu aktivovat, změňte její hodnotu na Povoleno a uložte změny.
Zásada bude fungovat na všech počítačích s OS vyšším než Windows Vista. Počítače se systémem Windows XP a Windows Server 2003 tuto zásadu skupiny ignorují.
Zbývá aplikovat zásadu na cílový počítač:
- Pokud používáte místní zásady, spusťte příkaz
gpupdate / force
a přihlaste se do systému (zásada bude fungovat pouze pro místní účty). - Pokud používáte GPO domény, musíte nejprve použít tuto zásadu na všechny řadiče domény. A teprve po čekání na ukončení jeho replikace a spuštění ve všech řadičích domény přiřaďte požadovaný kontejner Active Directory zásadu.Je důležité. Zobrazení informací o předchozích přihlášeních během zásady přihlášení uživatele musí být aplikováno na řadiče domény, aby se na nich tyto informace začaly shromažďovat (výše uvedené atributy budou vyplněny). Pokud tak neučiníte, nebudete se moci přihlásit k počítači, na který se tato politika vztahuje!
Při příštím přihlášení se po zadání hesla účtu zobrazí zpráva s textem:
Úspěšné přihlášení. Při posledním interaktivním přihlášení do tohoto účtu bylo: ...
Neúspěšné přihlášení. Od posledního interaktivního přihlášení k tomuto účtu nedošlo k žádným neúspěšným pokusům o interaktivní přihlášení
V ruské verzi Windows bude text vypadat takto:
Úspěšné přihlášení. Poslední interaktivní přihlášení bylo: „datum a čas“
Chybné přihlášení. Od posledního interaktivního přihlášení nebyly provedeny žádné pokusy o přihlášení
Pro pokračování v zavádění systému musí uživatel kliknout na OK (nebo Enter).
Na místních počítačích, pro které však neexistuje Editor zásad skupiny, můžete tuto funkci povolit prostřednictvím editoru registru, pro který:
- Běh regedit.exe
- Přejít na větev HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Upravte (a pokud chybí, vytvořte) s názvem parametru DWORD DisplayLastLogonInfo
- Chcete-li povolit zobrazení informací o posledním přihlášení, zadejte hodnotu 1. Pokud potřebujete tuto funkci zakázat - 0.
Poslední funkce interaktivního sledování přihlášení je užitečná, když potřebujete detekovat pokus o útok na adresář AD výběrem hesla, a také za účelem splnění regulačních požadavků a zajištění auditu, sledování zdroje a času přístupu k uživatelskému účtu..