У Windows є корисна функція, що дозволяє відобразити інформацію про останню інтерактивної спробі входу в систему прямо на екрані привітання Windows. Виглядає це наступним чином: кожен раз, коли користувач набирає свій пароль для входу в систему, перед ним з'являється інформація з датою і часом останньої вдалої і невдалої спроби входу в систему (а також загальна кількість невдалих спроб входу). Якщо при спробі реєстрації на комп'ютері буде введений невірний пароль (наприклад, в разі спроби несанкціонованого доступу), то при наступному завантаженні системи користувач побачити повідомлення про невдалу спробу увійти на його комп'ютер.
У цій статті розберемося, як включити відображення інформації про останньому інтерактивному вході в систему на екрані вітання. Даний функціонал буде працювати на всіх ОС Windows, починаючи з Windows Vista, а для роботи на доменному рівні вимагає функціонального рівня домену Проте Windows Server 2008. Саме в цій версії в схемі Active Directory з'явився ряд нових атрибутів користувача, які містять інформацію про спроби інтерактивного входу в систему.
- msDS-FailedInteractiveLogonCount - кількість невдалих спроб входу в систему з моменту включення політики збору інформації
- msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon - кількість невдалих спроб інтерактивного входу з момент останньої успішної спроби авторизації
- msDS-LastFailedInteractiveLogonTime - час останньої невдалої спроби входу
- msDS-LastSuccessfulInteractiveLogonTime - час останньої вдалої спроби входу на робочу станцію
Зазначені вище атрибути, на відміну від уже знайомим нам атрибутів lastLogon, lastLogontimeStamp, badPasswordTime і badPwdCount (що з'явилися ще в Windows 2000), реплицируются між усіма контролерами домену.
Примітка. Атрибут lastLogontimeStamp насправді теж реплицируются між DC, але проводиться це операція нечасто - раз 9-14 днів. І служить атрибут не стільки для інтерактивного моніторингу спроб входу, скільки для відстеження часу неактивності облікового запису.Включити відображення на екрані вітання інформації про попередні спроби входу в систему можна через групову політику. Для цього відкрийте консоль управління локальною груповою політикою: gpedit.msc (якщо потрібно включити даний функціонал на комп'ютері для локального облікового запису) або консоль gpmc.msc (для створення / модифікації доменної політики) і перейдіть в розділ: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Logon Options . Нас цікавить політика Display information about previous logons during user logon.
Щоб активувати політику, поміняємо її значення на Enabled і збережемо зміни.
Політика буде працювати на всіх комп'ютерів з ОС, вище Windows Vista. Машини з Windows XP і Windows Server 2003 цю групову політику ігнорують.
Залишилося застосувати політику до цільового комп'ютера:
- У разі використання локальної політики досить виконати команду
gpupdate / force
і перезайти в систему (політика буде працювати тільки для локальних облікових записів). - Якщо ж використовується доменна GPO, цю політику доведеться застосувати спочатку до всіх контролерам домену. І лише, дочекавшись закінчення її реплікації і виконання на всіх DC, призначити політику на потрібний контейнер Active Directory.важливо. Політику Display information about previous logons during user logon потрібно застосувати до контролерів домену для щоб на них стала збиратися дана інформація (будуть заповняться розглянуті вище атрибути). Якщо цього не зробити, увійти на ПК, на який діє ця політика не вдасться!
При наступному вході в систему після введення пароля облікового запису з'явиться повідомлення з текстом:
Successful sign-in. The last time you interactively signed in to this account was: ...
Unsuccessful sign-in. There have been no unsuccessful interactive sign-in attempts with this account since your last interactive sign-in
У російській версії Windows текст буде таким:
Успішний вхід в систему. Останній інтерактивний вхід в систему був виконаний: "дата і час"
Невдалий вхід в систему. З часу останнього інтерактивного входу в систему не робилося спроб входу в систему
Щоб продовжити завантаження системи користувачеві потрібно натиснути OK (або Enter).
На локальних ПК, але яких відсутній редактор групових політик, включити цю функцію можна через редактор реєстру, для чого:
- запустіть regedit.exe
- Перейдіть в гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Відредагуйте (а якщо він відсутній - створіть) параметр типу DWORD з ім'ям DisplayLastLogonInfo
- Щоб включити відображення інформації про останній вхід, вкажіть значення 1. Якщо цю функцію потрібно відключити - 0.
Функціонал відстеження останнього інтерактивного входу зручно використовувати, коли потрібно виявити спробу атаки на каталог AD шляхом підбору пароля, а також з метою виконання нормативних вимог і забезпечення аудиту, відстежуючи джерело і час спроби доступу до облікового запису користувача.