У Windows є корисна функція, що дозволяє відобразити інформацію про останню інтерактивної спробі входу в систему прямо на екрані привітання Windows. Виглядає це наступним чином: кожен раз, коли користувач набирає свій пароль для входу в систему, перед ним з'являється інформація з датою і часом останньої вдалої і невдалої спроби входу в систему (а також загальна кількість невдалих спроб входу). Якщо при спробі реєстрації на комп'ютері буде введений невірний пароль (наприклад, в разі спроби несанкціонованого доступу), то при наступному завантаженні системи користувач побачити повідомлення про невдалу спробу увійти на його комп'ютер.
Примітка. Атрибут lastLogontimeStamp насправді теж реплицируются між DC, але проводиться це операція нечасто - раз 9-14 днів. І служить атрибут не стільки для інтерактивного моніторингу спроб входу, скільки для відстеження часу неактивності облікового запису.
Включити відображення на екрані вітання інформації про попередні спроби входу в систему можна через групову політику. Для цього відкрийте консоль управління локальною груповою політикою: gpedit.msc (якщо потрібно включити даний функціонал на комп'ютері для локального облікового запису) або консоль gpmc.msc (для створення / модифікації доменної політики) і перейдіть в розділ: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Logon Options. Нас цікавить політика Display information about previous logons during user logon.
Залишилося застосувати політику до цільового комп'ютера:
- У разі використання локальної політики досить виконати команду gpupdate / force і перезайти в систему (політика буде працювати тільки для локальних облікових записів).
- Якщо ж використовується доменна GPO, цю політику доведеться застосувати спочатку до всіх контролерам домену. І лише, дочекавшись закінчення її реплікації і виконання на всіх DC, призначити політику на потрібний контейнер Active Directory.
Важливо. Політику Display information about previous logons during user logon потрібно застосувати до контролерів домену для щоб на них стала збиратися дана інформація (будуть заповняться розглянуті вище атрибути). Якщо цього не зробити, увійти на ПК, на який діє ця політика не вдасться!
Порада. Продіагностувати застосування політик можна за допомогою утиліти gpresult.
При наступному вході в систему після введення пароля облікового запису з'явиться повідомлення з текстом:
Successful sign-in. The last time you interactively signed in to this account was: ...
Unsuccessful sign-in. There have been no unsuccessful interactive sign-in attempts with this account since your last interactive sign-in
Щоб продовжити завантаження системи користувачеві потрібно натиснути OK (або Enter).
- запустіть regedit.exe
- Перейдіть в гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Відредагуйте (а якщо він відсутній - створіть) параметр типу DWORD з ім'ям DisplayLastLogonInfo
- Щоб включити відображення інформації про останній вхід, вкажіть значення 1. Якщо цю функцію потрібно відключити - 0.
Функціонал відстеження останнього інтерактивного входу зручно використовувати, коли потрібно виявити спробу атаки на каталог AD шляхом підбору пароля, а також з метою виконання нормативних вимог і забезпечення аудиту, відстежуючи джерело і час спроби доступу до облікового запису користувача.
- GPResult: діагностика застосування групових політик
- Налаштування Google Chrome груповими політиками
- Перенесення групових політик між доменами
- Централізоване зберігання адміністративних шаблонів групової політики
- Управляємо настройками Java SE за допомогою групових політик