В одній з попередніх статей я описав настройки, що дозволяють приховати своє ім'я користувача з екрану вітання і тим самим підвищити безпеку комп'ютера. Продовжуючи тему безпеки, сьогодні мова піде про налаштування, що дозволяє в процесі входу користувача в систему вивести на екран дані про попередні спроби входу, як успішних, так і невдалих.

Даний функціонал з'явився в операційних системах Microsoft починаючи з Windows Vista \ Server 2008. Включити відображення інформації про останньому інтерактивному вході в систему можна як локально, на окремому комп'ютері, так і централізовано, за допомогою доменних політик.

На локальному комп'ютері

На окремому комп'ютері дані про останній вхід зберігаються в локальному диспетчері безпеки SAM (Security Account Manager) і постійно оновлюються, досить тільки включити висновок цих даних на екран вітання.Зробити це простіше за все за допомогою локальних групових політик, тому відкриваємо оснащення редактора локальних групових політик (gpedit.msc) і переходимо в розділ Computer Configuration \ Administrative Templates \ Windows Components \ Windows Logon Options (Конфігурація комп'ютера \ Адміністративні шаблони \ Компоненти Windows \ Параметри входу Windows).

За висновок на екран інформації про останній вхід відповідає політика «Display information about previous logons during user logon »(Відображати при вході користувача відомості про попередні спроби входу), яку ми і включимо.

Цю ж опцію можна включити і через редагування реєстру.Для цього треба відкрити редактор реєстру (regedit.exe) і перейти в розділ HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. Тут потрібно створити новий параметр типу DWORD з ім'ям DisplayLastLogonInfo і вказати для нього значення 1. Відповідно для відключення опції можна задати значення параметра рівним 0 або видалити його зовсім.

Варто уточнити, що навіть якщо комп'ютер є членом домену Active Directory і на нього заходять під доменними обліковими записами, при локальному включенні політики відображатися буде тільки інформація про локальні облікові записи. Для відображення інформації про доменні користувачів необхідно скористатися доменними груповими політиками.

У доменній середовищі

У доменній середовищі просто включити відображення інформації про останній вхід недостатньо, тут все дещо складніше. Дані про спроби входу зберігаються в базі Active Directory, у властивостях користувача, однак не всі їх можна використовувати для відстеження спроб входу.Для наочності відкриємо властивості доменного користувача і подивимося, які з користувацьких атрибутів зберігають потрібні нам дані.

Примітка. Атрибути користувача можна подивитися з оснащення Active Directory Users and Computers, включивши відображення додаткових властивостей (View-> Advanced Features).

Дані про останній вхід в систему зберігаються в атрибутах lastLogon і lastLogonTimestamp, а про невдалі спроби входу - в badPasswordTime і badPwdCount. Однак використовувати їх для відстеження спроб входу не надто можливо, так як ці атрибути прив'язані до того контролера домену, на якому була проведена авторизація.lastLogon, badPasswordTime і badPwdCount взагалі не реплицируются на інші контролери домену, а lastLogonTimestamp хоча і реплицируется, але дуже рідко, приблизно один раз в 9-14 днів.

Тому, починаючи з Windows Server 2008 в схемі AD у користувача з'явилося кілька альтернативних атрибутів, пов'язаних зі входом в систему:

• msDS-FailedInteractiveLogonCount - загальне кількість невдалих спроб входу в систему з початку збору статистики;
• msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon - кількість невдалих спроб входу з моменту останньої успішної авторизації;
• msDS-LastFailedInteractiveLogonTime - час останньої невдалої спроби входу;
• msDS-LastSuccessfulInteractiveLogonTime - час останньої вдалої спроби входу.

Ці атрибути нормально реплицируются і їх можна використовувати для відстеження спроб інтерактивного входу користувача в систему. Однак, як видно з малюнка, за замовчуванням вони неактивні, тобто дані в них не збираються.

Щоб телефон відображав даних в доменній середовищі здійснюється в два етапи.Етап перший - це активація збору потрібних даних на контролерах домену. Для цього створюємо новий об'єкт групової політики (GPO), який прив'язуємо до контейнера Domain Controllers. Відкриваємо його на редагування, переходимо в розділ Computer Configuration \ Administrative Templates \ System \ KDC і включаємо політику «Provide information about previous logons to client computers».

Ця політика якраз активує збір інформації про попередні входах на контролерах домену.

І етап другий - створюємо ще один GPO, в якому включаємо вже відому політику «Display information about previous logons during user logon », що знаходиться в розділі Computer Configuration \ Administrative Templates \ Windows Components \ Windows Logon Options.Цей GPO прив'язуємо до тих підрозділів, для яких необхідно відображення даних про вхід.

В результаті після введення пароля виводиться інформація про те, коли цей користувач останній раз заходив в систему. У разі успішної авторизації виводиться дата останнього входу

а в разі неуспішної - ще й дата невдалої спроби , а також число цих спроб.Ця інформація може допомогти визначити спроби несанкціонованого доступу до комп'ютера.

На закінчення нагадаю про важливі моменти, необхідних для роботи цього функціоналу:

• для включення збору даних про спроби входу в систему необхідний функціональний рівень домену не нижче Windows Server 2008, так як тільки з цього рівня в схемі AD присутні необхідні атрибути користувача.У користувача з домену з більш низьким функціональним рівнем при спробі зайти на комп'ютер, для якого включена політика відображення даних про останній вхід, можуть виникнути проблеми з авторизацією. Тому перед включенням політики необхідно перевірити, що рівень ваших доменів відповідає мінімально необхідному.
• Також нагадаю, що відображення даних можливо тільки на комп'ютерах з операційною системою Windows Vista \ Server 2008 і вище, більш ранні ОС просто проігнорують цю політику. Це не завадить користувачу зайти в систему, але інформацію про останній вхід він не побачить.