Vaikimisi kuvatakse Windows 10/11 ja Windows Server 2019/2016/2012R2 sisselogimisekraanil viimase arvutisse sisse loginud kasutaja konto. Saate konfigureerida selle funktsiooni erinevat käitumist: saate kuvada viimase sisselogimise kasutajanime, peita selle või isegi loetleda kõik kohalikud/logitud domeeni kasutajad oma seadme tervituskuval.
Sisu:
- Ärge kuvage viimast kasutajanime Windowsi sisselogimiskuval
- Kuva kõik kasutajad Windows 10/11 sisselogimiskuval
- Kuva sisselogitud domeeni kasutajad Windowsi sisselogimiskuval
- Peida konkreetsed kasutajakontod Windows 10 ja 11 sisselogimiskuval
Ärge kuvage viimast kasutajanime Windowsi sisselogimiskuval
Lõppkasutajad tunnevad end mugavalt, kui Windowsi sisselogimiskuval kuvatakse viimati sisselogitud konto nimi ja seda pole vaja käsitsi sisestada. Kuid see muudab ründaja arvutile juurdepääsu lihtsamaks. Teie seadmele juurdepääsuks peab ta leidma vaid õige parooli. Selleks on erinevaid sotsiaalse manipuleerimise viise, jõhkra jõuga rünnakuid või banaalset parooliga kleepuvat paberit monitoril.
Saate GPO kaudu Windowsi sisselogimiskuval viimati logitud kasutajanime peita. Ava domeen (gpmc.msc
) või kohalik rühmapoliitika redaktor (gpedit.msc) ja minge jaotisse Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Kohalikud poliitikad -> Turvasuvandid. Luba poliitika "Interaktiivne sisselogimine: ärge kuvage perekonnanime”. See reegel on vaikimisi keelatud.
![gpo: interaktiivne sisselogimine ei kuva Windows 10 tervituskuval perekonnanime](/f/7dc1848f25be9108e8d5bc50b845f53f.jpg)
![registri parameeter dontdisplaylastusername](/f/89b00199f46c0510a26e50bce12dc51c.jpg)
Kasutajanimi kuvatakse ka arvutis, kui selle ekraan on lukustatud (vajutades Win+L
või läbi lukustuskuva GPO). Saate kasutajanime arvuti lukustuskuval peita. Selleks peate GPO samas jaotises lubama poliitika "Interaktiivne sisselogimine: kuvage kasutajateave, kui seanss on lukustatudja määrake väärtus "Ärge kuvage kasutajateavet.
![Windows 10 lukustuspoliitika: ärge kuvage kasutajateavet](/f/3216bad714ba12a56d4190b088c6c43c.jpg)
Registriparameeter nimega DontDisplayLockedUserId samas registrivõtmes väärtusega 3 vastab sellele reegli parameetrile.
- 1 — kuvada kasutaja kuvatav nimi, domeen ja kasutajanimed
- 2 — kuvada ainult kasutajate kuvatavaid nimesid
- 3 — ära kuva kasutajaid.
Arvuti sisselogimisekraanil ja Windowsi lukustuskuval kuvatakse nüüd tühjad kasutajanime ja parooli väljad.
![ärge kuvage viimast kasutajanime Windows 10 sisselogimisekraanil](/f/997abb1b171df4f0b1a91becd5e1b1df.jpg)
Kuva kõik kasutajad Windows 10/11 sisselogimiskuval
Vaikimisi kuvavad Windowsi kaasaegsed versioonid (testitud opsüsteemides Windows 11 21H2 ja Windows 10 21H1) sisselogimisekraani vasakus alanurgas alati lubatud kohalike kasutajate loendit. Ainult peidetud (vt allpool) või keelatud kasutajaid ei kuvata.
Arvutisse sisselogimiseks peab kasutaja lihtsalt klõpsama soovitud kasutajakontol ja määrama selle parooli. See töötab ainult arvutites, mis seda ei ole liitunud Active Directory domeeniga.
![kõigi kohalike kasutajate kuvamine Windows 11 sisselogimisekraanil](/f/2749eee84d196c795c8635d33c43ed7f.jpg)
Kui arvuti sisselogimisekraanil ei kuvata kohalike kasutajate loendit, kontrollige järgmiste kohalike rühmapoliitika valikute sätteid (kasutage gpedit.msc
):
-
Interaktiivne sisselogimine: ärge kuvage viimast sisselogimist =
Disabled
(Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Kohalikud poliitikad -> Turvasuvandid); -
Loendage domeeniga ühendatud arvutites olevaid kohalikke kasutajaid =
Enabled
(Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Sisselogimine) -
Ärge loetlege domeeniga ühendatud arvutis ühendatud kasutajaid =
Disabled/Not Configured
(samas GPO jaotises)
![kohalik gpo: loendage domeeniga ühendatud arvutite kohalikke kasutajaid](/f/1d7e14398253259f53117ebff0d6c5cf.jpg)
Taaskäivitage arvuti, et rakendage uusi rühmapoliitika sätteid.
Mõnes vanas Windows 10 järgus (alates 1609 kuni 1903) oli veel üks probleem kõigi kohalike kasutajate kuvamisel Windowsi tervituskuval, mis oli seotud kasutajate vahetamise režiimiga.
Kõigi kohalike kasutajakontode kuvamiseks Windowsi sisselogimiskuval peate muutma väärtust Lubatud parameeter kuni 1 järgmises registrivõtmes: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch. See suvand võimaldab teil Windowsi sisselogimiskuval praegust kasutajat vahetada. Siiski lähtestab Windows automaatselt parameetri Enabled väärtuseks 0 iga kasutaja sisselogimisel.
Selle probleemi lahendamiseks peate looma planeerija ülesande, mis muudab parameetri väärtuseks 0 iga kasutaja sisselogimisel.
Sa saad looge PowerShelliga uus plaanija ülesanne:
$Trigger= New-ScheduledTaskTrigger -AtLogOn
$User= "NT AUTHORITY\SYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1"
Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force
![Register-ScheduledTask UserSwitch_Enable](/f/773f2e115ad1957559dc9ad08ee14f03.jpg)
Veenduge, et ülesanne oleks ilmunud Windows Task Scheduleris (taskschd.msc
).
![uus planeerija ülesanne](/f/cd461d1800c9636bc609042c14b1c56c.jpg)
Logi välja ja seejärel uuesti sisse. Ülesanne peab käivituma automaatselt ja muutma registriparameetri Lubatud väärtuseks 1. Kontrollige parameetri praegust väärtust kasutades Get-ItemProperty. Nagu näete, on see 1:
get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled
![Get-ItemProperty](/f/6b164263d5e39b2f72d58e9858907c49.jpg)
Kuva sisselogitud domeeni kasutajad Windowsi sisselogimiskuval
Kui sama arvutit jagavad mitu domeenikasutajat, saate tervituskuval kuvada aktiivsete seanssidega kasutajate loendi. Aktiivne seanss tähendab, et kasutajad on arvutisse sisse logitud. See võib olla jagatud arvuti (kasutatakse kasutaja vahetamise režiimis), kioskid, Windows Serveri RDS-i hostid või Lubatud on Windows 11 ja 10 seadmed, millel on mitu RDP-ühendust).
Selleks kontrollige, et jaotises Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Kohalikud poliitikad -> Turvasuvandid on järgmised poliitikad keelatud:
- Interaktiivne sisselogimine: ärge kuvage viimast sisselogimist: keelatud
- Interaktiivne sisselogimine: ärge kuvage sisselogimisel kasutajanime: keelatud
![gpo: • Ärge loetlege domeeniga ühendatud arvutis ühendatud kasutajaid: keelatud](/f/df2e53a5762b44f6442229e862a2fc2d.jpg)
Seejärel keelake poliitikad jaotises Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Sisselogimine:
- Blokeeri kasutajal sisselogimisel konto üksikasju kuvamast: Keelatud
- Ärge loetlege domeeniga ühendatud arvutis ühendatud kasutajaid: Keelatud
Pärast seda kuvatakse tervituskuval sisselogitud kasutajate loend. Nii aktiivsed kui ka katkestatud olekuga kasutajate seansid (nt kasutaja RDP ajalõpp) kuvatakse siin. Kasutajal tuleb sisse logida vaid üks kord ning seejärel lihtsalt valida loendist konto ja sisestada parool.
![kuva logitud domeeni kasutaja Windows 10 sisselogimisekraanil](/f/9d784316b0a076b7c49b9dc42f9f5038.jpg)
rsop.msc
või gpresult et saada oma seadmesse sellest tulenevad rühmapoliitika sätted.Peida konkreetsed kasutajakontod Windows 10 ja 11 sisselogimiskuval
Windowsi tervituskuval kuvatakse alati kasutajad, kes kuuluvad ühte järgmistest kohalikest rühmadest: administraatorid, kasutajad, võimsad kasutajad, külalised.
Puudega kasutajaid ei kuvata Windowsi sisselogimiskuval.
Registri kaudu saate tervituskuval olevast loendist teatud kasutajad peita. Selleks peate kasutama HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
registrivõti. Peate looma DWORD-parameetri koos kasutajanime ja väärtusega 0 iga kasutaja jaoks, keda soovite peita.
Sa saad Loetlege PowerShelliga kohalikud kasutajanimed või cmd:
Net user
Või:
Get-LocalUser | where {$_.enabled –eq $true}
![loendage kohalikud kasutajanimed Windows 11-s Powershelliga](/f/a029453d82e8e13c2efb03304e53cd37.jpg)
Konkreetse kasutajakonto peitmiseks Windows 11 või 10 tervituskuval (näiteks kasutaja1), käivitage käsk:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v UserName
Kui soovite peidetud kasutajat uuesti sisselogimiskuval näidata, peate selle registriparameetri kustutama või muutma selle väärtuseks 1.
Kui sisseehitatud Windowsi administraatori konto on lubatud arvutis ja see pole ainus konto, millel on arvutis kohaliku administraatori õigused (!!!), saate selle ka peita:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v administrator
Kui soovite peita kõik kasutajad peale viimati arvutisse sisseloginud kasutaja, konfigureerige järgmised GPO sätted jaotises Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Sisselogimine:
- Loetlegekohalikkasutajadpealdomeen – liitunudarvutid = Keelatud
- Ärge loetlege domeeniga ühendatud arvutis ühendatud kasutajaid = Lubatud