Как отобразить/скрыть имена пользователей с экрана приветствия Windows 10?

В Windows 10/8.1 и Windows Server 2016/2012R2 на экране входа в систему (экране приветствия) по-умолчанию отображается учетная запись последнего пользователя, который авторизовался на компьютере (если у пользователя не задан пароль, будет выполнен автоматический вход систему под этим пользователем, даже если не задана функция автологона). Вы можете настроить различное поведение этой функции на экране приветствия (logon screen): можно показать имя пользователя, скрыть его или даже вывести список всех локальных или активных доменных пользователей компьютера (сервера).

Как убрать имя пользователя с экрана приветствия Windows?

Отображение имени учетной записи на экране входа в Windows удобно конечным пользователям, но снижает безопасность компьютера. Ведь злоумышленнику, получившему доступ к компьютеру, остается только подобрать пароль (для этого есть различные способы социальной инженерии, брутфорса или банального приклееного листочка с паролем на мониторе).

Вы можете отключить отображение имени последнего пользователя через GPO. Откройте редактор доменных (gpmc.msc) или локальных политик (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options). Включите политику “Интерактивный вход в систему: Не отображать учетные данные последнего пользователя” (Interactive logon: Do not display last user name). По умолчанию эта политика отключена.

Дополнительно вы можете скрыть имя пользователя на заблокированном компьютере. Для этого в этом же разделе нужно включить политику “Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован” (Interactive logon: Display user information when the session is locked) и выбрать значение “Не отображать сведения о пользователе” (Do not display user information).

Этой политике соответствует ключ реестра в той же ветке DontDisplayLockedUserId со значением 3.

Теперь на экране входа в компьютер и на экране блокировки Windows отображаются пустые поля для ввода имени пользователя и пароля.

Как показать всех локальных пользователей на экране входа в Windows 10?

В Windows 10/8.1 вы можете вывести список имеющихся локальных учетных записей на экране приветствия системы. Чтобы авторизоваться на компьютере, пользователю достаточно лишь щелкнуть по нужной учетной записи и указать ее пароль.

Чтобы Windows отображала всех локальных пользователей на экране входа, нужно в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch изменить значение параметра Enabled на 1. Вы можете изменить этот параметр через графический интерфейс редактора Regedit, с помощью консольной команды“Reg Add” или командлетом PowerShell Set-ItemProperty.

Reg Add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch /v Enabled /t REG_DWORD /d 1 /f
или
Set-ItemProperty -Path ‘HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch’ -Name Enabled -Value 1

Однако Windows при каждой входе пользователя автоматически сбрасывает значение параметра Enabled на 0. Чтобы значение ключа всегда менялось на 1, проще всего создать новое задание планировщика, которое будет отрабатывать при входе пользователя в систему.

Задание планировщика должно запускать одну из указанных выше команд. Такое задание можно создать вручную с помощью графической консоли taskschd.msc. Но мне кажется, что гораздо проще создать задание планировщика с помощью PowerShell. В нашем случае команды для создания нового задания могут выглядеть так:

$Trigger= New-ScheduledTaskTrigger -AtLogOn
$User= «NT AUTHORITY\SYSTEM»
$Action= New-ScheduledTaskAction -Execute «PowerShell.exe» -Argument «Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1»
Register-ScheduledTask -TaskName «UserSwitch_Enable» -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force

Убедимся, что задание появилось в планировщике Windows (taskschd.msc).

Выполните логофф и логон пользователя. Задание должно автоматически запуститься и изменить значение параметра реестра Enabled на 1. Проверьте текущее значение параметра. Как вы видите оно равно единице:

get-ItemProperty -Path ‘HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch’ -Name Enabled

После следующей перезагрузки системы на экране приветствия Windows 10 и 8.1 будут отображаться все локальные учетные записи пользователей компьютера, а не только имя последнего пользовтеля.

Есть отдельная политика, позволяющая гораздо проще вывести список локальных пользователей на доменных компьютерах. Перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Logon (Конфигурация компьютера -> Администартиыне шаблоны -> Вход в систему) и включите политику «Enumerate local users on domain-joined computers» (Перечислить локальных пользователей на компьютерах, подключенных к домену).

Отобразить список активных доменных пользователей на экране входа в Windows

Если одним компьютером пользуется несколько пользователей, вы можете отобразить на экране приветствия список пользователей, у которых есть неотключение сессии (пользователи будут отображаться только в том случае, если они залогинены, например при использования общежоступных компьютеров, касс, киосков, RDS сервера или его аналога на Windows 10).

Для этого проверьте, что в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options отключены политики:

• Interactive logon: Don’t display last signed-in: Disabled
• Interactive logon: Don’t display username at sign in: Disabled

Затем отключите политики в разделе Computer Configuration -> Administrative Templates -> System -> Logon:

• Block user from showing account details on sign-in: Disabled
• Do not enumerate connected users on domain-joined computer: Disabled

После этого на экране приветствия будет отображаться список учетных записей с активными сессиями, которые выполнили вход в систему, но были отключены. Пользователю достаточно один раз выполнить вход, а после этого просто выбирать учетную запись из списка и вводить пароль.

Как скрыть определенного пользователя на экране приветствия Windows?

На экране приветствия Windows отображаются пользователи, которые входят в одну из следующих локальных групп: Администраторы, Пользователи, Опытные пользователи, Гости.

Вы можете скрыть любого пользователя из списка на экрана приветствия Windows 10, выполнив команду:

reg add «HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList» /t REG_DWORD /f /d 0 /v UserName

Не отображать последнее имя пользователя на экране входа в Windows 10/8/7

Если вы заботитесь о безопасности, вы можете захотеть скрыть или удалить последнее имя пользователя из последних зарегистрированных пользователей. В этом посте мы увидим, как активировать параметр Не отображать последнее имя пользователя на экране входа в Windows, используя групповую политику и редактор реестра.

Не отображать последнее имя пользователя на экране входа

Использование групповой политики

Введите secpol.msc в Windows Start Search и нажмите Enter. Откроется Редактор локальной политики безопасности . Перейдите в Параметры безопасности> Локальные политики> Параметры безопасности.

Теперь с правой стороны найдите Интерактивный вход в систему: не отображать последнее имя пользователя . Щелкните правой кнопкой мыши на нем и откройте его свойства. Установите его на Включено> Применить.

Этот параметр безопасности определяет, будет ли отображаться имя последнего пользователя, вошедшего в систему на компьютере, на экране входа в Windows. Если эта политика включена, имя последнего пользователя, успешно выполнившего вход, не отображается в диалоговом окне «Вход в Windows». Если эта политика отключена, отображается имя последнего пользователя, вошедшего в систему.

Использование редактора реестра

Secpol.msc доступен только в Windows Ultimate, Pro и Business.

Тем не менее, secpol – это просто графический интерфейс для параметров реестра, которые можно найти в реестре по адресу:

Пользователи других версий Windows могут делать следующее. Откройте regedit и перейдите к указанному выше ключу.

Щелкните правой кнопкой мыши> dontdisplaylastusername > Изменить> Данные значения> 1> ОК.

Это должно сделать работу.

Лучше всего всегда создавать точку восстановления системы, прежде чем работать в реестре.

Перейдите сюда, если вы хотите изменить параметры Ctrl + Alt + Delete или отключить безопасный вход Ctrl Alt Del в Windows 10/8.

Интерактивный вход в систему: не отображать имя пользователя при входе в систему Interactive logon: Don’t display username at sign-in

Область применения Applies to

• Windows 10, Windows Server 2019 Windows 10, Windows Server 2019

В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для интерактивного вход в учетную запись: не отображать имя пользователя при настройке политики безопасности для входов. Describes the best practices, location, values, and security considerations for the Interactive logon: Don’t display username at sign-in security policy setting.

Справочные материалы Reference

Новый параметр политики был представлен в Windows 10, начиная с Windows 10 версии 1703. A new policy setting has been introduced in Windows 10 starting with Windows 10 version 1703. Этот параметр политики безопасности определяет, отображается ли имя пользователя при входе в систему. This security policy setting determines whether the username is displayed during sign in. Этот параметр влияет только на плитку «Другой пользователь». This setting only affects the Other user tile.

Если политика включена и пользователь вошел в качестве другого пользователя, полное имя пользователя не отображается во время входа. If the policy is enabled and a user signs in as Other user, the full name of the user is not displayed during sign-in. В том же контексте, если пользователь вводит свой адрес электронной почты и пароль на экране входа и нажми кнопку ВВОД, отображаемого текста «Другой пользователь» остается без изменений и больше не заменяется на имя и фамилию пользователя, как в предыдущих версиях Windows 10. In the same context, if users type their email address and password at the sign in screen and press Enter, the displayed text “Other user” remains unchanged, and is no longer replaced by the user’s first and last name, as in previous versions of Windows 10. Кроме того, если пользователи введите имя **** пользователя домена и пароль и нажмет кнопку «Отправить», его полное имя не будет отображаться до тех пор, пока не отобразятся на экране «Начните». Additionally,if users enter their domain user name and password and click Submit, their full name is not shown until the Start screen displays.

Если политика отключена и пользователь вошел в качестве другого пользователя, текст «Другой пользователь» заменяется именем и фамилией пользователя при входе. If the policy is disabled and a user signs in as Other user, the “Other user” text is replaced by the user’s first and last name during sign-in.

Возможные значения Possible values

• Enabled Enabled
• Отключено Disabled
• Не определено Not defined

Рекомендации Best practices

Реализация этой политики зависит от требований безопасности для отображаемой информации для логотипа. Your implementation of this policy depends on your security requirements for displayed logon information. Если у вас есть устройства, на которых хранятся конфиденциальные данные, мониторы отображаются в незащиченных расположениях или если у вас есть устройства с конфиденциальными данными с удаленным доступом, то отображение полных имен пользователей или доменных учетных записей может привести к противоречию общей политике безопасности. If you have devices that store sensitive data, with monitors displayed in unsecured locations, or if you have devices with sensitive data that are remotely accessed, revealing logged on user’s full names or domain account names might contradict your overall security policy.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

Тип сервера или объект групповой политики (GPO) Server type or Group Policy object (GPO)	Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy	Не определено Not defined
Политика контроллера домена по умолчанию Default domain controller policy	Не определено Not defined
Параметры по умолчанию для отдельного сервера Stand-alone server default settings	Не определено Not defined
Параметры по умолчанию для контроллера домена Domain controller effective default settings	Не определено Not defined
Эффективные параметры по умолчанию для серверов-членов Member server effective default settings	Не определено Not defined
Эффективные параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers	Не определено Not defined

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы конфликтов политик Policy conflict considerations

Групповая политика Group Policy

Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения через объекты групповой политики (GGPOs). This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). Если эта политика не содержится в распределенном GPO, эту политику можно настроить на локальном компьютере с помощью оснастки «Локализованная политика безопасности». If this policy is not contained in a distributed GPO, this policy can be configured on the local computer by using the Local Security Policy snap-in.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Злоумышленник с доступом к консоли (например, пользователь с физическим доступом или пользователь, который может подключиться к устройству с помощью хоста сеанса удаленного рабочего стола) может просмотреть имя последнего пользователя, который вошел в систему. An attacker with access to the console (for example, someone with physical access or someone who can connect to the device through Remote Desktop Session Host) could view the name of the last user who logged on. Затем злоумышленник может попытаться угадать пароль, использовать словарь или воспользоваться атакой с использованием атак с помощью атак. The attacker could then try to guess the password, use a dictionary, or use a brute-force attack to try to log on.

Противодействие Countermeasure

В включить интерактивный вход: не отображать имя пользователя при входе. Enable the Interactive logon: Don’t display user name at sign-in setting.

Возможное влияние Potential impact

Пользователи всегда должны вводить свои имена пользователей и пароли при локальном входе в систему или в домене. Users must always type their usernames and passwords when they log on locally or to the domain. Плитки входа всех пользователей, во время входа в систему, не отображаются. The logon tiles of all logged on users are not displayed.