ตามค่าเริ่มต้น หน้าจอเข้าสู่ระบบใน Windows 10/11 และ Windows Server 2019/2016/2012R2 จะแสดงบัญชีของผู้ใช้รายสุดท้ายที่เข้าสู่ระบบคอมพิวเตอร์ คุณสามารถกำหนดค่าลักษณะการทำงานที่แตกต่างกันของคุณลักษณะนี้:คุณสามารถแสดงชื่อผู้ใช้ที่เข้าสู่ระบบล่าสุด ซ่อน หรือแม้แต่แสดงรายชื่อผู้ใช้โดเมนในเครื่อง/ที่เข้าสู่ระบบทั้งหมดบนหน้าจอต้อนรับของอุปกรณ์ของคุณ
ไม่แสดงชื่อผู้ใช้ล่าสุดบนหน้าจอเข้าสู่ระบบ Windows
ผู้ใช้ปลายทางจะรู้สึกสบายใจเมื่อชื่อบัญชีที่เข้าสู่ระบบล่าสุดแสดงบนหน้าจอเข้าสู่ระบบ Windows และไม่จำเป็นต้องพิมพ์ด้วยตนเอง แต่สิ่งนี้ทำให้ผู้โจมตีเข้าถึงคอมพิวเตอร์ได้ง่ายขึ้น ในการเข้าถึงอุปกรณ์ของคุณ เขาต้องค้นหารหัสผ่านที่ถูกต้องเท่านั้น ในการทำเช่นนี้ มีหลายวิธีในวิศวกรรมสังคม การโจมตีแบบเดรัจฉาน หรือกระดาษเหนียวธรรมดาที่มีรหัสผ่านบนจอภาพ
คุณสามารถซ่อนชื่อผู้ใช้ที่บันทึกไว้ล่าสุดบนหน้าจอเข้าสู่ระบบ Windows ผ่าน GPO เปิดโดเมน (gpmc.msc ) หรือตัวแก้ไขนโยบายกลุ่มในเครื่อง (gpedit.msc) และไปที่ส่วน การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย . เปิดใช้งานนโยบาย “การเข้าสู่ระบบแบบโต้ตอบ:อย่าแสดงชื่อผู้ใช้ล่าสุด ” นโยบายนี้ถูกปิดใช้งานโดยค่าเริ่มต้น
ชื่อผู้ใช้จะแสดงบนคอมพิวเตอร์ด้วยหากหน้าจอถูกล็อค (โดยการกด Win+L หรือผ่านทางหน้าจอล็อก GPO) คุณสามารถซ่อนชื่อผู้ใช้บนหน้าจอล็อคของคอมพิวเตอร์ได้ เมื่อต้องการทำเช่นนี้ ในส่วนเดียวกันของ GPO คุณต้องเปิดใช้งานนโยบาย “การเข้าสู่ระบบแบบโต้ตอบ:แสดงข้อมูลผู้ใช้เมื่อเซสชันถูกล็อค ” และตั้งค่า “ไม่แสดงข้อมูลผู้ใช้
พารามิเตอร์รีจิสทรีชื่อ DontDisplayLockedUserId ในรีจิสตรีคีย์เดียวกันกับค่า 3 ตรงกับพารามิเตอร์นโยบายนี้
ค่าอื่นที่เป็นไปได้สำหรับพารามิเตอร์นี้:- 1 — แสดงชื่อที่แสดงของผู้ใช้ โดเมน และชื่อผู้ใช้
- 2 — แสดงเฉพาะชื่อที่แสดงของผู้ใช้
- 3 — ไม่แสดงผู้ใช้
หน้าจอเข้าสู่ระบบคอมพิวเตอร์และหน้าจอล็อกของ Windows จะแสดงช่องชื่อผู้ใช้และรหัสผ่านที่ว่างเปล่า
แสดงผู้ใช้ทั้งหมดบนหน้าจอลงชื่อเข้าใช้ Windows 10/11
ตามค่าเริ่มต้น Windows เวอร์ชันใหม่ (ทดสอบบน Windows 11 21H2 และ Windows 10 21H1) จะแสดงรายการผู้ใช้ในพื้นที่ที่เปิดใช้งานที่มุมล่างซ้ายของหน้าจอการเข้าสู่ระบบเสมอ ไม่แสดงเฉพาะผู้ใช้ที่ซ่อน (ดูด้านล่าง) หรือปิดการใช้งาน
ในการเข้าสู่ระบบคอมพิวเตอร์ ผู้ใช้เพียงแค่คลิกที่บัญชีผู้ใช้ที่ต้องการและระบุรหัสผ่าน ใช้ได้เฉพาะกับคอมพิวเตอร์ที่ไม่ได้เข้าร่วมโดเมน Active Directory
หากไม่มีการตั้งค่ารหัสผ่านสำหรับบัญชีผู้ใช้ ผู้ใช้รายนี้จะถูกเข้าสู่ระบบโดยอัตโนมัติ แม้ว่าจะไม่ได้เปิดใช้งานการเข้าสู่ระบบอัตโนมัติก็ตาม
หากรายชื่อผู้ใช้ภายในไม่ปรากฏบนหน้าจอเข้าสู่ระบบคอมพิวเตอร์ ให้ตรวจสอบการตั้งค่าของตัวเลือกนโยบายกลุ่มในเครื่องต่อไปนี้ (ใช้ gpedit.msc ):
- การเข้าสู่ระบบแบบโต้ตอบ:อย่าแสดงการลงชื่อเข้าใช้ครั้งล่าสุด =
Disabled(การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายในพื้นที่ -> ตัวเลือกความปลอดภัย); - ระบุผู้ใช้ในเครื่องบนคอมพิวเตอร์ที่เข้าร่วมโดเมน =
Enabled(การกำหนดค่าคอมพิวเตอร์ -> เทมเพลตการดูแลระบบ -> ระบบ -> การเข้าสู่ระบบ) - อย่าระบุผู้ใช้ที่เชื่อมต่อบนคอมพิวเตอร์ที่เข้าร่วมโดเมน =
Disabled/Not Configured(อยู่ในส่วน GPO เดียวกัน)
รีสตาร์ทเครื่องคอมพิวเตอร์เพื่อใช้การตั้งค่านโยบายกลุ่มใหม่
ใน Windows 10 รุ่นเก่าบางรุ่น (ตั้งแต่ 1609 ถึง 1903) มีปัญหาอื่นในการแสดงผู้ใช้ในเครื่องทั้งหมดบนหน้าจอต้อนรับของ Windows ซึ่งเกี่ยวข้องกับโหมดการสลับผู้ใช้
หากต้องการแสดงบัญชีผู้ใช้ในเครื่องทั้งหมดบนหน้าจอเข้าสู่ระบบ Windows คุณต้องเปลี่ยนค่าของ เปิดใช้งาน พารามิเตอร์เป็น 1 ในรีจิสตรีคีย์ต่อไปนี้:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch . ตัวเลือกนี้ช่วยให้คุณสลับผู้ใช้ปัจจุบันในหน้าจอลงชื่อเข้าใช้ Windows อย่างไรก็ตาม Windows จะรีเซ็ตค่าของพารามิเตอร์ Enabled เป็น 0 โดยอัตโนมัติทุกครั้งที่เข้าสู่ระบบของผู้ใช้
ในการแก้ไขปัญหานี้ คุณต้องสร้างงานตัวกำหนดตารางเวลาที่จะเปลี่ยนค่าพารามิเตอร์เป็น 0 ในการเข้าสู่ระบบของผู้ใช้แต่ละคน
คุณสามารถสร้างงานตัวจัดกำหนดการใหม่ด้วย PowerShell:
$Trigger= New-ScheduledTaskTrigger -AtLogOn
$User= "NT AUTHORITY\SYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1"
Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force
ตรวจสอบให้แน่ใจว่างานปรากฏใน Windows Task Scheduler (taskschd.msc )
ออกจากระบบแล้วเข้าสู่ระบบอีกครั้ง งานต้องเริ่มต้นโดยอัตโนมัติและเปลี่ยนค่าของพารามิเตอร์รีจิสตรีที่เปิดใช้งานเป็น 1 ตรวจสอบค่าปัจจุบันของพารามิเตอร์โดยใช้ Get-ItemProperty อย่างที่คุณเห็น มันคือ 1:
get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled
แสดงผู้ใช้โดเมนที่เข้าสู่ระบบในหน้าจอเข้าสู่ระบบ Windows
หากผู้ใช้โดเมนหลายคนใช้คอมพิวเตอร์เครื่องเดียวกัน คุณสามารถแสดงรายการผู้ใช้ที่มีเซสชันที่ใช้งานอยู่ในหน้าจอต้อนรับ เซสชันที่ใช้งานอยู่หมายความว่าผู้ใช้เข้าสู่ระบบคอมพิวเตอร์ อาจเป็นคอมพิวเตอร์ที่ใช้ร่วมกัน (ใช้ในโหมดสลับผู้ใช้), คีออสก์, โฮสต์ Windows Server RDS หรืออุปกรณ์ Windows 11 และ 10 ที่อนุญาตการเชื่อมต่อ RDP หลายรายการ)
ในการดำเนินการนี้ ให้ตรวจสอบว่าในการกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย นโยบายต่อไปนี้ถูกปิดใช้งาน:
- การเข้าสู่ระบบแบบโต้ตอบ:ไม่ต้องแสดงการลงชื่อเข้าใช้ครั้งล่าสุด :พิการ
- การเข้าสู่ระบบแบบโต้ตอบ:อย่าแสดงชื่อผู้ใช้เมื่อลงชื่อเข้าใช้ :พิการ
จากนั้นปิดการใช้งานนโยบายในส่วน Computer Configuration -> Administrative Templates -> System -> Logon:
- บล็อกผู้ใช้ไม่ให้แสดงรายละเอียดบัญชีเมื่อลงชื่อเข้าใช้: พิการ
- อย่าระบุผู้ใช้ที่เชื่อมต่อบนคอมพิวเตอร์ที่เข้าร่วมโดเมน: พิการ
หลังจากนั้น หน้าจอต้อนรับจะแสดงรายชื่อผู้ใช้ที่เข้าสู่ระบบ ทั้งเซสชันที่ใช้งานอยู่และเซสชันของผู้ใช้ที่มีสถานะถูกตัดการเชื่อมต่อ (เช่น โดยการหมดเวลา RDP) จะแสดงที่นี่ ผู้ใช้จำเป็นต้องเข้าสู่ระบบเพียงครั้งเดียว จากนั้นเลือกบัญชีจากรายการและป้อนรหัสผ่าน
rsop.msc หรือ gpresult เพื่อรับการตั้งค่านโยบายกลุ่มที่เป็นผลลัพธ์บนอุปกรณ์ของคุณ ซ่อนบัญชีผู้ใช้เฉพาะจากหน้าจอลงชื่อเข้าใช้ใน Windows 10 และ 11
หน้าจอต้อนรับของ Windows จะแสดงผู้ใช้ที่เป็นสมาชิกของกลุ่มภายในเครื่องใดกลุ่มหนึ่งต่อไปนี้:ผู้ดูแลระบบ ผู้ใช้ ผู้ใช้ระดับสูง ผู้เยี่ยมชม
ผู้ใช้ที่พิการจะไม่แสดงบนหน้าจอลงชื่อเข้าใช้ Windows
คุณสามารถซ่อนผู้ใช้เฉพาะจากรายการบนหน้าจอต้อนรับผ่านทางรีจิสทรี ในการดำเนินการนี้ คุณต้องใช้ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList คีย์รีจิสทรี คุณต้องสร้างพารามิเตอร์ DWORD ด้วยชื่อผู้ใช้และค่า 0 สำหรับผู้ใช้แต่ละรายที่คุณต้องการซ่อน
คุณสามารถแสดงรายการชื่อผู้ใช้ในเครื่องด้วย PowerShell หรือ cmd:
Net user
หรือ:
Get-LocalUser | where {$_.enabled –eq $true}
หากต้องการซ่อนบัญชีผู้ใช้เฉพาะจากหน้าจอต้อนรับของ Windows 11 หรือ 10 (เช่น user1) ให้เรียกใช้คำสั่ง:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v UserName
หากบัญชีผู้ดูแลระบบ Windows ในตัวถูกเปิดใช้งานบนคอมพิวเตอร์ และ นี่ไม่ใช่บัญชีเดียวที่มีสิทธิ์ของผู้ดูแลระบบในเครื่องบนคอมพิวเตอร์ (!!!! ) คุณสามารถซ่อนมันได้เช่นกัน:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v administrator
หากคุณต้องการซ่อนผู้ใช้ทั้งหมดยกเว้นผู้ใช้รายสุดท้ายที่เข้าสู่ระบบคอมพิวเตอร์ ให้กำหนดการตั้งค่า GPO ต่อไปนี้ใน Computer Configuration -> Administrative Templates -> System -> Logon:
- แจกแจง ท้องถิ่น ผู้ใช้ เปิด โดเมน—เข้าร่วม คอมพิวเตอร์ =พิการ
- อย่าระบุผู้ใช้ที่เชื่อมต่อบนคอมพิวเตอร์ที่เข้าร่วมโดเมน =เปิดใช้งาน
