Como alterar o LastLogon no Windows

AGRADEÇA AO AUTOR COMPARTILHE!

Alterar o LastLogon no Windows pode ser muito útil em um processo de auditoria onde o possível “suspeito” não pode desconfiar que alguém usou seu computador.

Obviamente que este mesmo processo pode ser utilizado por uma pessoa má intencionada para instalar um Keylogger para monitorar tudo o que é digitado, então, certifique-se que seu computador é utilizado apenas por pessoas autorizadas por você.

Observe que este computador está logado com o usuário Administrador

lastlogin00Passo 1

Logando com o usuário 100security (login de exemplo).

lastlogin01

Passo 2

Logon realizado.

lastlogin02

Passo 3

Iniciar > Executar > regedit.exe

Expandir: Meu computador > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon

lastlogin03

Passo 4

Altere o valor da chave DefaultUserName de: 100security para: Administrador

lastlogin04

Passo 5

Efetue o Logoff e observe que o Nome de usuário volta a exibir o login Administrador

lastlogin00

O mesmo processo citado acima está disponível também em vídeo

AGRADEÇA AO AUTOR COMPARTILHE!

Marcos Henrique

Mais artigos deste autor »

Marcos Henrique é pós-graduado em Segurança da Informação, é o desenvolvedor do site 100security.com.br, autor dos livros Nagios – Monitoramento de Redes e ownCloud – Crie sua Própria Nuvem publicados pela editora Ciência Moderna.


4 Comentários

Diego
1

Não seria mais fácil utilizar a política de ocultar o último usuário que utilizou o computador? Deixar o usuário Administrador como padrão pode fazer com que o usuário tente acessar a conta até que a mesma bloqueie por erro de senha, se ativada.

Luciano
2

Também não entendi a funcionalidade disto. Já ocultar o último acesso, como mencionado pelo Diego, é muito mais vantajoso dentro deste cenário mencionado.

Fagner
3

Outra questão que deve ficar claro é: Auditoria é uma coisa. Investigação é outra.
Se um dos motivos, para utilizar esse tutorial, é tratar com um suspeito, não se trata de auditoria. Auditoria sempre será feita com o consenso do usuário do device. O certo seria o autor utilizar o termo investigar. Mas também não há motivos para tanto procedimento. Há outros meios mais simples e produtivos para tal ação, como os indicados nos outros comentários.

Marcos Henrique
4

Pessoal,

Concordo com a opinião de vocês mas este artigo é gera uma ampla discussão pois como sabem cada empresa tem suas particularidades e o artigo é de certa forma tendencioso a um processo de investigação como menciona o Fagner mas mencionei o processo de auditoria pois no mundo corporativo o departamento de auditoria/segurança que sinaliza uma possível suspeita inicia um processo de “investigação” para certificar a procedência de um possível “incidente”.

Mas o objetivo é causar a discussão mesmo e também compartilhar experiências. Obrigado!

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">