1. Включаем аудит входа в систему.
Сначала, откройте редактор локальной групповой политики. Для этого нажмите клавишу Пуск и в поле поиска наберите gpedit.msc и нажмите Enter.
В редакторе политики пройдите в папку: Политика “Локальный компьютер” -> Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики –> Политика аудита.
Теперь в правой панели двойным кликом войдите в настройки аудита входа в систему. В окне настроек включите опцию «Успех» для отображения случаев успешного доступа. Вы также можете включить опцию «Отказ» для случаев несостоявшихся попыток входа в систему.
После включения аудита входа в систему, Windows будет записывать все события входа – включая имя пользователя и время – в системный журнал.
Для просмотра этих событий, откройте «Просмотр событий». Для этого в окне поиска введите «Просмотр событий» и нажмите Enter.
Пройдите в Журналы Windows -> Безопасность.
Ищите события с кодом 4624-4625 – это события с успешным входом в систему. Для просмотра более подробной информации, вроде имени входившего пользователя, вы можете дважды кликнуть по событию и пролистать текст вниз.
2.Параметр реестра для фиксации последнего захода в винду
Откройте редактор реестра. Для этого нажмите клавишу Пуск и в поле поиска наберите «regedit» и нажмите Enter.
Пройдите по «древу реестра» до строчки
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\
Policies\System
Создаем параметр тип – REG_DWORD
Имя – DisplayLastLogonInfo со значением 1
