SID-500

Home » PowerShell » Active Directory Anmeldungen überwachen

Active Directory Anmeldungen überwachen

Um Benutzeranmeldungen einer Active Directory Domäne überwachen zu können, muss die Ereignisanzeige durchsucht werden. Die grafische Oberfläche der Ereignisanzeige lässt mich oft verzweifeln, daher habe ich mir die Mühe gemacht PowerShell zu verwenden.

Das folgende Szenario bezieht sich auf einem Umgebung mit nur einem Domain-Controller. Wenn mehrere Domain-Controller im Einsatz sind, so müssen alle Ereignis Einträge aller Domain-Controller durchgesehen werden.

Erfolgreiche und fehlgeschlagene Anmeldeversuche können überwacht werden. Die Einstellungen sind in der Default Domain Controllers Policy definiert. Der Standard lautet: Nur Erfolg.

4.PNG

Ich ändere in gpmc.msc (Default Domain Controllers Policy) in Computerkonfiguration -Richtlinien – Windows Einstellungen – Sicherheitsrichtlinien – Lokale Richtlinien – Überwachungsrichtlinie – Anmeldeversuche überwachen die Einstellung auf Erfolg + Fehler.

5.png

Erfolgreiche Anmeldeversuche ID 4624

Alle Ereignisse mit ID 4624 sind erfolgreiche Anmeldeversuche. Wann hat sich Petra erfolgreich angemeldet?

Get-EventLog -LogName Security -InstanceId 4624 | Where-Object Message -match "petra" | Format-Table TimeGenerated,Message -AutoSize -Wrap

6.PNG

Der Anmeldetyp von Petra ist 2.

Unbenannt.PNG

Quelle: Technet: Audit Logon Events

Fehlgeschlagene Anmeldeversuche ID 4771

Alle Ereignisse mit ID 4771 sind nicht erfolgreiche Anmeldeversuche. Wann hat Petra sich nicht erfolgreich anmelden können?

Get-EventLog -LogName Security -InstanceId 4771 | Where-Object Message -match "petra" | Format-Table TimeGenerated,Message -AutoSize -Wrap

7.PNG

Petra hat ein falsches Kennwort eingegeben. (0x18)

Bild2.png

Quelle: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4771


1 Comment

  1. […] More information about active directory logins in my blog post: Active Directory Anmeldungen überwachen […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com