Windows Anmeldeversuche überwachen und mit der Powershell auswerten
Logeinträge in der Ereignisanzeige sind der Dreh- und Angelpunkt einer Analyse, wenn es darum geht, ein Anliegen des Sicherheitsbeauftragten nach zu kommen. Die Powershell kann uns helfen, die Auswertung von Ereignissen zu beschleunigen.
Erfolgreiche Anmeldungen werden mit der Event-ID 4624 registriert.
Nicht erfolgreiche Anmeldungen werden mit der Event-ID 4771 registriert.
Bei nicht erfolgreichen Anmeldungen ist noch wichtig zu beachten, was der Grund für die Falschanmeldung war. In diesem Fall war ein falsches Passwort der Grund für die Ablehnung der Anmeldung. Gekennzeichnet mit dem Fehlercode 0x18.
# Erfolgreiche Anmeldungen Get-EventLog -LogName Security -InstanceId 4624 | Where-Object Message -match “NDS” | Format-Table TimeGenerated,Message -AutoSize -Wrap
# Nicht erfolgreiche Anmeldungen Get-EventLog -LogName Security -InstanceId 4771 | Where-Object Message -match “NDS” | Format-Table TimeGenerated,Message -AutoSize -Wrap