Tags: Active Directory, Authentifizierung
Windows Server 2008 führte ein Feature ein, das fehlgeschlagene Logons im Active Directory speichert, um verdächtigen Aktivitäten auf die Spur zu kommen. Administratoren können diese Daten für eigene Reports heranziehen oder sie den Benutzern bei der Anmeldung präsentieren.
Genau genommen sind es vier Informationen, die das AD bei der interaktiven Authentifizierung mitschreibt. Zu diesem Zweck existieren in User-Objekten eigene Attribute:
msDS-FailedInteractiveLogonCount:
Die Zahl der fehlgeschlagenen Anmeldeversuche seit der Aktivierung des Features- msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon: Die Zahl aller gescheiterten interaktiven Anmeldungen seit dem letzten erfolgreichen Logon
- msDS-LastFailedInteractiveLogonTime:
Der Zeitstempel der letzten erfolglosen Authentifizierung - msDS-LastSuccessfulInteractiveLogonTime: Der Zeitstempel für die letzte erfolgreiche interaktive Anmeldung
Diese Attribute sind vorhanden, wenn sich das AD auf der Funktionsebene von Windows Server 2008 oder höher befindet. Davon kann man sich recht einfach mit Hilfe des Attribut-Editors in AD-Benutzer und -Computer überzeugen.
Unabsichtliches DoS bei falscher Anwendung
Diese Sicherheitsfunktion wird über Gruppenrichtlinien aktiviert und hat bei nicht sachgerechter Anwendung unangenehme Nebeneffekte. Aktiviert man es etwa in einer gemischten Umgebung, in der noch Domänen-Controller unter Windows Server 2003 laufen, dann sperrt man sich selbst vom System aus, weil Anmeldungen am AD dann nicht mehr möglich sind.
Die zweite Falle lauert bei der Erstellung des GPO. Verknüpft man es erst mit den Client-Maschinen anstatt mit den DCs, dann wird anschließend ein Logon ebenfalls scheitern.
GPO für DCs anlegen
Der erste Schritt besteht also darin, ein GPO zu erstellen und mit der OU Domain Controllers zu verknüpfen bzw. die Default Domain Controllers Policy zu editieren. Die zur Aktivierung des Features erforderlich Einstellung befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Anmeldeoptionen und heißt Informationen zu vorherigen Anmeldungen bei der Benutzeranmeldung anzeigen.
Nachdem das GPO eingerichtet ist, sorgt man am besten durch den Aufruf von gpupdate dafür, dass die Einstellung auf den DCs angewandt wird, oder man wartet ab, bis das Intervall für den nächsten GPO-Refresh verstrichen ist. Ab diesem Moment schneidet Windows die genannten Informationen zu interaktiven Anmeldungen im AD mit.
Attribute der User-Objekte mit PowerShell auswerten
Man kann es nun dabei belassen und die aufgezeichneten Daten regelmäßig auswerten, um ungewöhnliche Vorkommnisse bei der Authentifizierung zu erkennen. Relativ einfach lässt sich das mit PowerShell bewerkstelligen, das mit Hilfe des Cmdet Get-ADUser die Attribute eines User-Objekts auslesen kann. So würde der folgende Befehl den Namen und den Wert der Zähler für fehlgeschlagene Anmeldungen von allen Konten in der OU Finance anzeigen, für die ein Logon insgesamt mehr als 10 Mal gescheitert ist:
Get-ADUser -Filter * -SearchBase "OU=Finance,DC=contoso,DC=com" -Properties * | where msDS-FailedInteractiveLogonCount -gt 10| select Name, msDS-Failed* | fl
Alternativ bestünde die Möglichkeit, sich alle Konten anzeigen zu lassen und sie nach dem Wert des Zählers absteigend zu sortieren:
Get-ADUser -Filter * -Properties *| select Name, msDS-Failed* | sort -Descending -property msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon | fl
Die Liste der dargestellten Konten würde ganz oben jene User enthalten, für die eine Authentifizierung seit dem letzten erfolgreichen Logon am häufigsten fehlgeschlagen ist.
Logon-Informationen bei der Anmeldung anzeigen
Die bisher beschriebene Anwendung des Features bleibt für die Benutzer unsichtbar. Für Abteilungen mit hohen Sicherheitsanforderungen könnte man jedoch die User mit den Informationen zu den vorherigen Anmeldungen konfrontieren.
Wendet man nämlich das GPO auf OUs an, in denen sich Clients mit Vista oder einem neueren Windows befinden, dann zeigen diese die Statistiken nach jeder erfolgreichen Anmeldung an. Auf diese Weise kann ein Mitarbeiter erkennen, ob jemand versucht hat, sich unter seinem Namen anzumelden.
Nachdem sich dadurch der Anmeldevorgang verändert und den meisten Benutzern der Sinn der gezeigten Informationen über vorherige Logons nicht auf Anhieb klar sein wird, sollte man sie durch eine kurze Schulung darauf vorbereiten. Andernfalls würden sie den Dialog wohl nur achtlos wegklicken.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Event-ID 14,4771: Benutzer können sich nach November-Update nicht anmelden
Weitere Links