Fehlgeschlagene Anmeldeversuche am Active Directory überwachen mit PowerShell

    An Windows 8 anmeldenWindows Server 2008 führte ein Feature ein, das fehl­geschlagene Logons im Active Direc­tory speichert, um ver­däch­tigen Aktivi­täten auf die Spur zu kommen. Admini­stratoren können diese Daten für eigene Reports heran­ziehen oder sie den Benutzern bei der Anmeldung präsentieren.

    Genau genommen sind es vier Informationen, die das AD bei der interaktiven Authentifizierung mitschreibt. Zu diesem Zweck existieren in User-Objekten eigene Attribute:

    • Die Informationen zu vorherigen Anmeldungen werden in 4 Attributen von User-Objekten gespeichert.msDS-FailedInteractiveLogonCount:
      Die Zahl der fehlgeschlagenen Anmelde­versuche seit der Aktivierung des Features
    • msDS-FailedInteractiveLogonCount­AtLastSuccessfulLogon: Die Zahl aller geschei­terten interaktiven Anmeldungen seit dem letzten erfolgreichen Logon
    • msDS-LastFailedInteractiveLogonTime:
      Der Zeitstempel der letzten erfolglosen Authentifizierung
    • msDS-LastSuccessfulInteractive­LogonTime: Der Zeitstempel für die letzte erfolgreiche interaktive Anmeldung

    Diese Attribute sind vorhanden, wenn sich das AD auf der Funktionsebene von Windows Server 2008 oder höher befindet. Davon kann man sich recht einfach mit Hilfe des Attribut-Editors in AD-Benutzer und -Computer überzeugen.

    Unabsichtliches DoS bei falscher Anwendung

    Diese Sicherheitsfunktion wird über Gruppenrichtlinien aktiviert und hat bei nicht sachgerechter Anwendung unangenehme Nebeneffekte. Aktiviert man es etwa in einer gemischten Umgebung, in der noch Domänen-Controller unter Windows Server 2003 laufen, dann sperrt man sich selbst vom System aus, weil Anmeldungen am AD dann nicht mehr möglich sind.

    Die zweite Falle lauert bei der Erstellung des GPO. Verknüpft man es erst mit den Client-Maschinen anstatt mit den DCs, dann wird anschließend ein Logon ebenfalls scheitern.

    GPO für DCs anlegen

    Der erste Schritt besteht also darin, ein GPO zu erstellen und mit der OU Domain Controllers zu verknüpfen bzw. die Default Domain Controllers Policy zu editieren. Die zur Aktivierung des Features erforderlich Einstellung befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Anmeldeoptionen und heißt Informationen zu vorherigen Anmeldungen bei der Benutzeranmeldung anzeigen.

    Die Einstellung 'Informationen zu vorherigen Anmeldungen bei der Benutzeranmeldung anzeigen' muss man zuerst auf DCs anwenden.

    Nachdem das GPO eingerichtet ist, sorgt man am besten durch den Aufruf von gpupdate dafür, dass die Einstellung auf den DCs angewandt wird, oder man wartet ab, bis das Intervall für den nächsten GPO-Refresh verstrichen ist. Ab diesem Moment schneidet Windows die genannten Informationen zu interaktiven Anmeldungen im AD mit.

    Attribute der User-Objekte mit PowerShell auswerten

    Man kann es nun dabei belassen und die aufgezeichneten Daten regelmäßig auswerten, um ungewöhnliche Vorkommnisse bei der Authentifizierung zu erkennen. Relativ einfach lässt sich das mit PowerShell bewerkstelligen, das mit Hilfe des Cmdet Get-ADUser die Attribute eines User-Objekts auslesen kann. So würde der folgende Befehl den Namen und den Wert der Zähler für fehlgeschlagene Anmeldungen von allen Konten in der OU Finance anzeigen, für die ein Logon insgesamt mehr als 10 Mal gescheitert ist:

    Get-ADUser -Filter * -SearchBase "OU=Finance,DC=contoso,DC=com" -Properties * | where msDS-FailedInteractiveLogonCount -gt 10| select Name, msDS-Failed* | fl

    Alternativ bestünde die Möglichkeit, sich alle Konten anzeigen zu lassen und sie nach dem Wert des Zählers absteigend zu sortieren:

    Get-ADUser -Filter * -Properties *| select Name, msDS-Failed* | sort -Descending -property msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon | fl

    Die Liste der dargestellten Konten würde ganz oben jene User enthalten, für die eine Authentifizierung seit dem letzten erfolgreichen Logon am häufigsten fehlgeschlagen ist.

    Logon-Informationen bei der Anmeldung anzeigen

    Die bisher beschriebene Anwendung des Features bleibt für die Benutzer unsichtbar. Für Abteilungen mit hohen Sicherheitsanforderungen könnte man jedoch die User mit den Informationen zu den vorherigen Anmeldungen konfrontieren.

    Wendet man nämlich das GPO auf OUs an, in denen sich Clients mit Vista oder einem neueren Windows befinden, dann zeigen diese die Statistiken nach jeder erfolgreichen Anmeldung an. Auf diese Weise kann ein Mitarbeiter erkennen, ob jemand versucht hat, sich unter seinem Namen anzumelden.

    Benutzer sollten auf den veränderten Anmeldevorgang vorbereitet werden.

    Nachdem sich dadurch der Anmeldevorgang verändert und den meisten Benutzern der Sinn der gezeigten Informationen über vorherige Logons nicht auf Anhieb klar sein wird, sollte man sie durch eine kurze Schulung darauf vorbereiten. Andernfalls würden sie den Dialog wohl nur achtlos wegklicken.

    Keine Kommentare