Fehlgeschlagene Anmeldeversuche am Active Directory überwachen mit PowerShell

Diese Attribute sind vorhanden, wenn sich das AD auf der Funktionsebene von Windows Server 2008 oder höher befindet. Davon kann man sich recht einfach mit Hilfe des Attribut-Editors in AD-Benutzer und -Computer überzeugen.

Unabsichtliches DoS bei falscher Anwendung

Diese Sicherheitsfunktion wird über Gruppenrichtlinien aktiviert und hat bei nicht sachgerechter Anwendung unangenehme Nebeneffekte. Aktiviert man es etwa in einer gemischten Umgebung, in der noch Domänen-Controller unter Windows Server 2003 laufen, dann sperrt man sich selbst vom System aus, weil Anmeldungen am AD dann nicht mehr möglich sind.

Die zweite Falle lauert bei der Erstellung des GPO. Verknüpft man es erst mit den Client-Maschinen anstatt mit den DCs, dann wird anschließend ein Logon ebenfalls scheitern.

GPO für DCs anlegen

Der erste Schritt besteht also darin, ein GPO zu erstellen und mit der OU Domain Controllers zu verknüpfen bzw. die Default Domain Controllers Policy zu editieren. Die zur Aktivierung des Features erforderlich Einstellung befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Anmeldeoptionen und heißt Informationen zu vorherigen Anmeldungen bei der Benutzeranmeldung anzeigen.

Nachdem das GPO eingerichtet ist, sorgt man am besten durch den Aufruf von gpupdate dafür, dass die Einstellung auf den DCs angewandt wird, oder man wartet ab, bis das Intervall für den nächsten GPO-Refresh verstrichen ist. Ab diesem Moment schneidet Windows die genannten Informationen zu interaktiven Anmeldungen im AD mit.

Attribute der User-Objekte mit PowerShell auswerten

Man kann es nun dabei belassen und die aufgezeichneten Daten regelmäßig auswerten, um ungewöhnliche Vorkommnisse bei der Authentifizierung zu erkennen. Relativ einfach lässt sich das mit PowerShell bewerkstelligen, das mit Hilfe des Cmdet Get-ADUser die Attribute eines User-Objekts auslesen kann. So würde der folgende Befehl den Namen und den Wert der Zähler für fehlgeschlagene Anmeldungen von allen Konten in der OU Finance anzeigen, für die ein Logon insgesamt mehr als 10 Mal gescheitert ist:

Get-ADUser -Filter * -SearchBase "OU=Finance,DC=contoso,DC=com" -Properties * | where msDS-FailedInteractiveLogonCount -gt 10| select Name, msDS-Failed* | fl

Alternativ bestünde die Möglichkeit, sich alle Konten anzeigen zu lassen und sie nach dem Wert des Zählers absteigend zu sortieren:

Get-ADUser -Filter * -Properties *| select Name, msDS-Failed* | sort -Descending -property msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon | fl

Die Liste der dargestellten Konten würde ganz oben jene User enthalten, für die eine Authentifizierung seit dem letzten erfolgreichen Logon am häufigsten fehlgeschlagen ist.

Logon-Informationen bei der Anmeldung anzeigen

Die bisher beschriebene Anwendung des Features bleibt für die Benutzer unsichtbar. Für Abteilungen mit hohen Sicherheitsanforderungen könnte man jedoch die User mit den Informationen zu den vorherigen Anmeldungen konfrontieren.

Wendet man nämlich das GPO auf OUs an, in denen sich Clients mit Vista oder einem neueren Windows befinden, dann zeigen diese die Statistiken nach jeder erfolgreichen Anmeldung an. Auf diese Weise kann ein Mitarbeiter erkennen, ob jemand versucht hat, sich unter seinem Namen anzumelden.

Nachdem sich dadurch der Anmeldevorgang verändert und den meisten Benutzern der Sinn der gezeigten Informationen über vorherige Logons nicht auf Anhieb klar sein wird, sollte man sie durch eine kurze Schulung darauf vorbereiten. Andernfalls würden sie den Dialog wohl nur achtlos wegklicken.