Die Gewährleistung der Sicherheit von IT-Systemen ist eine wichtige Aufgabe. Die Erkennung verdächtiger Aktivitäten, wie z. B. mehrfache fehlgeschlagene Anmeldeversuche, ist eine wichtige Maßnahme zur Eindämmung potenzieller Bedrohungen. Das vorgestellte PowerShell-Skript dient als vielseitiges Tool, das IT-Experten und MSPs dabei unterstützt, Einblicke in fehlgeschlagene Anmeldevorgänge zu erhalten.
Hintergrund
Die Analyse der fehlgeschlagenen Anmeldeversuche auf einem System kann IT-Administratoren wichtige Erkenntnisse liefern. Sie können mögliche Sicherheitsverletzungen aufdecken, das Benutzerverhalten überwachen und die Integrität des Systems aufrechterhalten. Das vorgestellte PowerShell-Skript holt diese Daten effizient ab und bietet eine robuste Lösung für Profis. Die Bedeutung dieses Tools kann nicht überbewertet werden. Angesichts der zunehmenden Bedrohungen für die Cyber-Sicherheit ist eine effiziente Methode zur Erkennung von Anomalien bei Benutzeranmeldungen für MSPs und IT-Experten unerlässlich.
Das Skript
#Requires -Version 3.0 -RunAsAdministrator
<#
.SYNOPSIS
Returns the number of recent failed login attempts.
.DESCRIPTION
Returns the number of recent failed login attempts of all users or of a specific user. If a user is specified then just a number is returned.
.EXAMPLE
No parameters needed.
Returns all users, of the local machine, with a could of failed login attempts.
Output Example:
UserName FailedLoginAttempts
-------- -------------------
Fred 4
Bob 0
.EXAMPLE
-UserName "Fred"
Returns the number of failed login attempts of the user Fred on the local machine.
Output Example:
4
.EXAMPLE
-ComputerName "FredPC" -UserName "Fred"
Returns the number of failed login attempts of the user Fred on the computer named FredPC.
Output Example:
4
.EXAMPLE
-ComputerName "FredPC" -UserName "Fred" -Detailed
Returns the number of failed login attempts of the user Fred on the computer named FredPC, but will more details of each failed and successful logins.
Output Example:
TimeGenerated : 10/18/2019 7:52:43 AM
EventID : 4624
Category : 12544
ADUsername : Fred
Domain : FredPC
UserSID : S-1-0-0
Workstation : -
SourceIP : -
Port : -
FailureReason : Interactive
FailureStatus : Incorrect password
FailureSubStatus: Other
.EXAMPLE
PS C:> Monitor-Failed-Password-Attempts.ps1 -ComputerName "FredPC" -UserName "Fred"
Returns the number of failed login attempts of the user Fred on the computer named FredPC.
Output Example:
4
.OUTPUTS
System.Int32 Number of failed login attempts.
.OUTPUTS
PSCustomObject List of user names and a count of failed login attempts.
.NOTES
Minimum OS Architecture Supported: Windows 7, Windows Server 2012
If ComputerName is specified, then be sure that the computer that this script is running on has network and permissions to access the Event Log on the remote computer.
Release Notes:
Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
ManageUsers
#>
param (
# The name of a remote computer to get event logs for failed logins
[Parameter(Mandatory = $false)]
[String]
$ComputerName = [System.Net.Dns]::GetHostName(),
# A username
[Parameter(Mandatory = $false)]
[String]
$UserName,
# Returns all relevant events, sorted by TimeGenerated
[Switch]
$Detailed
)
# Support functions
# Returns the matching FailureReason like Incorrect password
function Get-FailureReason {
Param($FailureReason)
switch ($FailureReason) {
'0xC0000064' { "Account does not exist"; break; }
'0xC000006A' { "Incorrect password"; break; }
'0xC000006D' { "Incorrect username or password"; break; }
'0xC000006E' { "Account restriction"; break; }
'0xC000006F' { "Invalid logon hours"; break; }
'0xC000015B' { "Logon type not granted"; break; }
'0xc0000070' { "Invalid Workstation"; break; }
'0xC0000071' { "Password expired"; break; }
'0xC0000072' { "Account disabled"; break; }
'0xC0000133' { "Time difference at DC"; break; }
'0xC0000193' { "Account expired"; break; }
'0xC0000224' { "Password must change"; break; }
'0xC0000234' { "Account locked out"; break; }
'0x0' { "0x0"; break; }
default { "Other"; break; }
}
}
function Get-LogonType {
Param($LogonType)
switch ($LogonType) {
'0' { 'Interactive'; break; }
'2' { 'Interactive'; break; }
'3' { 'Network'; break; }
'4' { 'Batch'; break; }
'5' { 'Service'; break; }
'6' { 'Proxy'; break; }
'7' { 'Unlock'; break; }
'8' { 'Networkcleartext'; break; }
'9' { 'NewCredentials'; break; }
'10' { 'RemoteInteractive'; break; }
'11' { 'CachedInteractive'; break; }
'12' { 'CachedRemoteInteractive'; break; }
'13' { 'CachedUnlock'; break; }
Default {}
}
}
#-Newest $Records
$Events = Get-EventLog -ComputerName $ComputerName -LogName 'security' -InstanceId 4625, 4624 | Sort-Object -Property TimeGenerated | ForEach-Object {
if ($_.InstanceId -eq 4625) {
$_ | Select-Object -Property @(
@{Label = 'TimeGenerated'; Expression = { $_.TimeGenerated } },
@{Label = 'EventID'; Expression = { $_.InstanceId } },
@{Label = 'Category'; Expression = { $_.CategoryNumber } },
@{Label = 'Username'; Expression = { $_.ReplacementStrings[5] } },
@{Label = 'Domain'; Expression = { $_.ReplacementStrings[6] } },
@{Label = 'UserSID'; Expression = { (($_.Message -Split 'rn' | Select-String 'Security ID')[1] -Split 's+')[3] } },
# @{Label = 'UserSID'; Expression = { $_.ReplacementStrings[0] } },
@{Label = 'Workstation'; Expression = { $_.ReplacementStrings[13] } },
@{Label = 'SourceIP'; Expression = { $_.ReplacementStrings[19] } },
@{Label = 'Port'; Expression = { $_.ReplacementStrings[20] } },
@{Label = 'LogonType'; Expression = { $_.ReplacementStrings[8] } },
@{Label = 'FailureStatus'; Expression = { Get-FailureReason($_.ReplacementStrings[7]) } },
@{Label = 'FailureSubStatus'; Expression = { Get-FailureReason($_.ReplacementStrings[9]) } }
)
}
elseif ($_.InstanceId -eq 4624 -and (Get-LogonType($_.ReplacementStrings[8])) -notlike 'Service') {
$_ | Select-Object -Property @(
@{Label = 'TimeGenerated'; Expression = { $_.TimeGenerated } },
@{Label = 'EventID'; Expression = { $_.InstanceId } },
@{Label = 'Category'; Expression = { $_.CategoryNumber } },
@{Label = 'Username'; Expression = { $_.ReplacementStrings[5] } },
@{Label = 'Domain'; Expression = { $_.ReplacementStrings[6] } },
@{Label = 'UserSID'; Expression = { $_.ReplacementStrings[0] } },
@{Label = 'Workstation'; Expression = { $_.ReplacementStrings[11] } },
@{Label = 'SourceIP'; Expression = { $_.ReplacementStrings[18] } },
@{Label = 'Port'; Expression = { $_.ReplacementStrings[19] } },
@{Label = 'LogonType'; Expression = { Get-LogonType($_.ReplacementStrings[8]) } },
@{Label = 'LogonID'; Expression = { Get-FailureReason($_.ReplacementStrings[7]) } },
@{Label = 'LogonProcess'; Expression = { Get-FailureReason($_.ReplacementStrings[9]) } }
)
}
}
if ($Detailed) {
if ($UserName) {
$Events | Where-Object {
$_.Username -like $UserName
}
}
else {
$Events | Where-Object {
$_.Username -notlike "DWM*" -and
$_.Username -notlike "UMFD*" -and
$_.Username -notlike "SYSTEM"
}
}
}
else {
$UserNames = if ($UserName) {
($Events | Select-Object -Property Username -Unique).Username | Where-Object {
$_ -like "$UserName"
}
}
else {
($Events | Select-Object -Property Username -Unique).Username | Where-Object {
$_ -notlike "DWM*" -and
$_ -notlike "UMFD*" -and
$_ -notlike "SYSTEM"
}
}
$UserNames | ForEach-Object {
$CurrentUserName = $_
$FailedLoginCount = 0
for ($i = 0; $i -lt $Events.Count; $i++) {
if ($Events[$i].EventID -eq 4625 -and $Events[$i].Username -like $CurrentUserName) {
# User failed to login X times
# Count the number of failed logins
$FailedLoginCount++
}
elseif ($Events[$i].EventID -eq 4624 -and $Events[$i].Username -like $CurrentUserName) {
# User logged in successfully
# Reset the number of failed logins to 0
$FailedLoginCount = 0
}
}
if ($UserName) {
# If a UserName was specified, then return only the failed login count
$FailedLoginCount
}
else {
# If no UserName was specified, then return the user name and failed login count
[PSCustomObject]@{
UserName = $CurrentUserName
FailedLoginAttempts = $FailedLoginCount
}
}
}
}
Zugriff auf über 300 Skripte im NinjaOne Dojo
Detaillierte Aufschlüsselung des Skripts
Grundlegend holt das Skript Daten aus den Ereignisprotokollen eines bestimmten Computers, wobei es auf bestimmte Ereignis-IDs abzielt, die fehlgeschlagene und erfolgreiche Anmeldeversuche darstellen.
- Parameter: Das Skript beginnt mit der Definition von Parametern wie ComputerName, UserName und Detailed. Damit kann der Benutzer den Rechner, den Benutzer und die Detailstufe für die Anmeldeversuche angeben.
- Funktionen: Zwei Funktionen, Get-FailureReason und Get-LogonType, übersetzen kodierte Informationen aus den Ereignisprotokollen in menschenlesbare Daten über die Art der Anmeldung und den Grund für eine fehlgeschlagene Anmeldung.
- Ereignisse abrufen: Das Skript holt dann die Ereignisprotokolle ab und filtert sie, so dass nur die notwendigen Informationen erhalten bleiben. Dazu müssen die Instanzen mit den entsprechenden Ereignis-IDs ausgewählt werden.
- Verarbeitung: Je nachdem, ob detaillierte Daten angefordert werden, liefert das Skript entweder eine umfassende Aufschlüsselung der einzelnen Anmeldeversuche oder eine Zusammenfassung der fehlgeschlagenen Versuche für jeden Benutzer.
Potenzielle Anwendungsfälle
Stellen Sie sich einen IT-Administrator in einem mittelständischen Unternehmen vor. In letzter Zeit hat die IT-Abteilung einen sprunghaften Anstieg in der Zahl der fehlgeschlagenen Anmeldeversuche festgestellt, insbesondere während der arbeitsfreien Zeit. Mit Hilfe des Skripts kann der Administrator schnell überprüfen, welche Benutzer wie oft fehlgeschlagene Anmeldeversuche hatten. Die Feststellung, dass ein einzelnes Benutzerkonto innerhalb kurzer Zeit mehrere Fehlversuche aufwies, ließ den Schluss zu, dass dieses Konto möglicherweise kompromittiert worden war. Auf diese Weise hilft das Skript bei der frühzeitigen Erkennung und sofortigen Behebung.
Alternative Herangehensweise
Es gibt mehrere Methoden, um fehlgeschlagene Anmeldeversuche zu verfolgen. Mit der in Windows integrierten Sicherheitsüberprüfung können Sie beispielsweise die Sicherheitsprotokolle über die Ereignisanzeige einsehen. Dieser Ansatz ist zwar einfach, kann aber zeitaufwändig sein. Unser PowerShell-Skript optimiert den Prozess und bietet eine effizientere und anpassbare Lösung.
FAQs
- Wie erkennt das Skript ein fehlgeschlagenes Anmeldeereignis?
Das Skript sucht nach bestimmten Ereignis-IDs im Ereignisprotokoll, z. B. 4625 für fehlgeschlagene Anmeldungen. - Kann ich Daten von einem entfernten Rechner abrufen?
Ja, durch Angabe des Parameters ComputerName können Sie Daten von einem entfernten Computer abrufen.
Auswirkungen
Wenn IT-Administratoren die Anzahl der fehlgeschlagenen Anmeldeversuche kennen, können sie potenziellen Sicherheitsverletzungen zuvorkommen. Anomalien in den Anmeldemustern sind oft ein frühes Anzeichen für bösartige Aktivitäten. Indem sie auf diese Daten reagieren, können Fachleute ihre Systeme gegen potenzielle Bedrohungen verstärken.
Empfehlungen
- Vergewissern Sie sich, dass Sie über die erforderlichen Berechtigungen zum Abrufen von Ereignisprotokollen verfügen.
- Führen Sie das Skript regelmäßig aus, insbesondere bei Systemen mit sensiblen Daten.
- Untersuchen Sie alle Muster von fehlgeschlagenen Anmeldungen und benachrichtigen Sie die betroffenen Benutzer.
Abschließende Überlegungen
In Zeiten zunehmender Cyber-Bedrohungen sind Tools wie unser PowerShell-Skript unverzichtbar. Für eine umfassende Sicherheitslösung können Plattformen wie NinjaOne integriert werden, die eine Überwachung und Verwaltung in Echtzeit gewährleisten. NinjaOne bietet in Verbindung mit proaktiven Skripten wie dem hier beschriebenen zusätzlichen Schutz vor Cyber-Bedrohungen.
