Hoewel cyberbedreigingen zeker voortdurend in ontwikkeling zijn, is het een feit dat de meeste inbraken nog steeds berusten op basistechnieken die hun waarde hebben bewezen. Wie heeft er een zero-day nodig als het raden van veelgebruikte wachtwoorden of het misbruiken van wachtwoorden die worden gebruikt voor meerdere accounts u gemakkelijk toegang kan geven?<\/p>\n
Brute force attacks blijven een ongelooflijk veel voorkomende bedreiging voor organisaties. Het zo snel mogelijk detecteren en blokkeren van deze pogingen is essentieel, omdat het vaak vroege voorbodes zijn van meer schadelijke activiteiten en kwaadaardige toegangspogingen. Omdat in deze situaties elke minuut telt, is het instellen van een beleid voor het blokkeren van accounts en realtime waarschuwingen voor mislukte inlogpogingen een uiterst belangrijke maatregel voor vroegtijdige afschrikking en waarschuwing.<\/p>\n
Maar hoe zit het met het detecteren van brute force-aanvallen<\/strong> in een heel bedrijfsnetwerk, op afstand en op grote schaal?<\/p>\n Omdat dat een uitdaging kan zijn, hebben we het volgende script geleverd dat beheerders kunnen gebruiken om het proces te automatiseren, te controleren op mislukte aanmeldpogingen<\/a> en waarschuwingen te triggeren op basis van aanpasbare drempels.<\/p>\n <\/p>\n Toegang tot meer dan 700 scripts in de NinjaOne Dojo<\/p>\n Toegang krijgen<\/a><\/p>\n<\/div><\/p>\n Ons script is gebaseerd op twee primaire parameters: uren en Pogingen. De `-uren` parameter dicteert de periode die moet worden bekeken in het gebeurtenissenlogboek (standaard 1 uur). De parameter `-pogingen` stelt de drempel in voor aanmeldpogingen voordat een waarschuwing wordt geactiveerd (standaard ingesteld op 8 pogingen).<\/p>\n Het script zal dan de gebeurtenislogboeken evalueren op basis van de opgegeven parameters. Als het aantal mislukte aanmeldingspogingen de drempel overschrijdt binnen het opgegeven tijdsbestek, wordt u gewaarschuwd voor een mogelijke brute force-aanval.<\/span>\u00a0<\/span><\/p>\n Neem een voorbeeld waarbij u de aanmeldpogingen van de laatste drie uur wilt monitoren en een waarschuwing wilt als er meer dan 15 mislukte pogingen zijn. Met NinjaOne heeft u de flexibiliteit om je beveiligingsaanpak aan te passen door het script uit te voeren met aangepaste parameters zoals -Uren 3 -Pogingen 15. Met deze functie kunt u zich aanpassen aan de unieke beveiligingsbehoeften en risicoprofielen van uw organisatie.<\/span><\/p>\n Detectie van brute aanvallen is slechts \u00e9\u00e9n<\/span>onderdeel<\/span>van een holistische cyberbeveiligingsstrategie. Andere cruciale maatregelen zijn onder andere:<\/span><\/span>\u00a0<\/span><\/p>\n Effectieve brute kracht detectie is cruciaal in het huidige digitale landschap en ons PowerShell script biedt een krachtige, aanpasbare oplossing. Het is echter essentieel om te onthouden dat het deel uitmaakt van een bredere cyberbeveiligingsstrategie. Door realtime detectie te combineren met sterke wachtwoorden, MFA, software-updates en training van medewerkers kunt u een uitgebreid beveiligingsprotocol cre\u00ebren om uw digitale bezittingen te beschermen.<\/span>\u00a0<\/span><\/p>\n NinjaOne is een uitgebreide tool die uw vermogen om brute force aanvallen op te sporen en tegen te gaan aanzienlijk vergroot. Met <\/span>volledige controle over de beveiliging van eindpunten <\/span><\/a>kunt u toepassingen beheren, registers op afstand bewerken en scripts inzetten om de beveiliging te verbeteren. Rolgebaseerde toegangscontroles zorgen ervoor dat uw technici alleen de benodigde toegangsniveaus hebben, waardoor potenti\u00eble inbreuken worden beperkt. Het platform biedt ook tools voor het beheer van schijfversleuteling en de mogelijkheid om automatisch eindpuntbeveiliging te installeren en te beheren, waardoor u granulaire controle krijgt over antivirusactiviteiten.<\/span>\u00a0<\/span><\/p>\n Bovendien, <\/span>De inloggegevensuitwisselingsfunctie van NinjaOne beschermt inloggegevens <\/span><\/a>een kritieke verdedigingslinie tegen brute force-aanvallen. Het maakt ook de identificatie en verwijdering van malafide endpoints mogelijk, wat een extra beschermingslaag toevoegt. Wacht niet tot een inbreuk plaatsvindt. <\/span>Begin uw reis naar verbeterde beveiliging <\/span><\/a>vandaag nog met NinjaOne.<\/span>\u00a0<\/span><\/p>\n","protected":false},"author":35,"featured_media":206797,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"operating_system":[4212],"use_cases":[4294],"class_list":["post-208649","script_hub","type-script_hub","status-publish","has-post-thumbnail","hentry","script_hub_category-windows"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/script_hub\/208649","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/script_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/types\/script_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/comments?post=208649"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/media\/206797"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/media?parent=208649"}],"wp:term":[{"taxonomy":"script_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/operating_system?post=208649"},{"taxonomy":"use_cases","embeddable":true,"href":"https:\/\/www.ninjaone.com\/nl\/wp-json\/wp\/v2\/use_cases?post=208649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Script voor detectie en preventie van brute krachtaanvallen<\/h2>\n
#Requires -Version 5.1\r\n\r\n<#\r\n.SYNOPSIS\r\n Condition for helping detect brute force login attempts.\r\n.DESCRIPTION\r\n Condition for helping detect brute force login attempts.\r\n.EXAMPLE\r\n -Hours 10\r\n Number of hours back in time to look through in the event log.\r\n Default is 1 hour.\r\n.EXAMPLE\r\n -Attempts 100\r\n Number of login attempts to trigger at or above this number.\r\n Default is 8 attempts.\r\n.OUTPUTS\r\n PSCustomObject[]\r\n.NOTES\r\n Minimum OS Architecture Supported: Windows 10, Windows Server 2016\r\n Release Notes:\r\n Initial Release\r\nBy using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https:\/\/www.ninjaone.com\/terms-of-use.\r\n Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. \r\n Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. \r\n Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. \r\n Warranty Disclaimer: The script is provided \u201cas is\u201d and \u201cas available\u201d, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. \r\n Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. \r\n Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. \r\n EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).\r\n#>\r\n\r\n[CmdletBinding()]\r\nparam (\r\n [Parameter()]\r\n [int]\r\n $Hours = 1,\r\n [Parameter()]\r\n [int]\r\n $Attempts = 8\r\n)\r\n\r\nbegin {\r\n function Test-IsElevated {\r\n $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()\r\n $p = New-Object System.Security.Principal.WindowsPrincipal($id)\r\n $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)\r\n }\r\n function Test-StringEmpty {\r\n param([string]$Text)\r\n # Returns true if string is empty, null, or whitespace\r\n process { [string]::IsNullOrEmpty($Text) -or [string]::IsNullOrWhiteSpace($Text) }\r\n }\r\n if (-not $(Test-StringEmpty -Text $env:Hours)) {\r\n $Hours = $env:Hours\r\n }\r\n if (-not $(Test-StringEmpty -Text $env:Attempts)) {\r\n $Attempts = $env:Attempts\r\n }\r\n}\r\nprocess {\r\n if (-not (Test-IsElevated)) {\r\n Write-Error -Message \"Access Denied. Please run with Administrator privileges.\"\r\n exit 1\r\n }\r\n\r\n if ($(auditpol.exe \/get \/category:* | Where-Object { $_ -like \"*Logon*Success and Failure\" })) {\r\n Write-Information \"Audit Policy for Logon is set to: Success and Failure\"\r\n }\r\n else {\r\n Write-Error \"Audit Policy for Logon is NOT set to: Success and Failure\"\r\n exit 1\r\n # Write-Host \"Setting Logon to: Success and Failure\"\r\n # auditpol.exe \/set \/subcategory:\"Logon\" \/success:enable \/failure:enable\r\n # Write-Host \"Future failed login attempts will be captured.\"\r\n }\r\n\r\n $StartTime = (Get-Date).AddHours(0 - $Hours)\r\n $EventId = 4625\r\n\r\n # Get failed login attempts\r\n try {\r\n $Events = Get-WinEvent -FilterHashtable @{LogName = \"Security\"; ID = $EventId; StartTime = $StartTime } -ErrorAction Stop | ForEach-Object {\r\n $Message = $_.Message -split [System.Environment]::NewLine\r\n $Account = $($Message | Where-Object { $_ -Like \"*Account Name:*\" }) -split 's+' | Select-Object -Last 1\r\n [int]$LogonType = $($Message | Where-Object { $_ -Like \"Logon Type:*\" }) -split 's+' | Select-Object -Last 1\r\n $SourceNetworkAddress = $($Message | Where-Object { $_ -Like \"*Source Network Address:*\" }) -split 's+' | Select-Object -Last 1\r\n [PSCustomObject]@{\r\n Account = $Account\r\n LogonType = $LogonType\r\n SourceNetworkAddress = $SourceNetworkAddress\r\n }\r\n } | Where-Object { $_.LogonType -in @(2, 7, 10) }\r\n }\r\n catch {\r\n if ($_.Exception.Message -like \"No events were found that match the specified selection criteria.\") {\r\n Write-Host \"No failed logins found in the past $Hours hour(s).\"\r\n exit 0\r\n }\r\n else {\r\n Write-Error $_\r\n exit 1\r\n }\r\n }\r\n\r\n # Build a list of accounts \r\n $UsersAccounts = [System.Collections.Generic.List[String]]::new()\r\n try {\r\n $ErrorActionPreference = \"Stop\"\r\n Get-LocalUser | Select-Object -ExpandProperty Name | ForEach-Object { $UsersAccounts.Add($_) }\r\n $ErrorActionPreference = \"Continue\"\r\n }\r\n catch {\r\n $NetUser = net.exe user\r\n $(\r\n $NetUser | Select-Object -Skip 4 | Select-Object -SkipLast 2\r\n # Join each line with a \",\"\r\n # Replace and spaces with a \",\"\r\n # Split everything by \",\"\r\n ) -join ',' -replace 's+', ',' -split ',' |\r\n # Sort and remove any duplicates\r\n Sort-Object -Descending -Unique |\r\n # Filter out empty strings\r\n Where-Object { -not [string]::IsNullOrEmpty($_) -and -not [string]::IsNullOrWhiteSpace($_) } |\r\n ForEach-Object {\r\n $UsersAccounts.Add($_)\r\n }\r\n }\r\n $Events | Select-Object -ExpandProperty Account | ForEach-Object { $UsersAccounts.Add($_) }\r\n\r\n $Results = $UsersAccounts | Select-Object -Unique | ForEach-Object {\r\n $Account = $_\r\n $AccountEvents = $Events | Where-Object { $_.Account -like $Account }\r\n $AttemptCount = $AccountEvents.Count\r\n $SourceNetworkAddress = $AccountEvents | Select-Object -ExpandProperty SourceNetworkAddress -Unique\r\n if ($AttemptCount -gt 0) {\r\n [PSCustomObject]@{\r\n Account = $Account\r\n Attempts = $AttemptCount\r\n SourceNetworkAddress = $SourceNetworkAddress\r\n }\r\n }\r\n }\r\n\r\n # Get only the accounts with fail login attempts at or over $Attempts\r\n $BruteForceAttempts = $Results | Where-Object { $_.Attempts -ge $Attempts }\r\n if ($BruteForceAttempts) {\r\n $BruteForceAttempts | Out-String | Write-Host\r\n exit 1\r\n }\r\n $Results | Out-String | Write-Host\r\n exit 0\r\n}\r\nend {\r\n $ScriptVariables = @(\r\n [PSCustomObject]@{\r\n name = \"Hours\"\r\n calculatedName = \"hours\" # Must be lowercase and no spaces\r\n required = $false\r\n defaultValue = [PSCustomObject]@{ # If not default value, then remove\r\n type = \"TEXT\"\r\n value = \"1\"\r\n }\r\n valueType = \"TEXT\"\r\n valueList = $null\r\n description = \"Number of hours back in time to look through in the event log.\"\r\n }\r\n [PSCustomObject]@{\r\n name = \"Attempts\"\r\n calculatedName = \"attempts\" # Must be lowercase and no spaces\r\n required = $false\r\n defaultValue = [PSCustomObject]@{ # If not default value, then remove\r\n type = \"TEXT\"\r\n value = \"8\"\r\n }\r\n valueType = \"TEXT\"\r\n valueList = $null\r\n description = \"Number of login attempts to trigger at or above this number.\"\r\n }\r\n )\r\n}<\/pre>\n
\nHet script begrijpen en gebruiken<\/h2>\n
Volg deze stappen om het script te installeren en uit te voeren:<\/h3>\n
\n
Extra veiligheidsmaatregelen<\/h2>\n
\n
\n
\n
\n
Slotbeschouwingen:<\/h2>\n