Überwachung der Anmeldung

Zur Überwachung der Anmeldungen/Abmeldungen muss zuerst der LogLevel bestimmt werden und danach aktiviert man das Kerberos Audting mithilfe von Auditpol.exe.

LogLevel einstellen

Dazu erstellt man in der Registry einen neuen Eintrag, oder man setzt das Ganze zentral über eine Gruppenrichtlinie um. In diesem Fall zeige ich es anhand eines Standalone Servers und aktiviere alles von Hand.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v “LogLevel” /t REG_DWORD /d 1

Kerberos Auditing aktivieren

Sollte das Auditing noch nicht konfiguriert worden sein, dann sehen die Einstellungen wie folgt aus.

auditpol /get /Category:*

Zur Aktivierung der Überwachung von erfolgten und gescheiterten Anmeldeversuchen, setzen wir diese Befehle in der administrativen Kommandozeile ab. Das Gleiche gilt für das Hinzufügen des oben gezeigten Registryeintrags.

auditpol /set /subcategory:”Anmelden” /success:enable /failure:enable
auditpol /set /subcategory:”Abmelen” /failure:enable

Nach der Aktivierung prüfen wir die Einstellungen noch einmal gegen.

auditpol /get /Category:*

Kerberos Ereignisanzeige

Hier mal drei Auszüge aus der Ereignisanzeige.

Dieses Log zeigt an, das ein nicht exitierender Anmeldename/Benutzer zur Anmeldung eingesetzt wurde.

0x6 KDC_ERR_C_PRINCIPAL_UNKOWN

Dieses Log zeigt an, das ein existierender Anmeldename/Benutzer zur Anmeldung ein falsches Kennwort eingegeben hat.

 0x18 KDC_ERR_PREAUTH_FAILED

Dieses Log zeigt an, das ein existierender Anmeldename/Benutzer zum Zeitpunkt der Anmeldung bereits gesperrt war.

0x12 KDC_ERR_CLIENT_REVOKED