Überwachung der Anmeldung
Zur Überwachung der Anmeldungen/Abmeldungen muss zuerst der LogLevel bestimmt werden und danach aktiviert man das Kerberos Audting mithilfe von Auditpol.exe.
LogLevel einstellen
Dazu erstellt man in der Registry einen neuen Eintrag, oder man setzt das Ganze zentral über eine Gruppenrichtlinie um. In diesem Fall zeige ich es anhand eines Standalone Servers und aktiviere alles von Hand.
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v “LogLevel” /t REG_DWORD /d 1
Kerberos Auditing aktivieren
Sollte das Auditing noch nicht konfiguriert worden sein, dann sehen die Einstellungen wie folgt aus.
auditpol /get /Category:*
Zur Aktivierung der Überwachung von erfolgten und gescheiterten Anmeldeversuchen, setzen wir diese Befehle in der administrativen Kommandozeile ab. Das Gleiche gilt für das Hinzufügen des oben gezeigten Registryeintrags.
auditpol /set /subcategory:”Anmelden” /success:enable /failure:enable
auditpol /set /subcategory:”Abmelen” /failure:enable
Nach der Aktivierung prüfen wir die Einstellungen noch einmal gegen.
auditpol /get /Category:*
Kerberos Ereignisanzeige
Hier mal drei Auszüge aus der Ereignisanzeige.
Dieses Log zeigt an, das ein nicht exitierender Anmeldename/Benutzer zur Anmeldung eingesetzt wurde.
0x6 KDC_ERR_C_PRINCIPAL_UNKOWN
Dieses Log zeigt an, das ein existierender Anmeldename/Benutzer zur Anmeldung ein falsches Kennwort eingegeben hat.
0x18 KDC_ERR_PREAUTH_FAILED
Dieses Log zeigt an, das ein existierender Anmeldename/Benutzer zum Zeitpunkt der Anmeldung bereits gesperrt war.
0x12 KDC_ERR_CLIENT_REVOKED