Kerberos Auditing aktivieren

Kerberos Auditing aktivieren

Überwachung der Anmeldung

Zur Überwachung der Anmeldungen/Abmeldungen muss zuerst der LogLevel bestimmt werden und danach aktiviert man das Kerberos Audting mithilfe von Auditpol.exe.

LogLevel einstellen

Dazu erstellt man in der Registry einen neuen Eintrag, oder man setzt das Ganze zentral über eine Gruppenrichtlinie um. In diesem Fall zeige ich es anhand eines Standalone Servers und aktiviere alles von Hand.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v “LogLevel” /t REG_DWORD /d 1

enable kerberos auditing registry

Kerberos Auditing aktivieren

Sollte das Auditing noch nicht konfiguriert worden sein, dann sehen die Einstellungen wie folgt aus.

auditpol /get /Category:*

Kerberos Auditing Erfolg und Fehler nicht aktiviert

Zur Aktivierung der Überwachung von erfolgten und gescheiterten Anmeldeversuchen, setzen wir diese Befehle in der administrativen Kommandozeile ab. Das Gleiche gilt für das Hinzufügen des oben gezeigten Registryeintrags.

auditpol /set /subcategory:”Anmelden” /success:enable /failure:enable
auditpol /set /subcategory:”Abmelen” /failure:enable

Nach der Aktivierung prüfen wir die Einstellungen noch einmal gegen.

auditpol /get /Category:*

Kerberos Auditing bereits aktiviert

AuditPol für englische und deutsche Systeme

auditpol /get /Category:*
auditpol /set /subcategory:”Logon” /success:enable /failure:enable
auditpol /set /subcategory:”Logoff” /success:enable

auditpol /set /subcategory:”Logon” /success:disable /failure:disable
auditpol /set /subcategory:”Logoff” /failure:disable

auditpol /get /Category:*
auditpol /set /subcategory:”Anmelden” /success:enable /failure:enable
auditpol /set /subcategory:”Abmelen” /failure:enable

auditpol /set /subcategory:”Anmelden” /success:disable /failure:disable
auditpol /set /subcategory:”Abmelden” /success:disable

Kerberos Ereignisanzeige

Hier mal drei Auszüge aus der Ereignisanzeige.

Dieses Log zeigt an, das ein nicht exitierender Anmeldename/Benutzer zur Anmeldung eingesetzt wurde.

0x6 KDC_ERR_C_PRINCIPAL_UNKOWN

Kerberos Überwachung unbekannter Benutzer

Dieses Log zeigt an, das ein existierender Anmeldename/Benutzer zur Anmeldung ein falsches Kennwort eingegeben hat.

 0x18 KDC_ERR_PREAUTH_FAILED

Kerberos Überwachung Benutzer falsches Kennwort

Dieses Log zeigt an, das ein existierender Anmeldename/Benutzer zum Zeitpunkt der Anmeldung bereits gesperrt war.

0x12 KDC_ERR_CLIENT_REVOKED

Kerberos Überwachung Benutzer gesperrt