Hohe Anzahl fehlgeschlagener Loginversuche. Maschine identifizieren?

[w.sennecke 10]

Hallo zusammen,

 

ich habe spaßeshalber mal folgenden Powershell Befehl abgesetzt

Get-ADUser -LDAPFilter "(badPwdCount>=500)"

dieser sollte mir die User anzeigen welche mehr als 500 mal ihr Passwort falsch eingegeben haben.

Angezeigt wurde mir nur ein User, mein eigener. Da es ein Domänen Admin Account ist beunruhigt mich das ganze doch etwas.

Versucht jemand mein Passwort herauszufinden oder schlummert doch irgendwo noch ein alter Dienst mit meinen Accountdaten?

 

Gibt es eine Möglichkeit herauszufinden von welcher Maschine die Logins fehlschlagen? Dies würde mich ein ganzes Stück weiter bringen.

Bisher habe ich noch nichts finden können.

 

Vielen Dank im vorraus.

 

Gruß

William

[cbarth 10]

Hi,

mit Manage Engine AD Audit Plus geht das. Mit Boardmitteln ist mir kein Weg bekannt. Es könnte auch ein Dienstaccount oder Scheduled Task sein.

 

Gruß

Carsten

[daabm 1.391]

Natürlich geht das mit Bordmitteln. Aktiviere das Auditing für fehlgeschlagene Anmeldeversuche und prüfe dann das Security Eventlog - Event-ID ist glaub 4625.

[NorbertFe 2.175]

Wobei mich die 500 wundert. Denn das bedeutet, dass du entweder einen extrem hohen Wert konfiguriert hast, oder keinen oder dein User ist der Built-In Admin. ;)

 

Übrigens wenn Martins Tipp noch nicht ganz ausreicht gibt's noch das hier:

http://realit1.blogspot.com.au/2012/04/troubleshooting-active-directory.html

 

HTH

Norbert

[NilsK 2.982]

Moin,

 

Wobei mich die 500 wundert. Denn das bedeutet, dass du entweder einen extrem hohen Wert konfiguriert hast, oder keinen oder dein User ist der Built-In Admin. ;)
 

 

davon halte ich "keinen" für die beste Option.

 

Bei 500 fehlgeschlagenen Loginversuchen ohne Erfolg tippe ich dann aber doch auf einen Dienst oder sowas. Die meisten Adminkennwörter in der realen Welt* würden einem einigermaßen engagierten Brute-Force-Angriff nicht so lange standhalten, daher wird es keiner sein.

 

Gruß, Nils

[NorbertFe 2.175]

Naja ich kenn deine Meinung ja, aber keinen find ich dann auch nur begrenzt sinnvoll. ;) In der realen Welt würde man bei vielen Installationen mit einem "hohen" Wert zumindest überhaupt was mitbekommen. Wieviele kennst du, die die entsprechenden Events Monitoren? ;)

 

Bye

Norbert

[NilsK 2.982]

Moin,

 

persönlich einen, zumindest monitort der offiziell. :D

 

Allenfalls bei Einsatz von Fine-grained Password Policies lasse ich mich dazu erweichen, dass ein automatisches Lockout für Nicht-Dienstkonten okay sein könnte. Sonst halte ich es für grob fahrlässig. Aber wie du ja schon richtig sagst, das weißt du ja. ;)

 

Gruß, Nils

[w.sennecke 10]

Hi,

 

vielen Dank für eure Antworten. Habe gestern die Option, wie von Board Veteran beschrieben, in den Richtlinien gefunden und aktiviert.

Auf unserem Faxserver schlummerte in den Lokalen Anmeldeinformationen noch eine alte Verbindung die dort gespeichert war.

Gelöscht und Problem gelöst.

 

Danke für eure schnelle Hilfe.

 

Gruß,

William

[NorbertFe 2.175]

Ich hätte ja gleich mal einen Serviceaccount verwendet anstatt deinen eigenen. ;)

[MHenning 11]

Hi Zusammen,

 

 

solche Sachen findet man im Ereignislog des Domänencontroller.

Dort steht von welchem Computer der Loginversuch kommt und warum er abgeleht wird.

 

Hab ich auch schonmal gehabt und damit konnte ich rausfinden wer der Übeltäter war.

 

JA: für sowas einen extra Serviceaccount verwenden.

 

Gruß Martin

[w.sennecke 10]

@MHenning

Richtig, dazu muss es aber erstmal in den Richtlinien der DCs aktiviert werden, was per default erstmal nicht der Fall ist.

 

@NorbertFe

So ist es nun ja auch. Wie gesagt noch ein Relikt aus dem vorigen Jahrhundert. :)