devcode
05.11.2019, aktualisiert am 12.04.2022
view7071
view3
0
Goto Top

Fehlerhafte Anmeldeversuche protokollieren

gelöstFrageMicrosoft
Hallo Leute,

habe folgendes Problem. Ein Domänen-Konto von uns wird dauerhaft gesperrt (Ab 10 fehlgeschlagenen Anmeldeversuchen), was die Arbeit des Mitarbeiters ziemlich einschränkt.
Wir konnten herausfinden, dass die Anmeldeversuche von verschiedenen Rechner kommen. (Evtl. veraltete Anmeldeinfos hinterlegt.)
Gibt es eine Möglichkeit auf dem Rechner zu prüfen, welche Anwendungen, Dienste oder Aufgaben eine fehlerhafte Anmeldung verursachen? (War im Eventlog nicht aufgelistet)

Sry das es so schlecht beschrieben ist.

mfg Patrick
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 511823

Url: https://administrator.de/contentid/511823

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
141575
141575 05.11.2019 aktualisiert um 14:49:36 Uhr
Goto Top
Process Monitor
colinardo
Lösung colinardo 05.11.2019, aktualisiert am 06.11.2019 um 14:41:39 Uhr
Goto Top
Servus Patrick,
für den Zweck hab ich mir mal ein Powershell-Skript (das lokal am Client ausgeführt wird) geschrieben, schau mal ob du damit dein Problem in den Griff bekommst.
(War im Eventlog nicht aufgelistet)
Da steht aber mehr drin als man denkt. Die meisten prüfen hier nur die gängigen Logs (System/Application/Security), aber die Application/Operational-Logs geben weit mehr Infos dazu her als man auf den ersten Blick erkennt.
Und nicht vergessen auch einen Blick in den Tresor (Anmeldeinformationsverwaltung) zu werfen.
<#
    Get local failed logon events for scheduled tasks, services, applications
#>
cls
$logfile = "$env:TEMP\$([io.Path]::GetRandomFileName())"  
do {
    $days = Read-Host "What time period (days) do you want to include in the log (press ENTER for 7 Days)?"  
    $days = @{$true=7;$false=$days}[$days -eq '']  
}until($days -match '\d+')  

# startdate back in time
$start = (get-date).AddDays(-$days).Date

write-host "`nRetrieving log information starting from $($start.toString('d')), please wait...`n" -F Green  

#region >> data collection <<

# scheduled tasks with logon failures
$data_tasks = Get-WinEvent -FilterHashtable @{Logname="Microsoft-Windows-TaskScheduler/Operational";Id=104;StartTime=$start}  
# Services with credential errors
$data_services = Get-WinEvent -FilterHashtable @{LogName="System";ProviderName = 'Service Control Manager';Level=2;Id=7038;StartTime=$start}  
# Generic Logon Events
$data_logonevents = Get-WinEvent -FilterHashtable @{LogName='Security';Id=4625;StartTime=$start}  

#endregion

#region >> Log Output <<
@"  
Recent Scheduled Tasks with logon credential problems:`n$('='*60)  
$($data_tasks | ft TimeCreated,Message -AutoSize -Wrap | out-string)

Services with logon credential problems:`n$('='*60)  
$($data_services | ft TimeCreated,Message -AutoSize -Wrap | out-string)

Generic Logon errors:`n$('='*60)  
$($data_logonevents | ft TimeCreated,@{n='Application/Process';e={$_.Properties[18].Value}},@{n='Username';e={$_.Properties[6,5].Value -join '\'}} -AutoSize -Wrap | out-string)  
"@ | out-file $logfile -Encoding utf8  
#endregion

write-host "Opening log '$logfile'." -F Green  
start notepad $logfile
Wir konnten herausfinden, dass die Anmeldeversuche von verschiedenen Rechner kommen.
Von verschiedenen? Au hauahauaha, da hätte aber jemand kräftig in die Sch... gegriffen wenn die Creds dort überall hinterlegt wären. Eine bereitgestellte Anwendung wäre aber auch ein möglicher Kandidat. In Zukunft => Managed Service Accounts für solche Anwendungen verwenden.

Grüße Uwe
heart1
Bitboy
Lösung Bitboy 06.11.2019 aktualisiert um 14:33:17 Uhr
Goto Top
Moin,

immer schwierig sowas, es hilft auf jeden Fall den Mitarbeiuter zu fragen ob er mal Aufforderungen zur Passworteingabe hatte und ob er sich an das Programm erinnert.

Anmeldeinformationsverwaltung ist immer nen guter Anlaufpunkt.

Dann noch Geplante Tasks und Dienste.

Wenn da nichts zu finden ist kanns lustig werden.
Erst mal die Rechner prüfen die im Log auftauchen und schauen ob da noch ne aktive Anmeldung ist und ob die sein muss.

Edit: Vergessen, es gibt da noch dieses Lockout Tool. https://www.microsoft.com/en-us/download/details.aspx?id=18465
Grüße
gelöstFrageMicrosoft
Mehr von DevCodeDevCodeAzure AD Hybrid JoinDevCodeDevCodePiHole Blocking (Fehler)DevCode - 4 KommentareDevCodeRaspberry Pi-Hole hinter 2 RouternDevCode - 9 KommentareDevCodeOutlook Sync-Probleme (mit Gigacube Vodafone)DevCode - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare