Skript bei erfolglosen Anmeldeversuchen

[Sun-Devil]

Guten Abend liebe Gemeinde...

Ich hoffe, jemand kann mir auf die Schnelle helfen. Ich bräuchte ein Skript, dass mir eine Meldung auf dem Desktop anzeigt, ob (und eventuell auch wieviele) erfolglose Anmeldeversuche seit dem letzten Abmelden des Rechners durchgeführt wurden.
Quasi als Überwachung, ob jemand unbefugt versucht hat, sich Zugang zu einem Rechner zu verschaffen. Ich kenne zwar die Ereignisanzeige (blicke da aber nicht ganz durch, welche ID was genau bedeuten soll) und auch die Aufgabenplanung (weiß aber natürlich auch da nicht, welche Überwachung genau eingestellt werden muss).

Vielleicht hat ja jemand so ein Skript schonmal erstellt und könnte es mir zu Verfügung stellen.

Besten Dank schon mal im Vorraus.

 

[kamblars]

Danke ChatGPT

# Pfad zur Logdatei
$logFilePath = "C:\Pfad\Zu\Deiner\Logdatei.txt"

function Get-FailedLoginAttempts {
$query = @"
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4625)]]
</Select>
</Query>
</QueryList>
"@
Get-WinEvent -LogName Security -FilterXml $query
}

function Display-Notification {
[System.Windows.Forms.MessageBox]::Show($args[0], "Fehlgeschlagene Anmeldeversuche", [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Information)
}

function Main {
try {
$failedAttempts = Get-FailedLoginAttempts
if ($failedAttempts.Count -gt 0) {
$timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
$message = "Fehlgeschlagene Anmeldeversuche seit $timestamp:`r`n"
$message += $failedAttempts | ForEach-Object { $_.TimeCreated.ToString("yyyy-MM-dd HH:mm:ss") + "`r`n" }
Display-Notification $message
$message | Out-File -Append -FilePath $logFilePath
}
else {
Write-Host "Keine fehlgeschlagenen Anmeldeversuche gefunden."
}
}
catch {
Write-Host "Fehler: $_"
}
}

Main

 

[tomgit]

Mhm... und du weißt auch, um welche Sprache es sich handelt, wie es ausgeführt wird, wo man es einstellen muss?

@Sun-Devil Wenn du ohnehin in die Ereignisanzeige blickst, musst du nur nach ID 4625 sortieren. Sonst ist hier noch ein Link zu potenziellen PowerShell-Commands.

 

[herrhannes]

Und wenn derjenige erfolgreich war, setzt er es wieder zurück? Erfolgreiche Versuche sind doch viel spannender für dich...

 

[Sun-Devil]

Und wenn derjenige erfolgreich war,...

Nun, ich gehe davon aus, dass meine Anmeldung sicher genug ist, dass das nicht passieren wird.
Deshalb interessiert mich auch nur der erfolglose Versuch.

Kurz und bündig: Vielen Dank, das hat mir geholfen.

 

[BFF]

ob jemand unbefugt versucht hat, sich Zugang zu einem Rechner zu verschaffen

Ich hoffe Du hast Deine Datentraeger verschluesselt?

(Gute) Unbefugte schrauben auf, zieh'n ne Kopie vom Datentraeger und/oder nehmen mit.

Domaenen-Rechner sind das nicht zufaellig?