Windows ermöglicht Ihnen, Schwellenwerte zu Kontosperrungen dafür festzulegen, wie oft Benutzer bei der Anmeldung ein ungültiges Passwort eingeben können, bevor ihr Konto gesperrt wird. Außerdem können Sie hier mit der entsprechenden Einstellung festlegen, wie lange Konten gesperrt bleiben sollen. Mit diesen Richtlinien zur Kontosperrung können Sie Ihr Netzwerk effektiv dagegen absichern, dass Hacker Ihre Passwörter erraten oder Brute-Force-Angriffe durchführen. Allerdings haben Ihre Benutzer bei strengeren Richtlinien auch weniger Versuche, sich an ihre Passwörter zu erinnern. Dementsprechend werden sie häufiger aus ihren Konten ausgesperrt.
Im Zusammenhang mit Kontosperrungen erzeugt Windows zwei Arten von Ereignissen. Domänencontrollern, Windows-Servern und Workstations erzeugen jedes Mal Ereignis 4740, nachdem ein Konto gesperrt wurde. Ereignis 4767 wird bei Entsperrung eines Kontos erzeugt. In dieser Anleitung geht es vorrangig um Ereignis 4740.
Ereignis 4740 – Ereignis-Eigenschaften
Event ID 4740 – Registerkarte Details
Wir wollen die Eigenschaften dieses Ereignisses nach „Betreff“, „Gesperrtes Konto“ und „Zusätzliche Informationen“ aufschlüsseln, wie in der Registerkarte „Allgemeines“ (siehe Abb. 1).
Sicherheits-ID: Die SID des Kontos, das die Sperrung durchgeführt hat.
Kontoname: Der Name des Kontos, das die Sperrung durchgeführt hat.
Kontodomäne: : Der Domänen- bzw. Computername. Dieser kann in verschiedenen Formaten vorliegen, z. B. als NETBIOS-Name oder als vollständiger Name in Klein- oder Großbuchstaben.
Bei wohl bekannten Security Principals lautet dieses Feld „NT AUTHORITY“, und bei lokalen. Benutzerkonten enthält es den Namen des Computers, zu dem das Konto gehört.
Anmeldungs-ID: Mit der Anmeldungs-ID können Sie dieses Ereignis mit kürzlichen Ereignissen korrelieren, die vielleicht die gleiche Anmeldungs-ID aufweisen (z. B. Ereignis 4625).
Sicherheits-ID: Die SID des Kontos, das gesperrt wurde. Windows versucht, die SIDs zu lösen und den Kontonamen anzuzeigen. Wenn die SID nicht gelöst werden kann, wird die Datenquelle im Ereignis angezeigt.
Kontoname: Name des ausgesperrten Kontos.
Anrufer-Computername: : Der Name des Computerkontos (z. B. JOHN-WS12R2), aus dem der Anmeldeversuch generiert wurde.
Es besteht die Möglichkeit, dem Sicherheitsprotokoll eine Aufgabe anzuhängen, und sich von Windows per E-Mail benachrichtigen zu lassen. Mit Windows können Sie dabei aber nur E-Mails erhalten, wenn Ereignis 4740 erzeugt wird, und keine feinkörnigeren Filter anwenden.
Mit einem Tool wie ADAudit Plus können Sie nicht nur feinkörnige Filter anwenden, um sich auf die echten Bedrohungen zu konzentrieren, sondern sich auch in Echtzeit per SMS benachrichtigen lassen.
Nutzen Sie fortschrittliche statistische Analysen und maschinelle Lerntechniken zur Erkennung anormalen Verhaltens in Ihrem Netzwerk.
Sorgen Sie mit direkt einsatzbereiten Berichten für die Erfüllung von Compliance-Standards, wie SOX, HIPAA, PCI, FISMA, GLBA und der DSGVO.
Wenn Sie ADAudit Plus herunterladen, können Sie sich bereits 30 Minuten später in Echtzeit benachrichtigen lassen. Mit mehr als 200 vorkonfigurierten Berichten und Warnungen sorgt ADAudit Plus in Ihrem Active Directory für Sicherheit und Compliance.