Damit wir Angriffe erkennen können, müssen wir Windows in die Lage versetzten, die Ereignisse erfolgreich und felgeschlagen Anmeldung zu Protokolieren. Weiter sollte man bedenken das nicht jeder fehlgeschlagene Anmeldeversuch ein Angriff ist.
Was sind meine Kriterien, um zu erkenn das es sich um ein Angriff handelt:
- der Anmeldeversuch kommt nicht aus Deutschland
- Wir haben mehr als 5 fehlerhafte Anmeldeversuche in der Minute
Erkennen eines gehackt Account:
- Anmelde Zeiten sind auffällig
- Anmeldung kommen aus Deutschland und aus dem Ausland
Vorbereitung für Windows
Windows Protokoliert standartmäßig nur erfolgreiche Anmeldung. Das wollen wir ändern, um ein Angriff erkennen zu können, benötigen wir die Fehlerhaften Anmeldungen. Weiter müssen wir Windows dazu bringen das es auch eine Firewall Aktionen in eine Logdatei schreibt.
Windows Protokoliert / Anmeldeüberwachung
im der Suche geben wir Lokale Sicherheitsrichtlinie ein
Wir Navigieren zu Anmeldeereignisse überwachen und Aktivieren Erfolgreich und Fehler
Wir Navigieren zu Anmeldeversuche überwachen und Aktivieren Erfolgreich und Fehler
Nun starten wir das System neu und versuchen uns mal über Remote mit falschen Namen und Password anzumelden
Nun erhalten wir unter Computerverwaltung im den Windows-Protokolle Sicherheit auch die Fehlerhaften Anmeldungen
In diesem Fall hat sich versucht der Anwender TestAdmin nicht erfolgreich versucht anzumelden.
In dem Ereignis finden man auch von wo die Anmeldung kam
Logeinstellung der Windows Firewall:
im der Suche geben wir Lokale Sicherheitsrichtlinie ein
Wir Navigieren zu Windows-Firewall mir erweiterter Sicherheit /Windows Defender Firewall mir erweiterter Sicherheit und wähle mit einem rechen Maus klick Eigenschaften.
Die Einstellungen die hier gezeigt werden nehme ich für Domänenprofile/Privates Profile/Öffentliches Profile vor.
Den weg zur Logdatei habe ich angepasst man kann aber auch den Standard Path beibehalten (Ich habe den Ordner C:\FWLog vorher erstellt)
Diese Einstellung nehme ich für Domänenprofile/Privates Profile/Öffentliches Profile vor und startet das System neu.
Es kann sein das Ihr kein recht auf die Datei bekommt, bitte über sie Sicherheit euch das Recht einrichten.