Monitoring fehlgeschlagener Windows-Anmeldeversuche

Es gibt mehrere Gründe, die Anzahl fehlgeschlagener Anmeldeversuche mit ConnectWise Automate an einem Windows-System zu überwachen. Dazu zählen beispielsweise die Identifikation von Attacken auf Kundenserver und die proaktive Unterstützung von Benutzern, die ihr Passwort falsch eingeben.
Die Windows-Ereignisanzeige enthält alle für das Monitoring nötigen Informationen. Allerdings sind diese Daten in der ConnectWise Automate-Datenbank nur im String des Nachrichtenfelds, also in einer nicht unmittelbar auswertbaren Form vorhanden.

Hinweis: Der im Folgenden beschriebene Monitor verwendet eigene Datenbanktabellen. Damit der Monitor auf den Inhalt dieser Tabellen zugreifen kann, müssen passende Berechtigungen gesetzt werden. Hierzu empfiehlt sich das Plugin "Database Permissioner" (https://automationtheory.org/database-permissioner).

Für die Auswertung und Gruppierung dieser Daten finden Sie in der Download-Datei das Script "EBERTLANG\Monitor Failed Logons", das Sie via System → General → Import → XML Expansion importieren, sowie den Internal Monitor "EL - Failed Logons", der via System → General → Import → SQL File eingefügt wird:

         


Folgende Vorbereitungen und Anpassungen sind nötig, um fehlgeschlagene Anmeldeversuche zu überwachen:
  1. Um über jeweils aktuelle Daten zu verfügen, prüfen Sie, welcher Event Log Mode in den relevanten Agent Templates ausgewählt wurde:



    Wenn Sie "Send Error Type to Inventory every Check-In" verwenden, werden in kurzen Abständen die jeweils aktuellen Logon-Fehler zur Automate-Datenbank hinzugefügt. Hier ist nichts weiter zu tun. Wenn Sie "Inventory only uses Schedule (Default)" verwenden, stellen Sie zusätzlich sicher, dass die Inventarisierung der Windows-Ereignisanzeige über die Schedules stündlich erfolgt:




  2. Öffnen Sie das Script "EBERTLANG\Monitor Failed Logons" und passen Sie den Betrachtungszeitraum an Ihre Anforderungen an (Anzahl der Tage für die Auswertung - Voreinstellung: 1 Tag):



  3. Hinterlegen Sie das Script für die regelmäßige Ausführung (z.B. einmal täglich) im System-Dashboard:



  4. In der Monitor-Konfiguration richten Sie die "Next Run Time" nach der Ausführungszeit des Scripts: Der Monitor sollte kurz nach dem Script ausgeführt werden. Außerdem müssen Sie den Grenzwert für die Anzahl fehlgeschlagener Anmeldeversuche im Betrachtungszeitraum an Ihre Anforderungen anpassen (Voreinstellung: 2):



  5. Konfigurieren Sie ein für Sie passendes Alerting:
    Im Reiter "Alerting" ist das Alert Template "Default - Do Nothing" hinterlegt. Ohne Anpassung erfolgt also keine Alarmierung in Form von Tickets oder E-Mails. Zur Aktivierung kann das Alert Template hier global geändert oder der Monitor in einer Gruppe aktiviert werden. 

    Zur Überwachung von Attacken auf Kundenserver ist für den Monitor ein anderer Grenzwert erforderlich als für die Überwachung falscher Passworteingaben durch Benutzer. Wenn Sie beides überwachen möchten, ist es erforderlich, den Monitor zu duplizieren (Rechtsklick auf den Monitor in der Monitorliste - "Copy Monitor"). Einen der beiden Monitore stellen Sie auf einen hohen Grenzwert ein (z.B. 100) und aktivieren ihn in einer Server-Gruppe. Der andere Monitor erhält einen niedrigeren Grenzwert (z.B. 5) und wird in einer Workstation-Gruppe aktiviert.

    Internal Monitors können über das "Identity Field" weitere Informationen zum Troubleshooting zur Verfügung stellen. Diese Informationen werden im Alerting über die Variable %fieldname% ausgegeben und sind auch im Reiter "Query Results" zu sehen: