Maila admin vid misslyckat inloggninsförsök med PowerShell

För ett tag sedan lyssnade jag på en session med WSUG där Mattias Lehmus tillsammans med Mikael Nyström visade mycket användbara automatiseringsvertyg.

Ett som jag blev väldigt intresserad av var just att maila admin vid misslyckat inloggningsförsök mot domänkontrollanterna och i mailet ser vi allt från datum, vilken användare det gäller och från vilken enhet. Helt fantastiskt eller hur?

Först måste vi aktivera själva loggningen av felaktiga inloggningar med Group Policy, här har jag valt att skapa en ny GPO på domännivå och aktiverat Audit account logon events – Success, Failure under Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies/Audit Policy > Policy

Failed login attempts

Vi behöver denna GPO eller snarare att vi loggar failure som ger oss event 4771. Med detta event-ID kommer sedan vår schemaläggning att trigga scriptet för att skicka mailet. Men låt oss inte gå händelserna i förväg…

PowerShell scriptet:
Glöm inte att ändra variablerna efter din miljö.
Specificera det OU du vill övervaka först, för finns inte användaren i det OU så kommer scriptet inte att gå vidare, så smart!
Glöm inte att använda rätt info om SMTP-inställningar, se längre ned i inlägget om att använda Hotmails SMTP-server.

 

 

Task1Task2Task3Starta schemaläggaren och skapa en ny Basic Task med följande inställningar:

Log: Security
Source: Microsoft Windows security auditing.
Event ID: 4771

Task4Task5

Program/script:
C:WindowsSystem32cmd.exe
Add argument:
/C powershell.exe -executionpolicy bypass C:ScriptsFailedlogin.ps1

Task6

Gå in på uppgiften du skapat och ändra så att schemaläggaren kan köra uppgifter vare sig om en användare eller inte är inloggad.

Då är det dags att testa. Kontrollera först så att användaren som du provar med finns med i det OU du specificerat i scriptet under $OUSearchBase och kontrollera även så att SMTP-servern du använder svarar och att du använder rätt port.

I min labbmiljö använde jag Hotmails SMTP-server och de har följande inställningar:

smtp.live.com
Port: 587 (TLS)

Om du vill labba med detta och använda exempelvis Hotmails SMTP-server så lägg till detta:

Under #Variables:

 

 

Under #Send Email:

 

Så här ser mailet ut när vi skrivit in fel lösenord.
Byt ut båda Send-MailMessage mot denna rad:

mail

Tack Mattias & Mikael för tipsen!

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *

%d bloggers like this: