So überwachen Sie erfolgreiche und fehlgeschlagene lokale Anmeldevorgänge unter Windows

Herauszufinden, wer sich wann an einem Windows-Rechner angemeldet hat, ist oft ein kompliziertes Unterfangen, insbesondere im Nachhinein. Manchmal möchte man sich nicht in die Domänenprotokolle vertiefen (was mühsam sein kann), und Informationen direkt aus den lokalen Ereignisprotokollen zu extrahieren, erscheint einfacher. Wenn Sie dringend die letzten Anmeldeaktivitäten ermitteln müssen oder einfach nur wissen möchten, wer Ihren neuen Windows-PC benutzt hat, kann Ihnen diese Anleitung einige Probleme ersparen. Sie ist zwar nicht hundertprozentig zuverlässig, funktioniert aber in den meisten Fällen und bietet Ihnen eine gute Möglichkeit, die Aktivitäten der lokalen Benutzer zu verstehen.

So verfolgen Sie Benutzeranmeldungen in Windows: Einfache Lösungen

Aktivieren der Benutzeranmeldeüberwachungsrichtlinie in Windows

Als Erstes müssen Sie die Protokollierung aktivieren, damit Windows die Anmeldungen der Benutzer erfasst. Daher enthalten Ihre Ereignisprotokolle keine aussagekräftigen Informationen. Auf einem Einzelplatzrechner oder in einer Domänenumgebung genügt es, einige Richtlinieneinstellungen anzupassen. In der Regel verwenden Sie dazu den Editor für lokale Gruppenrichtlinien oder, falls Sie mehrere Computer verwalten, die Gruppenrichtlinien-Verwaltungskonsole. Hier eine kurze Übersicht:

  • Öffnen Sie das gpedit.msc- Snap-In, wenn es sich nur um einen einzelnen PC handelt. Für eine domänenweite Umgebung verwenden Sie gpmc.msc.
  • Navigieren Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien > An-/Abmeldung.
  • Suchen Sie nach „Anmeldung protokollieren“ und „Abmeldung protokollieren“ – aktivieren Sie beide. Wenn Sie sich nur für erfolgreiche Anmeldungen interessieren, aktivieren Sie das Kontrollkästchen „Erfolgreich“ – warum nicht?
  • Bei einer Konfiguration, die ich beobachtet habe, kann Windows Richtlinien manchmal nicht sofort anwenden. Ein Neustart oder ein Befehl wie dieser gpupdate /forceauf dem Zielrechner kann helfen, die Einstellungen dauerhaft zu übernehmen.

Hinweis: Auf manchen Rechnern, insbesondere solchen mit strengeren Sicherheitsrichtlinien, dauert es nach Richtlinienänderungen etwas, bis sich die Protokolle füllen. Bitte beachten Sie dies.

Greifen Sie in der Ereignisanzeige auf die Sicherheitsprotokolle zu.

Sobald die Protokollierung aktiviert ist, sollten Sie die Ereignisanzeige ( eventvwr.msc) genauer untersuchen, um die eigentlichen Daten zu erhalten. Hier finden Sie die interessanten Informationen. Wenn sich jemand anmeldet, wird ein Ereignis mit der ID 4624 protokolliert, das Details wie Benutzername, Domäne und Anmeldetyp enthält.

  • Ereignisanzeige öffnen.
  • Gehen Sie zu Windows-Protokolle > Sicherheit.
  • Rechtsklicken und „ Aktuelles Protokoll filtern“ auswählen.
  • Geben Sie die Ereignis-ID4624 in das Feld ein und klicken Sie dann auf OK.

Achten Sie nun auf Einträge mit Anmeldetyp 2 – das sind Ihre lokalen, interaktiven Anmeldungen. Die Beschreibung lautet üblicherweise „Ein Konto wurde erfolgreich angemeldet“, und Sie erhalten den Benutzernamen plus Domäne, etwa so:

New Logon: Security ID: WOSHUB\a.muller Account Name: a.muller Account Domain: WOSHUB

Wenn Sie schnell Statistiken zu fehlgeschlagenen Anmeldeversuchen oder anderen Anmeldedetails abrufen möchten, finden Sie hier einige gängige Ereignis-IDs:

Ereignis-ID Beschreibung
4624 Erfolgreiche Anmeldung
4625 Anmeldeversuch fehlgeschlagen
4648 Explizite Verwendung von Anmeldeinformationen (wie die Weitergabe von Anmeldeinformationen)
4634 Abmeldeereignis
4647 Vom Benutzer initiierte Abmeldung

Aber Achtung: Die Protokolle enthalten auch Aktivitäten, die nicht lokal sind, wie Netzwerkfreigaben oder geplante Aufgaben. Durch Filtern nach Anmeldetyp 2 lässt sich die Liste eingrenzen, insbesondere wenn Sie nur lokale, physische Anmeldungen anzeigen möchten.

Anmeldungen mit PowerShell filtern

Hier wird es richtig raffiniert. Anstatt die Protokolle manuell zu durchsuchen, ermöglicht PowerShells Get-WinEvent die einfache Automatisierung der Abfrage per Skript. Hier ist ein einfaches Beispiel zum Auflisten der letzten interaktiven Anmeldungen ( LogonType 2 ):

$query = @' <QueryList> <Query Id='0' Path='Security'> <Select Path='Security'> *[System[EventID='4624'] and EventData[Data[@Name='LogonType']='2'] ] </Select> </Query> </QueryList> '@

Dieses Skript durchsucht das Sicherheitsereignisprotokoll nach erfolgreichen, lokalen Anmeldungen. Sie können es weiter anpassen, indem Sie einen Zeitfilter hinzufügen, etwa so:

| Where-Object {$_. TimeCreated -gt (Get-Date).AddDays(-3)}

Oder rufen Sie Informationen von entfernten Computern ab – praktisch, wenn Sie mehrere Rechner untersuchen:

'machine1', 'machine2' | ForEach-Object { Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object @{n='User';e={$_. Properties[5].Value}}, @{n='Domain';e={$_. Properties[6].Value}}, @{n='Time';e={$_. TimeCreated}} }

Und falls RPC nicht verfügbar ist oder Remote-Sitzungen blockiert sind, können Sie auf Invoke-Command zurückgreifen, etwa so:

Invoke-Command -ComputerName 'machine1', 'machine2' {Get-WinEvent -FilterXml $using:query | Select-Object @{n='User';e={$_. Properties[5].Value}}, @{n='Domain';e={$_. Properties[6].Value}}, @{n='Time';e={$_. TimeCreated}} }

Alles in allem ist es eine gute Möglichkeit, den Überblick darüber zu behalten, wer den PC benutzt hat, ohne sich manuell durch Berge von Protokolldateien wühlen zu müssen. Ziemlich hilfreich, besonders bei der Fehlersuche oder wenn man einfach nur neugierig auf die letzten Aktivitäten ist.

Zusammenfassung

  • Überwachungsrichtlinien für An- und Abmeldung aktivieren.
  • Überprüfen Sie die Sicherheitsprotokolle in der Ereignisanzeige auf die Ereignis-ID 4624.
  • Filtern Sie nach Anmeldetyp 2, um lokale Anmeldungen zu finden.
  • Verwenden Sie PowerShell-Befehle für präzisere oder Remote-Abfragen.

Zusammenfassung

Die Nachverfolgung von Benutzeranmeldungen unter Windows ist kein Hexenwerk, sobald die richtigen Richtlinien eingerichtet sind. Die Kombination aus Überwachungsrichtlinien, Ereignisanzeigefilterung und PowerShell-Skripten macht die Sache recht einfach. Natürlich ist nicht alles perfekt – Windows-Protokolle können unübersichtlich sein, und manchmal muss man mit den Filtern etwas experimentieren. Aber nach der Einrichtung erhält man einen guten Überblick über die jüngsten Benutzeraktivitäten. Hoffentlich hilft das jemandem, mysteriöse Anmeldungen aufzuspüren oder einfach nur im Auge zu behalten, wer das System benutzt hat.