Как настроить уведомление о переборе паролей в Active Directory?

Question

[post_ed]

Подскажите можно ли настроить на почту или еще куда уведомление о переборе/подборе паролей или блокировании учетной записи в Active Directory?

Comments

[post_ed]

сделал так:
1. nApoBo3 - В windows можно привязать к событию с id = 4740 назначенное задание (ниже в камментах запись)
2. Сам скрипт PS:

Import-Module ActiveDirectory

Get-ADDomainController -fi * | select -exp hostname | % {
    $GweParams = @{
        ‘Computername’ = $_
        ‘LogName’ = ‘Security’
        ‘FilterXPath’ = "*[System[EventID=4740]]"
    }
    $Events = Get-WinEvent @GweParams
    $properties = @(
        'TimeCreated',
        @{n='Account Name';e={$_.Properties[0].Value}},
        @{n='Computer';e={$_.Properties[1].Value}}
    )
    $Events | Select $properties 
<#        
TimeCreated                                   Account Name                                 Computer                                    
-----------                                   ------------                                 --------                                    
03.09.2019 16:49:40                           User1                                    WSKOMP1                                     
02.09.2019 19:04:25                           User2                                    WSKOMP3                                   
02.09.2019 9:23:53                            user2                                    WSKOMP3                                     
#>
} | Out-File -FilePath .\report.txt
$From = "server@contoso.ru"
$To = "admin@contoso.ru" 
$Subject = "AD account is locked!" 
$Body = "see REPORT in attachments"
$smtpServer = "mail.contoso.ru"
$credentials = new-object Management.Automation.PSCredential "server@contoso.ru", ("mypassword" | ConvertTo-SecureString -AsPlainText -Force)
Send-MailMessage -From $From -To $To -Attachments .\report.txt -Body $Body $Subject -SmtpServer $smtpServer -Credential $credentials -Verbose -UseSsl

Answer 1

[post_ed]

начсамом деле, ловим в журнале событий определенный eventid и делаем назначенное задание в планировщике - емэйл отправка

Answer 2

[Sasha Odarchuk]

https://cyberarms.net

Answer 3

[nApoBo3]

ps скрипт по расписанию который мониторит или попытки авторизации или блокировку пользователя. Но это не поможет при офлайн взломе на рабочей станции.
Мне кажется, что когда-то я читал статью про реализацию мониторинга событй средствами windows server( в том числе с нотификацией ), но сейчас не смог найти информацию.

Comments

[nApoBo3]

Нашел woshub.com/windows-event-triggers/.

Можно сделать task срабатывающий по событию.

[post_ed]

nApoBo3, от души спасибо! то что нужно!