Luiz Henrique Lima Campos – Microsoft MVP

Como Gerar Logs de Segurança de Autenticação com Falha no Windows Server 2022 Usando PowerShell

2 de novembro de 2023 por luizhenriquelima | 0 comentários

A segurança da informação é um aspecto crítico da gestão de TI, especialmente em ambientes corporativos. Monitorar tentativas de autenticação com falha pode ajudar a identificar possíveis ataques ou vulnerabilidades na segurança. Este artigo guiará você através do processo de criação de um script PowerShell para gerar todos os logs de segurança relacionados a autenticações com falha no Windows Server 2022.

Pré-requisitos

Antes de iniciar, certifique-se de que você tem os seguintes pré-requisitos:

  • Acesso administrativo ao Windows Server 2022.
  • Conhecimento básico de PowerShell.

Passo a Passo

1. Abrir o PowerShell com Privilegios de Administrador

Inicie o PowerShell com privilégios elevados clicando com o botão direito no menu Iniciar e selecionando “Windows PowerShell (Admin)”.

2. Script para Coletar Logs de Autenticação com Falha

Insira o seguinte script no PowerShell. Este script usa o cmdlet Get-WinEvent para filtrar e coletar logs de segurança específicos de tentativas de autenticação com falha.

powershell
# Define o filtro para eventos de segurança de autenticação com falha
$filterHashtable = @{
    LogName='Security'
    ID=4625 # ID de evento para uma tentativa de logon falhada
}

# Coleta os eventos de segurança com base no filtro
$failedAuthLogs = Get-WinEvent -FilterHashtable $filterHashtable

# Exibe os logs coletados
foreach ($log in $failedAuthLogs) {
    Write-Output $log
}

3. Análise e Armazenamento dos Logs

O script acima coletará e exibirá os eventos de logon com falha. Para análises mais aprofundadas ou para armazenar esses logs para auditorias futuras, você pode redirecioná-los para um arquivo. Modifique a última parte do script para:

powershell
# Caminho do arquivo onde os logs serão salvos
$filePath = "C:\Logs\FailedAuthLogs.txt"

# Salva os logs no arquivo especificado
$failedAuthLogs | Out-File -FilePath $filePath

4. Agendamento do Script para Execução Automática

Para monitoramento contínuo, você pode agendar o script para executar automaticamente em intervalos regulares usando o Agendador de Tarefas do Windows ou o próprio PowerShell.

Conclusão

Monitorar tentativas de autenticação com falha é vital para a segurança da sua infraestrutura de TI. Com este script PowerShell, você pode facilmente coletar e analisar esses eventos no Windows Server 2022, ajudando a identificar e mitigar possíveis ameaças de segurança.

Deixe uma resposta

Campos requeridos estão marcados *.