Como monitoro tentativas de logon com falha no Windows?

4

Existe alguma maneira confiável de monitorar tentativas de logon com falha durante o uso no Windows XP? (bem, Vista também para esse assunto). Eu preciso monitorar programaticamente tentativas de logon com falha que atualmente é realizado com um GINA Stub simples subclassificando a caixa de diálogo Login do MSGINA.

No entanto, minha solução atual não é à prova d'água se houver outras GINAs na cadeia.

Então, minha pergunta é : há alguma (outra) API em que eu possa confiar? Ou eu tenho que implantar uma DLL inteira de substituição da GINA?

    
por Jonas 28.05.2009 / 19:55

4 respostas

4

O Microsoft ACS faz isso muito bem. É um componente do gerenciador de configuração do System Center. Você pode examinar as falhas de logon da perspectiva do DC ou da perspectiva do cliente, dependendo de suas necessidades específicas.

Existem MS Partner Solutions que também auxiliam nisso do lado do Management Pack, bem como do lado do relatório do ACS.

Divulgação completa: trabalho para um dos parceiros do MS mencionados

    
por 28.05.2009 / 20:01
4

Para uma solução central, use um dos provedores de syslog do Windows para encaminhar as entradas de log de segurança para um agregador syslog central. Preste atenção nos eventos certos e depois tome as ações que você quiser depois disso. Mesma transação que no mundo UNIX. Nos meus dias do Windows, usamos o NTsyslog em cada host para alimentar o log de eventos em um servidor executando o SL4NT. O SL4NT é na verdade um daemon syslog bastante poderoso e mais completo do que muitas das versões do UNIX. Tanto o SL4NT quanto o NTsyslog são muito fáceis de configurar.

    
por 28.05.2009 / 20:46
2

Infelizmente, você não pode usar o GINA para o Vista. O Vista usa provedores de credenciais.

Você analisou a análise do log de eventos de segurança? Não é bonito, mas evita o uso de GINA.

    
por 28.05.2009 / 19:58
1

@Jonas: Quando você diz "monitor falha em tentativas de logon on-the-fly", quer dizer que você quer algo que reaja em tempo real a um log de falha? Ou você quer ser capaz de executar algo que lhe dirá quantos logons com falha houve, digamos, para uma máquina durante um período de tempo específico?

    
por 29.05.2009 / 20:18