Skip to content

🖥️ Øvelse – Analyse af brute force loginforsøg i Windows

ℹ️ Information

I tidligere øvelser har du installeret en Windows Server og arbejdet med analyse af Windows Event Logs.

I denne øvelse skal du bruge disse færdigheder til at identificere et muligt brute force loginforsøg.

Et brute force angreb er en metode hvor en angriber forsøger at logge ind på et system ved gentagne gange at prøve forskellige adgangskoder.

Et brute force angreb kan ofte genkendes ved mange fejlede loginforsøg på kort tid.

Windows registrerer loginhændelser i Security loggen, hvor særligt følgende Event IDs er relevante:

Event ID Betydning
4624 Successful login
4625 Failed login
4634 Logoff

Ved at analysere disse events kan man identificere mønstre som kan indikere et angreb.

Formålet med øvelsen er at lære at:

  • identificere gentagne loginforsøg
  • filtrere logs i PowerShell
  • analysere mønstre i loginhændelser
  • vurdere om en hændelse kan indikere et angreb

🧭 Instruktioner

1️⃣ Generér login events

For at kunne analysere loginhændelser skal der først oprettes nogle events i loggen.

Lav følgende aktiviteter på systemet:

  • Log af systemet mindst én gang
  • Log ind igen
  • Lav mindst 3 fejlede loginforsøg (forkert kodeord)

Dette vil generere både succesfulde og fejlede login events i Security loggen.

2️⃣ Find alle fejlede loginforsøg

Åbn PowerShell som administrator.

Kør følgende kommando:

Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4625
}

Denne kommando viser alle events hvor et loginforsøg er fejlet.

Spørgsmål

  1. Hvor mange fejlede loginforsøg kan du finde?
  2. Hvilket brugernavn blev forsøgt brugt?

3️⃣ Undersøg login events mere detaljeret

Vis de seneste login events med flere detaljer:

Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624,4625
} -MaxEvents 20 | Format-List TimeCreated, Id, Message

Spørgsmål

  1. Hvilke forskelle kan du se mellem Event ID 4624 og Event ID 4625?
  2. Hvilke oplysninger om loginforsøget kan du finde i event-beskrivelsen?

4️⃣ Identificér mønstre i loginforsøg

Undersøg tidsstemplerne for de fejlede loginforsøg.

Spørgsmål

  1. Sker de fejlede loginforsøg tæt på hinanden i tid?
  2. Er det samme brugernavn der bliver forsøgt brugt flere gange?
  3. Hvor mange fejlede loginforsøg sker før et succesfuldt login?

5️⃣ Gruppér login events

PowerShell kan bruges til at analysere logs mere systematisk.

Kør følgende kommando:

Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4625
} | Group-Object Id

Spørgsmål

  1. Hvor mange events med ID 4625 findes der?
  2. Hvad fortæller dette om aktiviteten på systemet?

6️⃣ Vurder hændelsen

Forestil dig at du arbejder som sikkerhedsanalytiker og undersøger logs fra en server.

Spørgsmål

  1. Kan loginforsøgene indikere et brute force angreb?
  2. Hvilke tegn i loggen kunne pege på et angreb?
  3. Hvilke andre logs eller systemer kunne være relevante at undersøge?

💬 Refleksionsspørgsmål

  1. Hvorfor er login events vigtige i sikkerhedsundersøgelser?
  2. Hvilke begrænsninger kan der være ved kun at analysere login logs?
  3. Hvordan kunne en organisation opdage brute force angreb automatisk?

💡 Ekstra opgave (valgfri)

Undersøg hvor mange fejlede loginforsøg der er registreret i loggen.

Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4625
} | Measure-Object

Spørgsmål

  1. Hvor mange fejlede loginforsøg findes der i alt?
  2. Hvad kunne være en indikator på mistænkelig aktivitet?

Windows Security auditing – Logon events

Event ID 4624 – Successful logon

Event ID 4625 – Failed logon

Get-WinEvent PowerShell documentation

Last update: 2026-03-20 13:58:28