Skip to content
PowerShell: Auditar inicios de sesión erróneos Id. y notificarlos vía email
PowerShell Batchfile
Branch: master
Clone or download
Fetching latest commit…
Cannot retrieve the latest commit at this time.
Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
screenshots
README.md
Security_Microsoft-Windows-Security-Auditing_4625.xml
call-ps1-eventwvr-id4625.bat
id_4625.ps1

README.md

Auditar-inicios-sesion-erroneos-envio-email-PowerShell

Auditar inicios de sesión erróneos con Id. 4625 y notificarlos vía email (SMTP Gmail.com) mediante un script de PowerShell.

No solo será útil para auditar los inicios de sesión local sino también los intentos de inicio de sesión por ataques de fuerza bruta a través de sesiones de escritorio remoto RDP.

Comando wenvtutil

Windows Event Utility es la utilidad en línea de comandos que nos mostrará la información de los eventos registrados de Windows.

Buscar el último evento registrado del tipo Seguridad con indentificador 4625.

wevtutil query-events Security /count:1 /rd:true /format:text /q:"Event[System[(EventID=4625)]]"

Habilitar directiva de auditoría para inicios de sesión incorrectos.

Crear tarea programada a partir del evento de seguridad con Id. 4625 (Inicios de sesión erróneos)

Configuración de la tarea programada.

Ejemplo de una recepción de email de un aviso por inicio de sesión erróneo.

You can’t perform that action at this time.