Der ISW Security Event Generator ist ein professionelles Windows-Desktop-Tool für IT-Administratoren und Security-Engineers. Es ermöglicht die gezielte, kontrollierte Erzeugung von Authentifizierungsevents im Windows Security Event-Log – ohne echte Angriffe, ohne externe Abhängigkeiten und ohne Cloud-Dienste.
Authentifizierungsevents auf Knopfdruck – für Admins die es wissen müssen.
Lizenzierung
Gute Software muss nicht teuer sein.
Einmalig 129,00 € (inkl. 19% MwSt.)
- Standortlizenz ohne Benutzerbegrenzung
- Keine Folgekosten, keine Abonnements
- Kostenlose Updates innerhalb der Hauptversion
- Jetzt auch in Englisch
Produktinformation Security Event Generator
Send download link to:
Product Information Security Event Generator
Send download link to:
Simuliere den Angriff. Nicht das Chaos.
Zielgruppe
Das Tool richtet sich an folgende Benutzergruppen:
| Merkmal | Beschreibung |
|---|---|
| Windows-Administratoren | Prüfung der Audit Policy, Validierung der Event-Log-Konfiguration, Tests nach GPO-Änderungen |
| Security-Engineers / SOC | Validierung von SIEM-Regeln, Testen von Alert-Schwellenwerten, Verifizierung von EDR-Erkennungslogik |
| IT-Auditoren | Nachweis der korrekten Protokollierung für Compliance-Anforderungen (BSI, ISO 27001, DSGVO) |
| Security-Trainer | Erzeugung realer Event-Daten für Schulungen und Übungsumgebungen ohne Angriffssimulation |
| Lab-Betreiber | Schnelle Befüllung von Test-Umgebungen mit authentischen Windows Security Events |
Hauptmerkmale
Drei Authentifizierungstypen auf Knopfdruck
Das Tool unterstützt die drei in Windows-Umgebungen relevantesten Authentifizierungsprotokolle:
| Event-ID | Typ | Bedeutung |
|---|---|---|
| 4776 | NTLM Credential Validation | Der DC prüft NTLM-Credentials – erzeugt bei Verbindung via IP-Adresse (IPC$) |
| 4624 | Logon (NTLM, Typ 3) | Netzwerkanmeldung des Testkontos – begleitendes Event zu 4776 |
| 4769 (AES) | Kerberos TGS Request | TGS-Anfrage mit AES-256 (EncType 0x12) – normales, sicheres Kerberos |
| 4769 (RC4) | Kerberos TGS RC4 | TGS-Anfrage mit RC4 (EncType 0x17) – Warnsignal, typisch für Kerberoasting |
Vollständig native Windows-Technologie
Das Tool verwendet ausschließlich Windows-Bordmittel und .NET-Standardbibliotheken. Es werden keine externen Angriffswerkzeuge, keine Drittanbieter-Treiber und keine Cloud-Dienste benötigt:
- NTLMv2: net use \\DC-IP\IPC$ mit expliziten Credentials
- Kerberos AES: KerberosRequestorSecurityToken (.NET System.IdentityModel) für SPN cifs/<DC-FQDN>
- RC4-Kerberos: KerberosRequestorSecurityToken für SPN HTTP/svc_rc4_test mit msDS-SupportedEncryptionTypes = 4
Automatische Domänen- und Rollenerkennung
Beim Start erkennt das Tool automatisch die Active Directory-Umgebung:
- Domain-Name und vollqualifizierten DC-Namen (FQDN)
- IP-Adresse des Domain Controllers (für NTLM-Tests)
- Serverrolle (Domain Controller oder Member-Server)
- Administrator-Rechte des ausführenden Benutzers
Auf Member-Servern werden nicht verfügbare Funktionen (RC4-Kerberos) automatisch deaktiviert. NTLMv2 und Kerberos AES funktionieren auf Member-Servern vollständig, da Security-Events zur Auswertung direkt vom DC abgerufen werden.
Integrierte Audit Policy-Prüfung
Bevor Events erzeugt werden können, muss die Windows Audit Policy korrekt konfiguriert sein. Das Tool prüft per auditpol.exe alle relevanten Kategorien und zeigt den Status übersichtlich an:
| Merkmal | Beschreibung |
|---|---|
| Credential Validation | Erforderlich für Event 4776 (NTLM Credential Check) |
| Logon / Logoff | Erforderlich für Event 4624 (Network Logon) |
| Kerberos Service Ticket Operations | Erforderlich für Event 4769 (TGS Request) |
Echtzeit-Protokollierung
Alle Aktionen werden in einem integrierten Live-Log in Echtzeit protokolliert. Die farbcodierte Ausgabe ermöglicht eine sofortige Bewertung jeder Operation:
- Cyan (INFO): Statusmeldungen und Fortschritt
- Grün (OK): Erfolgreich erzeugte Events
- Orange (WARN): Warnungen und Hinweise
- Rot (ERR): Fehler mit Beschreibung
Zusätzlich werden alle Vorgänge in einer strukturierten Log-Datei unter %LocalAppData%\ISW Security Event Generator\ gespeichert (30 Tage Aufbewahrung).
Event-Log-Ansicht mit Filterung
Der Tab “Letzte Events” zeigt alle im definierten Zeitraum erzeugten Security Events direkt in der Anwendung:
- Kacheln mit Gesamtanzahl pro Event-Typ (4776, 4624, 4769 AES, 4769 RC4)
- Tabellarische Ansicht mit Zeitstempel, Event-ID, Typ, Konto und Details
- Zeitraumfilter: 1 Minute bis 1 Stunde
- Tooltip mit vollständiger Event-Erklärung pro Zeile
Erweiterte Security Events
Über den Tab “Erweiterte Events erzeugen” stehen zusätzliche Security-Szenarien bereit:
| Event-ID(s) | Szenario | Beschreibung |
|---|---|---|
| 4625 | Logon Failure | Fehlgeschlagene NTLM-Anmeldung mit svc_isw_ext_test – für Brute-Force-Tests |
| 4771 | Kerberos Pre-Auth Failed | Kerberos-Vorauthentifizierungsfehler via runas.exe – nur auf Domain Controllern |
| 4672 + 4624 | Special Logon | Privilegierte Netzwerkanmeldung – svc_isw_ext_test temporär in Domain Admins |
| 4720 → 4726 | Account-Lifecycle | Vollständiger Konto-Lebenszyklus: Erstellen, Aktivieren, Gruppe, Deaktivieren, Löschen |
Das Tool verwendet ausschließlich Windows-Bordmittel und .NET-Standardbibliotheken – keine externen Angriffswerkzeuge, keine Drittanbieter-Treiber, keine Cloud-Dienste:
Security Event Generator – Kein Pentest. Kein Ratespiel. Echte Events.
Teil der ISW-Tools Suite von IT-Service Walter
© 2026 IT-Service Walter | Alle Rechte vorbehalten