Moin zusammen !

Wenn jemand versucht in ein PW-geschütztes XP zu gelangen !
Wird das dann irgend wo protokolliert !?
... und wenn ja, wo und wie !?
( Datum, Zeit, Versuche, PW, ... !? )

Es wird protokolliert wenn du die entsprechende Funktion in der gpedit.msc aktiviert hast. Es setzt somit ein XP Pro oder ein modifiziertes XP Home voraus.
Über das "wo" & "wie" kann ich dir keine Angaben machen, da es 1. bei mir oder mir bekannten Systemen noch nie lief und 2. es dazu andere, intuitivere Tools gibt.

Es wird, wenn die Funktion aktiviert ist, in der Ereignisanzeige unter Sicherheit protokolliert.

... wozu schreibt man eigentlich eine "ausführliche" Sig !? ;)
... ok, aber !
Standard ist das nicht aktiviert, was ich dann über die GRL einstellen wollte !
.... entweder habe ich die falsche Stelle genommen ( Windows Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien ), oder aber es funzt so nicht !?
( ... jedenfalls werden noch keine PW-Eingaben gespeichert )

Sorry! Aber im Rahmen der Professionalität habe ich meine Antwort allgemein verständlich & allgemein zutreffend gehalten. Es soll ja auch Forenuser geben, die andere Systeme haben und die deine/eine sich ständig ändernde Signatur nicht interessiert (Tunnelblick...).
Ich konnte ja nicht ahnen, dass hier im Forum jede Antwort auf eine Anfrage mittlerweile zur Privataudienz beim TE mutiert...

Die Überwachung muss zuerst in "Verwaltung\Lokale Sicherheitsrichtlinien" aktiviert werden. Dazu gibt es unter "Lokale Richtlinien\Überwachungsrichtlinien" versch. unabhängige Parameter.
Die Protokollierung erfolgt dann nach Neustart unter "Ereignisanzeige\Sicherheit".
Nach Maßgabe einer neu zu erstellenden MMC kann als Ausgabeort der Protokollierung auch ein anderer Ort oder Rechner dienen. Auch eine Direktausgabe auf dem Bildschirm ist möglich.

... ;)

OK, das funzt jetzt soweit !
Es werden aber keine getesteten PW gespeichert, korrekt !?
( schliesslich möchte man ja an dem Erfindungsreichtum der Einbrecher teilhaben )

Passwörter werden nicht protokolliert.

Nachtrag, nur so zur Info:

Ein Anmeldeereignis wird auf einem lokalen Computer in der Ereignisanzeige/Sicherheit protokolliert. Hier sieht man, welcher Benutzer sich an diesem Computer an- oder abgemeldet hat.

Ein Anmeldeversuch wird auf einem Domänencontroller protokolliert. Hier sieht man in der Ereignisanzeige/Sicherheit, welche Benutzer sich auf welchem Computer authentifizert haben.

... und das wäre mein Wunsch gewesen ... ! ;)

Edit:
... was ja hier angeboten wird !
Windows Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien
( oder gehört das wieder wo anders zu ) !?

Dort werden Richtlinien wie das "Verfallsdatum", Mindestlänge etc. von Kennwörtern festgelegt.

Falls du "Kennwortchronik erzwingen" meinst, damit wird die Anzahl von eindeutigen neuen Kennwörtern ermittelt, die mit einem Konto verknüpft werden müssen, bevor ein altes Kennwort wieder verwendet werden kann.

"Kennwörter mit umkehrbarer Verschlüsselung speichern" bedeutet, dass Kennwörter quasi im Textformat gespeichert werden (=> Sicherheitslücke!), deshalb sollte das nur im äußersten Bedarfsfall aktiviert werden.
Diese Richtlinie ist beispielsweise erforderlich, wenn die CHAP-Authentifizierung (Challenge-Handshake Authentication-Protokoll) über Remotezugriff oder die Internetauthentifizierungsdienste verwendet werden. Zudem ist die Richtlinie erforderlich, wenn in Internetinformationsdienste (IIS) die Digest-Authentifizierung verwendet wird. (Auszug aus der MS-Hilfe)

... aha, ok !

Habe übrigens noch eine einfachere, auch Home-taugliche Möglichkeit gefunden !

man erstelle eine batch-Datei
Inhalt:
@echo off
echo %date%, %time%, %username% >> C:\windows\system32\asdf.txt

Diese dann als geplanten Task einrichten !
Ausgabe in der *.txt erfolgt dann so:
13.10.2008, 21:40:31,48, Lighty,

Wie kann man denn jetzt wohl noch das PW da rein bekommen !?
%pw% %passwort% oder %password% ... !?

... und wofür steht die ,48, !? :???:

Ich glaube, für "Passwort" gibt es keinen Parameter. Selbst auf einem (MS-)Server kann der Admin die Passwörter nicht einsehen, nur neu setzen, deaktivieren usw..

Die 48? Gute Frage!
Vielleicht eine interne Userkennung, der 48. Login... :?: