Cum puteți vedea cine resetează parolele utilizatorilor în AD

Cum puteți vedea cine resetează parolele utilizatorilor în AD | Microsoft 2024
Cum puteți vedea cine resetează parolele utilizatorilor în AD | Microsoft 2024

În multe ocazii, în cadrul rolurilor noastre de personal IT, ne confruntăm cu situații de securitate precum acestea. încercări neautorizate de conectare la domeniul nostru pentru a-l accesa și a efectua sarcini care nu sunt permise sau autorizate și care pot afecta grav performanța sistemului și a tuturor obiectelor care fac parte din organizație.

Știm că intruții sau cei care doresc să acceseze sistemul într-o manieră neautorizată încearcă să intre fie din exterior, fie din organizația însăși, încercând să suplinească oricare dintre utilizatorii activi ai organizației, motiv pentru care de data aceasta vom analiza cum putem monitoriza cine a încercat să reseteze parola unui utilizator (Evident, trebuie să validăm cu utilizatorul dacă nu a fost el) și în acest fel să luăm măsuri de securitate sau cele care sunt pertinente în funcție de gravitatea situației.

Pentru această analiză vom folosi un mediu Windows Server 2016.

1. Se deschide editorul de politici de grup GPO


Primul pas pe care îl vom face este să deschidem Managerul de politici de grup utilizând oricare dintre următoarele opțiuni:
  • Introducerea traseului:

început / Toate aplicațiile / Instrumente de management / Managementul politicilor de grup

  • Folosind comanda Run (combinație de taste MARI

    De acolo vom edita fișierul politica legată de încercări și autentificare.

    2. Editarea politicii de grup


    Pentru a continua cu ediția politicii de grup, vom afișa domeniul nostru, în acest caz solvetic.com, și vom face clic dreapta pe Politica de domeniu implicită și acolo vom selecta opțiunea Editați | ×.

    MARI

    În fereastra afișată vom merge la următorul traseu:

    • Configurarea echipamentului
    • Directivele
    • Setări Windows
    • Setări de securitate
    • Directivele locale

    MARI

    Facem dublu clic pe Politica de audit și vom localiza politica numită „Gestionarea contului de audit”. Vom vedea că valoarea implicită este „Nu este definit”. Faceți dublu clic pe el sau faceți clic dreapta și selectați Proprietăți (editați) și vom vedea că este afișată următoarea fereastră:

    3. Activarea politicii de audit


    Pentru a activa această politică, bifați doar caseta „definiți această setare de politică”Și bifați casetele pe care le considerăm necesare (Corect / Eroare).

    Odată ce aceste valori au fost definite, apăsați aplica și ulterior A accepta pentru ca modificările să fie salvate. Putem vedea că politica noastră a fost modificată într-un mod satisfăcător.

    MARI

    4. Verificarea încercărilor de modificare a parolei


    Putem forța politicile din domeniu deschizând CMD și introducând comanda: 
     gpupdate / forță
    Pentru ca politicile să fie actualizate.

    Pentru a verifica dacă utilizatorul a încercat să facă o modificare a parolei, vom deschide vizualizatorul de evenimente utilizând oricare dintre următoarele opțiuni:

    • Din comanda Run, introduceți termenul: 
       eventvwr
      Și apăsând introduce sau A accepta.
    • Din meniu Instrumente în administrator server și selectând opțiunea Vizualizator de evenimente.

    Vom vedea că se deschide următoarea fereastră:

    MARI

    Vom selecta, din partea stângă, opțiunea Jurnalele Windows / Securitate. După ce selectăm Securitate în partea dreaptă, alegem opțiunea Filtrează înregistrarea curentă iar în câmpul Toate ID-urile evenimentului vom introduce ID-ul 4724 care este un ID de securitate legat de încercările de modificare a parolei.

    Apăsăm A accepta pentru a vedea toate evenimentele asociate. Rezultatul obținut va fi următorul:

    MARI

    Putem vedea data și ora exactă a evenimentului indicând faptul că a fost o încercare de resetare a parolei. Putem face dublu clic pe eveniment pentru a vedea mai multe detalii despre acesta.

    Observăm că există contul care a încercat să facă modificarea, în acest caz SolvAdm și contul în care s-a încercat schimbarea, în acest exemplu solvetic2.

    Astfel putem auditează toate încercările de a schimba parolele utilizatorului, atât corecte, cât și eronate și în acest fel vizualizați în detaliu cine și când a fost făcută sau a încercat să facă schimbarea și să ia astfel măsurile necesare.

    Dacă doriți să intrați în ramura audituri de analiză criminalistică, vă lăsăm un link către un instrument practic utilizat pe scară largă în acest sens.

    Audit criminalistic Windows

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cum se dezactivează conectarea la fundal a ecranului de estompare Windows 10
2
post-title
Cum se semnează fișiere în Linux cu GPG
3
post-title
WordPress - Noțiuni introductive
4
post-title
Setați rezoluția ecranului personalizată pe Galaxy S8
5
post-title
▷ Cum se deschide și se închide sesiunea Netflix Xbox Series X sau Xbox Series S.

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -