Поделиться через

Как определить точку откуда произошло событие смены пароля в AD

Анонимные
2024-09-23T06:20:55+00:00

Добрый день!

В Active Directory часто появляются события смены пароля УЗ такого типа (Имя учетной записи: АНОНИМНЫЙ ВХОД)

Category:"13824",CategoryString:"User Account Management",EntryType:"Аудит успеха",EntryCode:"4738",EntryId:"4738",InstanceId:"4738",MachineName:"ad.somedomain.local",Message:"Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3E6 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-2877411002-2600045301-3184470670-1128 Имя учетной записи: testuser1 Домен учетной записи: SOMEDOMAIN Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: 15.03.2023 10:48:03 Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -",Source:"Microsoft-Windows-Security-Auditing",UserName:"",TimeGenerated:"2023-03-15 10:48:03",TimeWritten:"2023-03-15 10:48:03",LogName:"Security"

Правильно ли я понимаю, что пользователь сам меняет тут свой пароль, просто до аутентификации (процессом с экрана приветствия) поэтому отображается АНОНИМНЫЙ ВХОД?

Как узнать на какой станции в доменной сети это произошло?

Windows Server | Удостоверение и доступ | Active Directory

Заблокированный вопрос. Этот вопрос был перенесен из сообщества службы поддержки Майкрософт. Вы можете проголосовать о его полезности, но не можете добавлять комментарии или ответы, а также подписаться на этот вопрос. Для защиты конфиденциальности профили пользователей для перенесенных вопросов анонимизированы.

Комментариев: 0
Принятый ответ
  1. Анонимные
    2024-09-23T07:02:28+00:00

    Этот ответ был переведен автоматически. Поэтому в тексте могут быть грамматические ошибки или странные словосочетания.

    Здравствуйте, Василий Кочканиди,

    Благодарим вас за публикацию на форумах сообщества Майкрософт.

    1. Понимание сайтов AD и механизмов репликации

    Сайты: сайты Active Directory — это логические группировки, используемые для оптимизации доступа к ресурсам и их репликации в пределах домена. Распределительные центры в пределах объекта обычно подключаются через высокоскоростную сеть, в то время как соединения между объектами могут быть более медленными.

    Репликация: При внесении изменений в объекты в AD (например, учетные записи пользователей) эти изменения реплицируются на другие контроллеры домена в домене. Для конфиденциальных операций, таких как смена паролей, репликация обычно выполняется мгновенно, но на нее могут влиять сетевые задержки и политика репликации.

    1. Включите ведение журнала аудита

    Чтобы определить место события изменения пароля, сначала необходимо убедиться, что в AD включено ведение журнала аудита. Это можно сделать с помощью консоли управления групповыми политиками (GPMC).

    В консоли управления групповой политикой создайте и свяжите объект групповой политики (GPO) для домена или организационного подразделения (OU), а затем отредактируйте его, включив политику управления учетными записями пользователей аудита. Убедитесь, что отмечены события «Успешно» и «Неудача».

    1. Мониторинг журналов событий

    События смены пароля регистрируются в журнале событий РЦ. Событие с идентификатором 4723 указывает на то, что пользователь пытался изменить свой пароль, а событие с идентификатором 4724 указывает на то, что администратор пытался сбросить пароль другого пользователя.

    Используйте средство просмотра событий для отслеживания этих событий. Вы можете отфильтровать и просмотреть эти события в разделе Безопасность в разделе Журналы Windows. 4.

    1. Анализ свойств события

    Когда вы найдете событие смены пароля, дважды щелкните по событию, чтобы просмотреть его свойства. Свойства могут содержать информацию о контроллере домена, на котором произошло изменение, например имя или IP-адрес контроллера домена.

    Однако важно отметить, что из-за механизма репликации AD изменение могло произойти сначала на одном контроллере домена, а затем быстро реплицироваться на другие контроллеры домена. Поэтому, даже если в журнале событий напрямую не указан сайт, на котором произошло изменение, можно сделать вывод о том, на каком контроллере домена в пределах или рядом с ним оно произошло.

    Всего наилучшего

    Невусы

    Комментариев: 0

Дополнительные ответы: 0

Сортировать по: Наиболее полезные
Наиболее полезные Новейшие Самые старые