Hoe te zien wie gebruikerswachtwoorden reset in AD

Hoe te zien wie gebruikerswachtwoorden reset in AD

In onze rol als IT-personeel worden we vaak geconfronteerd met beveiligingssituaties zoals ze zijn. de ongeautoriseerde pogingen om in te loggen op ons domein om er toegang toe te krijgen en taken uit te voeren die niet zijn toegestaan ​​of geautoriseerd en die de prestaties van het systeem en alle objecten die deel uitmaken van de organisatie ernstig kunnen beïnvloeden.

We weten dat indringers of degenen die op ongeoorloofde wijze toegang willen krijgen tot het systeem, extern of vanuit de organisatie zelf proberen binnen te komen, in een poging zich voor te doen als een van de actieve gebruikers van de organisatie. Daarom gaan we deze keer analyseren hoe kunnen we controleren wie heeft geprobeerd het wachtwoord van een gebruiker opnieuw in te stellen? (Uiteraard moeten we met de gebruiker valideren als hij het niet was) en op deze manier veiligheidsmaatregelen nemen of die relevant zijn in overeenstemming met de ernst van de situatie.

Voor deze analyse gaan we een omgeving gebruiken Windows Server 2016.

1. Groepsbeleid-editor GPO openen


De eerste stap die we zullen nemen, is om Groepsbeleidsbeheer te openen met een van de volgende opties:
  • Invoeren van de route:

begin / Alle toepassingen / Management tools / Groepsbeleidsmanagement

  • Met behulp van de opdracht Uitvoeren (toetscombinatie VERGROTEN

    Van daaruit zullen we de . bewerken beleid met betrekking tot pogingen en inloggen.

    2. Groepsbeleid bewerken


    Om door te gaan met de editie van het groepsbeleid gaan we ons domein weergeven, in dit geval solvetic.com, en we zullen met de rechtermuisknop op klikken Standaard domeinbeleid en daar zullen we de optie selecteren Bewerking.

    VERGROTEN

    In het weergegeven venster gaan we naar de volgende route:

    • Apparatuur instellen
    • richtlijnen
    • Windows-instellingen
    • Veiligheidsinstellingen
    • Lokale richtlijnen

    VERGROTEN

    We dubbelklikken op Auditbeleid en we zullen het beleid met de naam "Accountbeheer controleren”. We zullen zien dat de standaardwaarde is "Het is niet gedefinieerd”. Dubbelklik erop of klik met de rechtermuisknop en selecteer Eigenschappen (bewerken) en we zullen zien dat het volgende venster wordt weergegeven:

    3. Het auditbeleid inschakelen


    Vink het vakje aan om dit beleid in te schakelen "deze beleidsinstelling definiëren”En vink de vakjes aan die wij nodig achten (Correct / Error).

    Zodra deze waarden zijn gedefinieerd, drukt u op Van toepassing zijn en vervolgens Accepteren om de wijzigingen op te slaan. We zien dat ons beleid naar tevredenheid is aangepast.

    VERGROTEN

    4. Pogingen om wachtwoord te wijzigen controleren


    We kunnen het beleid op het domein afdwingen door CMD te openen en de opdracht in te voeren: 
     gpupdate / forceren
    Zodat het beleid wordt bijgewerkt.

    Om te controleren of de gebruiker heeft geprobeerd een wachtwoordwijziging aan te brengen, gaan we de gebeurtenisviewer openen met een van de volgende opties:

    • Voer vanuit de opdracht Uitvoeren de term in: 
       eventvwr
      En druk op Binnenkomen of Accepteren.
    • Uit het menu Hulpmiddelen in de serverbeheerder en het selecteren van de optie Evenementenkijker.

    We zullen zien dat het volgende venster wordt geopend:

    VERGROTEN

    We gaan aan de linkerkant de optie selecteren Windows / Beveiligingslogboeken. Zodra we Beveiliging aan de rechterkant selecteren, kiezen we de optie Huidige record filteren en in het veld Alle gebeurtenis-ID's voeren we de ID 4724 in, een beveiligings-ID die verband houdt met de pogingen om het wachtwoord te wijzigen.

    wij drukken op Accepteren om alle bijbehorende evenementen te zien. Het verkregen resultaat is het volgende:

    VERGROTEN

    We kunnen de exacte datum en tijd van de gebeurtenis zien, wat aangeeft dat het een poging was om het wachtwoord opnieuw in te stellen. We kunnen dubbelklikken op het evenement om er meer details over te zien.

    We merken op dat er een account is dat probeerde de wijziging aan te brengen, in dit geval SolvAdm en het account waarnaar de wijziging is geprobeerd, in dit voorbeeld oplossend2.

    Op deze manier kunnen we alle pogingen om gebruikerswachtwoorden te wijzigen controleren, zowel correct als foutief en visualiseer op deze manier tot in detail wie en wanneer de wijziging heeft aangebracht of heeft geprobeerd aan te brengen en zo de nodige maatregelen te nemen.

    Als u de vestiging van . wilt betreden forensische analyse-audits, laten we u een link achter op een praktisch hulpmiddel dat hiervoor veel wordt gebruikt.

    Forensische controle van Windows

U zal helpen de ontwikkeling van de site, het delen van de pagina met je vrienden

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
Hoe de veilige modus te zetten vanaf het opstarten van Windows 10
2
post-title
▷ Hoe KVM te installeren op CentOS 8 RHEL 8
3
post-title
Mappen en bestanden delen Windows 7
4
post-title
Beste programma's om wijzigingen in het register te controleren en te controleren Windows 10, 8, 7
5
post-title
HTML5 - Drag & Drop, deel 2

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -