Розберемося, як в доменному середовищі Active Directory по журналам контролерів домену визначити, хто з адміністраторів скинув пароль облікового запису певного користувача.

В першу чергу, в політиках домену потрібно включити аудит подій керування обліковими записами. Для цього:

  1. Відкрийте консоль управління груповими політиками Управління груповою політикою (Gpmc.msc) і відредагує політику домену Доменна політика за замовчуванням. Доменна політика за замовчуванням
  2. Потім в консолі редактора групових політик, перейдіть в розділ Конфігурація комп’ютера -> Політика -> Налаштування Windows -> Налаштування безпеки -> Локальні політики -> Політика аудиту
  3. Знайдіть і включіть політику Аудит управління обліковими записами користувачів (Якщо потрібно фіксувати в журналі як успішні, та й невдалі спроби зміни пароля, виберіть опції Успіху і Невдача).
    Примітка. Цю ж політику можна включити і в розділі розширених політик аудиту (Computer Configuration> Policies> Windows Settings> Security Settings> Advanced Audit Configuration)

    політика Audit User Account Management

  4. Після проходження циклу поновлення групових політик на клієнтах можна спробувати змінити пароль будь-якого користувача в AD.
  5. Після цього, відкрийте консоль перегляду подій на контролері домену і перейдіть в розділ Переглядач подій -> Журнали Windows -> Безпека. Клацніть ПКМ по журналу і виберіть пункт Фільтрувати поточний журнал. фільтр журналу подій Filter Current Log
  6. В параметрах фільтра вкажіть, що потрібно вивести тільки події з кодом EventID 4724. EventID 4724 Була зроблена спроба скинути пароль облікового запису.
  7. У списку подій залишаться тільки події успішної зміни пароля (Була зроблена спроба скинути пароль облікового запису.). При цьому в розширеному поданні події можна побачити ім’я облікового запису адміністратора, яка виконала зміну пароля (Subject 🙂 і, власне, обліковий запис користувача, чий пароль було скинуто (Target Account :). подія скидання пароля користувача в журналі контролера домену

Порада. В контексті отримання повної інформації про події зміни пароля користувача, в фільтр можна додати визначається одним із таких подій:

  • 4724 (628 – в старих версіях Windows Server) – An attempt was made to reset an account’s password (скидання пароля користувача адміністратором)
  • 4723 (627 – в старих версіях Windows Server) – An attempt was made to change an account’s password (зміна пароля самим користувачем)

Інформацію про дану подію з журналів всіх контролерів домену Active Directory за допомогою PowerShell командлетів Get-ADComputer і Get-WinEvent, можна отримати таким чином:
(Get-ADComputer -SearchBase ‘OU=Domain Controllers,DC=winitpro,DC=loc’ -Filter *).Name | foreach {
Get-WinEvent -ComputerName $_ -FilterHashtable @{LogName="Security";ID=4724 }| Foreach {
$event = [xml]$_.ToXml()
if($event)
{
$Time = Get-Date $_.TimeCreated -UFormat "%Y-%m-%d %H:%M:%S"
$AdmUser = $event.Event.EventData.Data[4]."#text"
$User = $event.Event.EventData.Data[0]."#text"
$dc = $event.Event.System.computer
write-host “Admin ” $AdmUser “ reset password to ” $User “ on ” $dc “ “ $Time
}
}
}

PowerShell - збір подій по всьому контролерам домену

При необхідності ці дані можна записувати прямо з PowerShell в зовнішнє mysql базу даних, через спеціальний коннектор MySQL .NET Connector за аналогією зі сценарієм, описаним в статті Дізнаємося хто видалив файл на файловому сервері.

Leave a Reply

Your email address will not be published. Required fields are marked *