Рейтинг:0

Смена пароля учетной записи AD — какие службы это сломает?

флаг jp

у нас есть куча учетных записей AD, которые используются для различных целей (позволяет сканерам сохранять файл в сетевой папке или запускает службу или запланированное задание). Есть ли быстрый способ увидеть, где используется учетная запись (даже просто имя хоста / IP-адрес было бы полезно, чтобы сузить круг машин, на которых нам нужно сосредоточиться). Просто «это то, с какого компьютера (ов) или устройств был получен доступ к этой учетной записи в любой данный период). Мы собираемся сбросить пароли на многих из них и хотим заранее знать, какой ущерб это нанесет. Спасибо, Джон

dognose avatar
флаг ar
Sidenode: убедитесь, что вы отключили блокировку учетной записи после X неудачных попыток на этапе перехода. В противном случае у вас может быть одно (пропущенное) устройство или устройства, долгое время находящиеся в автономном режиме, которые будут блокировать вашу учетную запись с неправильным паролем.
флаг jp
Отличный момент спасибо!
Рейтинг:0
флаг us

В таких случаях я не могу не подчеркнуть важность хорошей документации. Но я думаю, это вам не поможет.

С родными инструментами MS, я думаю, ваш лучший шанс - отфильтровать Журнал событий безопасности на ваших контроллерах домена для ID 4624. В зависимости от того, насколько велик ваш домен, их будет много, и я не могу придумать, как отфильтровать имя пользователя. Однако вы можете использовать Найти ¦ введите имя пользователя, которое хотите исследовать, и нажмите Найти следующий каждый раз. Это покажет вам события входа в систему этого пользователя одно за другим.

PS: повторите на всех контроллерах домена для полных результатов.

И пока вы на нем, вы можете проверить запланированные задачи, запущенные этими пользователями.

флаг jp
Спасибо, я проверю, что удостоверение личности очень ценится
Рейтинг:0
флаг mx

В зависимости от размера вашей среды это может быть невозможно выполнить вручную. Вам потребуются инструменты или скрипт для просмотра событий на всех контроллерах домена.

Прежде всего, имейте в виду, что существует разница между «событиями входа в систему» ​​и «событиями входа в учетную запись» (MS восприняла очень плохую формулировку в этом отношении). Первый создается на локальном компьютере, где происходит вход в систему, второй создается на контроллерах домена, где происходит «аутентификация».

Поскольку вы, вероятно, не можете сканировать все серверы на предмет локальных событий входа в систему, более реальным местом для отслеживания входа в учетную запись домена являются контроллеры домена. Для этого вы хотите убедиться, что у вас есть учетная запись включен аудит входа в систему на контроллерах домена. Затем нужно искать несколько идентификаторов событий.

Вы можете найти более подробную информацию на сайте Рэнди. (и глава 5 также для полноты) https://www.ultimatewindowssecurity.com/securitylog/book/page.aspx?spid=chapter4

флаг jp
Отлично, спасибо. Таким образом, «вход в учетную запись» должен записывать каждый раз, когда что-то вроде сканера аутентифицируется. Надеюсь, что так!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.