Найти, когда пароль был изменен - Windows SBS 2011
Я обнаружил, что потерпел неудачу, в основном при попытке получить доступ к одному из серверов, которыми я управлял, я не смог войти, пароль был неверный...
Я НЕ изменил этот пароль, и мне пришлось использовать учетную запись локального администратора, чтобы сбросить пароль для входа в систему.
Локальные журналы событий "Безопасность" не содержат упоминаний об изменении пароля или установленных событиях - НИКОГДА. - Там более 233 000 журналов, поэтому я предполагаю, что я смотрю не в том месте.
Однако команда Powershell: NET USER "loginid" | find /i "password last set" вернул дату и время, когда я изменил это несколько минут назад.
Как я могу увидеть полный список изменений пароля? Или хотя бы тот, что раньше моего?
2 ответа
Откройте средство просмотра событий и отфильтруйте этот идентификатор события в журнале безопасности:
Код события 628: пароль учетной записи пользователя установлен
Это событие указывает, что "вызывающий" пользователь сбрасывает пароль "целевого" пользователя. Сброс пароля не требует знания текущего пароля. Смотрите событие 627 для изменения пароля самим пользователем. Это событие также будет сопровождаться событием 642, показывающим, что поле даты последнего набора пароля было обновлено.
В соответствии с Ultimate Windows Security вы должны искать следующие события в журнале событий безопасности:
- 4723 Пользователь изменил свой пароль
- 4724 Оператор аккаунта сбросил пароль
Любой из них также вызовет событие 4738 Учетная запись пользователя была изменена.
Если пароль не отвечал требованиям сложности, событие регистрируется как сбой аудита, а не как успех аудита.
Если пользователь не смог правильно ввести свой старый пароль, указанное выше событие не будет зарегистрировано, однако на контроллере домена вы получите событие 4771 из-за сбоя предварительной аутентификации Kerberos.