Windows журнал смена пароля

Добрый день! Уважаемы подписчики и просто гости, одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали причины отказа доступа, которые не давали нам произвести смену пароля у пользователя. В сегодняшней заметке я бы хотел немного поговорить про аудит сброса пароля пользователя в Active Directory. Мы научимся определять по логам Windows, когда пользователь последний раз менял пароль или кто его принудительно поменял. Уверен, что данная информация вам окажется полезной при изучении событий безопасности.

Постановка задачи

Я перед собой ставлю настройку аудита доменных служб Active Directory, таким образом, чтобы я мог получать информацию, об изменении пользователем или оператором второй линии паролей учетной записи Active Directory, для мониторинга и улучшения безопасности.

Настройка политики аудита сброса паролей

Давайте рассматривать, как узнать, кто сбросил пароль пользователя в Active Directory. Так как это у нас домен, то все свои действия мы будем выполнять с помощью групповых политик. Первым делом нам необходимо включить в политике аудита распространяемой на ваш домен, логирование и занесение в журнал нужных нам событий безопасности, напоминаю, они будут появляться на ваших контроллерах домена.

Открываем с вами оснастку gpmc.msc (Управление групповой политикой). Разверните структуру вашего леса и выберите необходимый домен. В моем случае, это root.pyatilistnik.org. Я вам советую включать политику аудита всегда на уровне домена и использовать для этого уже имеющуюся политику «Default Domain Policy», в принципе сама Microsoft на этот момент не против, но никто вам не мешает создать новую и прилинковать ее к вашему домену. Щелкаем по ней правым кликом и из контекстного меню выбираем «Изменить»

Нужные нам параметры находятся в настройках на компьютер. Переходим по пути:

Нас тут будет интересовать пункт «Аудит управления учетными записями (Audit User Account Management )». Щелкаем по данному пункту двойным кликом и у вас откроется окно свойств. Установите галки:

• Определить следующие параметры политики
• Успех (Success)
• Отказ (Failure)

Активировав галки, сохраняем настройки нажав ok.

В расширенном аудите сброс или изменение пароля настраивается в таком разделе:

Тут вам нужно найти параметр «Аудит управления учетными записями пользователей», именно он и даст возможность отслеживания смены пароля, а так же его сброс.

Теперь когда у вас политика аудита настроена и применена к серверам и компьютерам, можно изучать логи операционной системы. Открываем просмотр событий Windows. Переходим в журнал «Безопасность», именно в него пишутся события, сброса пароля пользователя Active Directory и изменения пароля самим пользователем.

Перед тем, как искать информацию, нам необходимо определиться, какой номер ID события нам интересен. В журнале безопасности нужно искать:

• Event ID — 4723 (S, F): предпринята попытка изменить пароль учетной записи
• Event ID — 4724 (S, F): предпринята попытка изменить пароль учетной записи

Код события 4723 показывает нам информацию, была ли попытке изменить пользователем свой пароль, и два варианта получилось это сделать или нет.

Код события 4724 покажет вам информацию, когда и кто пытался произвести сброс пароля учетной записи пользователя Active Directory, данная информация бывает необходимой в случае компрометации учетной записи и расследовании.

Еще полезным будет почитать про описание событий системы безопасности в Windows https://support.microsoft.com/ru-ru/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

В журнале безопасность нажмите «Фильтр текущего журнала». В настройках фильтрации поля «Все коды событий» введите 4723 и нажмите применить.

Ваш журнал будет отфильтрован и вы не получите того огромного количества событий, которое в нем присутствует. Вы увидите попытки смены пароля пользователя Active Directory. Тут будут успешные и неудачные. Неудачные попытки будут полезны при диагностике блокировки учетной записи Active Directory.

Вот пример события ID 4723, где пользователь Барбоскин Геннадий, успешно поменял свой пароль.

Выполнена попытка изменения пароля учетной записи.

Субъект:
Идентификатор безопасности: ROOT\barboskin.g
Имя учетной записи: barboskin.g
Домен учетной записи: ROOT
Идентификатор входа: 0x179CA0D6

Целевая учетная запись:
Идентификатор безопасности: ROOT\barboskin.g
Имя учетной записи: barboskin.g
Домен учетной записи: ROOT

А вот вам пример ID 4723, где Барбоскин не смог изменить свой пароль.

Теперь давайте изменим фильтр на событие ID 4724. Вот пример, где пользователь Администратор, произвел успешно смену пароля для учетной записи barboskin.g.

Выполнена попытка сброса пароля учетной записи.

Субъект:
Идентификатор безопасности: ROOT\Администратор
Имя учетной записи: Администратор
Домен учетной записи: ROOT
Идентификатор входа: 0x1799B159

Целевая учетная запись:
Идентификатор безопасности: ROOT\barboskin.g
Имя учетной записи: barboskin.g
Домен учетной записи: ROOT

Теперь сбросим фильтр и заточим его на поиск событий 4724, напоминаю, это когда кто-то сбрасывает пароль учетной записи Active Directory, через оснастку ADUC. В моем примере видно из события ID 4724, что пользователь ROOT\Администратор произвел сброс пароля для пользователя barboskin.g.

Получение информации, через PowerShell

Для большей автоматизации, вы можете написать скрипт и запускать его через PowerShell. Ниже я вам приведу пример такого простого сценария, который ходит по всем контроллерам домена и собирает все нужные события по определенному ID. Но правильнее будет, это иметь сервер коллектор, на который будут перенаправляться все события с контроллеров, и вот с него уже проще получать нужную информацию, так сказать централизованно.

(Get-ADComputer -SearchBase ‘OU=Domain Controllers,DC=pyatilistnik,DC=org’ -Filter *).Name | foreach <
Get-WinEvent -ComputerName $_ -FilterHashtable @| Foreach <
$event = [xml]$_.ToXml()
if($event)
<
$Time = Get-Date $_.TimeCreated -UFormat «%Y-%m-%d %H:%M:%S»
$AdmUser = $event.Event.EventData.Data[4].»#text»
$User = $event.Event.EventData.Data[0].»#text»
$dc = $event.Event.System.computer
write-host “Admin ” $AdmUser “ reset password to ” $User “ on ” $dc “ “ $Time
>
>
>

Сам код вы можете проверить открыв оболочку PowerShell ISE. Вот мы получили события 4723, когда пользователи меняли свои пароли Active Directory.

А вот пример поиска событий 4724, когда кто-то целенаправленно произвел сброс и смену пароля пользователя в ADUC.

Как узнать, кто сбросил пароль пользователя в Active Directory

Разберемся, как в доменной среде Active Directory по журналам контроллеров домена определить, кто из администраторов сбросил пароль учетной записи определенного пользователя.

В первую очередь, в политиках домена нужно включить аудит событий управления учётными записями. Для этого:

1. Откройте консоль управления групповыми политиками Group Policy Management (gpmc.msc) и отредактирует политику домена Default Domain Policy.
2. Затем в консоли редактора групповых политик, перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy
3. Найдите и включите политику Audit User Account Management (если нужно фиксировать в журнале как успешные, та и неудачные попытки смены пароля, выберите опции Success и Failure).

После прохождения цикла обновления групповых политик на клиентах можно попробовать изменить пароль любого пользователя в AD.

После этого, откройте консоль просмотра событий на контроллере домена и перейдите в раздел Event Viewer -> Windows Logs -> Security. Щелкните ПКМ по журналу и выберите пункт Filter Current Log.

В параметрах фильтра укажите, что нужно вывести только события с кодом EventID 4724.

В списке событий останутся только события успешной смены пароля (An attempt was made to reset an account’s password.). При этом в расширенном представлении события можно увидеть имя учётной записи администратора, которая выполнила смену пароля (Subject:) и, собственно, учетную запись пользователя, чей пароль был сброшен (Target Account:).

Совет. В контексте получения полной информации о событиях смены пароля пользователя, в фильтр можно добавить следующие идентификаторы событий:

• 4724 (628 — в старых версиях Windows Server) – An attempt was made to reset an account’s password (сброс пароля пользователя администратором)
• 4723 (627 — в старых версиях Windows Server) – An attempt was made to change an account’s password (смена пароля самим пользователем)

Информацию о данном событии из журналов всех контроллеров домена Active Directory с помощью PowerShell командлетов Get-ADComputer и Get-WinEvent, можно получить таким образом:
(Get-ADComputer -SearchBase ‘OU=Domain Controllers,DC=winitpro,DC=loc’ -Filter *).Name | foreach <
Get-WinEvent -ComputerName $_ -FilterHashtable @| Foreach <
$event = [xml]$_.ToXml()
if($event)
<
$Time = Get-Date $_.TimeCreated -UFormat «%Y-%m-%d %H:%M:%S»
$AdmUser = $event.Event.EventData.Data[4].»#text»
$User = $event.Event.EventData.Data[0].»#text»
$dc = $event.Event.System.computer
write-host “Admin ” $AdmUser “ reset password to ” $User “ on ” $dc “ “ $Time
>
>
>

При необходимости эти данные можно записывать прямо из PowerShell во внешнюю mysql базу данных, через специальный коннектор MySQL .NET Connector по аналогии со сценарием, описанным в статье Узнаем кто удалил файл на файловом сервере.

Изменение или сброс пароля для Windows

Если вы забыли или потеряли пароль для Windows 10, Windows 8 1 или Windows 7, его можно изменить или сбросить. Чтобы начать работу, выберите свою версию Windows в раскрывающемся меню Выбор версии продукта.

Если вы уже знаете текущий пароль и хотите изменить его

Перейдите в раздел Пуск > Параметры > Учетные записи > Параметры входа . В разделе Пароль нажмите кнопку Изменить и следуйте инструкциям.

Сброс пароля локальной учетной записи Windows 10

Если вы забыли или потеряли пароль для локальной учетной записи Windows 10 и вам нужно снова выполнить вход в устройство, попробуйте использовать представленные ниже решения. Дополнительные сведения о локальных и административных учетных записях см. в статье Создание учетной записи локального пользователя или администратора в Windows 10.

В Windows 10 версии 1803 и выше

Если во время настройки локальной учетной записи для Windows 10 вы добавили контрольные вопросы, это означает, что у вас установлена версия не ниже 1803 и вы можете ответить на них, чтобы снова войти в систему.

После ввода неверного пароля выполните следующие действия.

Выберите ссылку Сброс пароля на экране входа. Если вместо этого вы используете ПИН-код, см. раздел Проблемы, связанные со входом с помощью ПИН-кода. Если вы используете рабочее устройство в сети, пункт сброса ПИН-кода может не отобразиться. В этом случае обратитесь к своему администратору.

Примечание: Если контрольные вопросы не отображаются на экране после того, как вы выбрали ссылку Сброс пароля, убедитесь, что имя устройства не совпадает с именем учетной записи локального пользователя (имя, которое вы видите при входе). Чтобы увидеть имя устройства, щелкните правой кнопкой мыши кнопку «Начните» на панели задач, выберите «Система» и перейдите в раздел «Спецификации устройства». Если имя устройства совпадает с именем учетной записи, вы можете создать новую учетную запись администратора, войти в систему как администратор, а затем переименовать свой компьютер (при просмотре имени устройства можно также переименовать устройство).

Ответьте на контрольные вопросы.

Введите новый пароль.

Войдите в систему обычным образом с новым паролем.

Windows 10 до версии 1803

Для версий Windows 10 ниже 1803 пароли к локальным учетным записям нельзя сбросить, так как в этих версиях отсутствуют контрольные вопросы. Вы можете сбросить устройство, чтобы выбрать новый пароль, но при этом данные, программы и параметры будут удалены без возможности восстановления. Если вы выполнили резервное копирование файлов, вы сможете восстановить удаленные файлы. Дополнительные сведения см. в статье Параметры восстановления в Windows 10.
Чтобы сбросить параметры устройства, удалите данные, программы и параметры.

Нажимая клавишу SHIFT, нажмите кнопку питания> перезапустить в правом нижнем углу экрана.

На экране Выбор действия выберите пункт Диагностика > Вернуть компьютер в исходное состояние.

Выберите команду Удалить все.

Предупреждение: При возврате устройства в исходное состояние будут удалены все данные, программы и параметры.

Сброс пароля учетной записи Майкрософт, который вы используете на компьютере

На экране входа введите имя учетной записи Майкрософт, если оно еще не отображается. Если на компьютере используется несколько учетных записей, выберите ту из них, пароль которой требуется сбросить. Выберите Забыли пароль под текстовым полем пароля. Следуйте инструкциям, чтобы сбросить пароль.

Устранение проблем со входом

Если у вас по-прежнему возникают проблемы со входом в учетную запись, ознакомьтесь с другими решениями в статье Устранение проблем со входом.

Сброс пароля

Примечание: Если вы забыли свой пароль для Windows 10, следуйте инструкциям из статьи Сброс пароля локальной учетной записи Windows 10.

Если вы забыли свой пароль для Windows 8.1, его можно восстановить несколькими способами:

Если ваш компьютер введен в домен, системный администратор должен сбросить ваш пароль.

Если вы используете учетную запись Майкрософт, пароль можно сбросить через Интернет. Подробнее: Как сбросить пароль учетной записи Майкрософт.

Если вы работаете с локальной учетной записью, используйте в качестве напоминания подсказку о пароле.

Если войти все равно не удается, необходимо переустановить Windows. Что касается переустановки Windows RT 8.1, обратитесь к производителю компьютера.

Дополнительная справка по паролям в Windows 8.1

Если вы забыли или потеряли свой пароль, следуйте инструкциям из раздела Сброс пароля выше, чтобы сбросить или восстановить его.

Если вы думаете, что пароль вашей учетной записи Майкрософт взломан или украден злоумышленником, мы можем помочь. Подробнее см. в разделе Не удается войти в учетную запись Майкрософт.

Да, если вход выполняется только на локальный компьютер. Тем не менее рекомендуется защитить компьютер с помощью надежного пароля. При использовании пароля только пользователь, знающий его, может войти в систему. Пароль необходим, если требуется войти в Windows с учетной записью Майкрософт. Дополнительные сведения см. в документе «Можно ли войти в Windows без пароля?». Дополнительные данные об учетных записях Майкрософт и локальных учетных записях см. в теме «Создание учетной записи пользователя».

Надежные пароли содержат разнообразные символы, в том числе строчные и прописные буквы, цифры и специальные символы или пробелы. Надежный пароль сложно угадать или взломать злоумышленнику. Такой пароль не должен содержать целое слово или данные, которые легко узнать, например ваше реальное имя, имя пользователя или дату рождения.

Пароль для входа с учетной записью Майкрософт может содержать не более 16 символов. Дополнительные сведения об учетных записях Майкрософт см. в статье Создание учетной записи пользователя.

Вы можете регулярно обновлять пароль, чтобы обеспечить лучшую защиту. Если ваш компьютер не подключен к домену, сделайте следующее:

Проведите пальцем от правого края экрана и нажмите кнопку Параметры, а затем выберите пункт Изменение параметров компьютера.
(Если вы используете мышь, найдите правый нижний угол экрана, переместите указатель мыши вверх, щелкните «Параметры» и выберите «Изменить параметры компьютера».)

Выберите элемент Учетные записи, а затем Параметры входа.

Нажмите или щелкните элемент Изменить пароль и следуйте указаниям.

Если компьютер подключен к домену, то системный администратор может задавать период обязательной смены пароля. Чтобы изменить пароль:

Если вы пользуетесь клавиатурой, нажмите клавиши CTRL+ALT+DEL, выберите пункт Сменить пароль и следуйте указаниям.

На планшетном ПК нажмите и удерживайте кнопку Windows, нажмите кнопку питания, а затем выберите команду Сменить пароль и следуйте инструкциям на экране.

Это зависит от того, используете ли вы сторонний электронный адрес. Если ваш адрес электронной почты заканчивается на outlook.com, hotmail.com, live.com или название другой службы Майкрософт, то при изменении пароля учетной записи Майкрософт также изменится пароль в службе электронной почты.

Однако для учетной записи Майкрософт можно использовать любой электронный адрес, в том числе сторонней почтовой веб-службы, такой как Yahoo! или Gmail. При выборе пароля для учетной записи Майкрософт пароль, необходимый для входа на сайт сторонней почтовой веб-службы, не изменяется.

Создайте графический пароль, чтобы входить в систему с помощью жестов, а не ввода символов.

Проведите пальцем от правого края экрана и нажмите кнопку Параметры, а затем выберите пункт Изменение параметров компьютера.
(Если вы используете мышь, найдите правый нижний угол экрана, переместите указатель мыши вверх, щелкните «Параметры» и выберите «Изменить параметры компьютера».)

Выберите элемент Учетные записи, а затем Параметры входа.

В разделе Графический пароль нажмите кнопку Добавить и следуйте указаниям.

Выбирайте для своей учетной записи пользователя такой пароль, который вы сможете запомнить. Он вам еще пригодится!

Конечно, можно записать пароль и хранить его в надежном месте. Тем не менее не стоит приклеивать бумажку с паролем на обратную сторону ноутбука или внутри выдвижного ящика стола. Если вы все-таки решили записать пароль, храните его отдельно от компьютера.

Для большей безопасности рекомендуется использовать разные пароли для разных целей. Например, разумно пользоваться совершенно непохожими паролями для учетной записи в социальной сети и для интернет-банка.

Если вы забыли или потеряли пароль, можно попробовать сбросить или восстановить его несколькими способами. Дополнительные сведения о том, как сбросить или восстановить пароль, представлены в разделе Сброс пароля выше.

Сброс пароля

Компьютер введен в домен

Чтобы начать работу, панель управления,выберите «Учетные записи пользователей», выберите «Учетные записи пользователей», а затем выберите «Управление учетной записью пользователя». Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или подскакийте его.

На вкладке «Пользователи» в разделе Пользователи этого компьютера нажмите имя нужной учетной записи пользователя и выберите Сброс пароля.

Введите новый пароль, подтвердите его и нажмите кнопку ОК.

Компьютер состоит в рабочей группе

При вводе неправильного пароля во время входа в Windows появляется сообщение о том, что пароль неправильный. Нажмите кнопку ОК, чтобы закрыть это сообщение.

Выберите Сброс пароля и вставьте диск или USB-устройство флэш-памяти для сброса пароля.

Следуйте инструкциям мастера сброса пароля, чтобы создать новый пароль.

Войдите в систему с новым паролем. Если вы снова забыли пароль, используйте тот же диск сброса пароля. Создавать новый диск не нужно.

Примечание: Если администратор сбросит ваш пароль, вы можете потерять доступ к некоторым файлам.

Изменение пароля

Нажмите клавиши CTRL+ ALT+ DELETE, а затем выберите пункт Изменить пароль.

Введите старый пароль, затем новый пароль (согласно инструкциям), после чего введите новый пароль еще раз для его подтверждения.

Нажмите клавишу Ввод.

Примечание: Если вы вошли в систему как администратор, вы можете создать или изменить пароли для всех учетных записей пользователей на компьютере.

Предупреждение: Если вы измените пароль для другой учетной записи с помощью учетной записи администратора, то все зашифрованные файлы или электронные сообщения этой другой учетной записи будут недоступны ее пользователю.