Localizar quando a senha foi alterada - Windows SBS 2011

3

Estou me encontrando em uma causa perdida, basicamente ao tentar acessar um dos servidores que gerenciei não consegui fazer o login, a senha estava incorreta ...

NÃO mudei essa senha e precisei usar uma conta de administrador local para redefinir a senha para fazer login novamente.

Os logs de eventos locais para "Segurança" não mostram nenhuma menção à alteração de senha ou à configuração de eventos - EVER. - Há mais de 233.000 logs, então acho que estou procurando no lugar errado.

No entanto, o comando Powershell: NET USER "loginid" | find /i "password last set" retornou a data e a hora de eu alterar alguns minutos antes.

Como posso ver uma lista completa de alterações de senha? Ou pelo menos o antes do meu?

    
por Samuel Nicholson 31.10.2013 / 19:18

2 respostas

3

Abra o Visualizador de Eventos e filtre essa ID de evento no log de segurança:

ID do Evento 628: conjunto de senhas da conta de usuário

Este evento indica que o usuário "chamador" redefiniu a senha do usuário "alvo". A redefinição de senha não requer conhecimento da senha atual. Veja o evento 627 para mudanças de senha pelo próprio usuário. Este evento também será acompanhado pelo evento 642 mostrando que o campo de data da última data de senha foi atualizado.

    
por 31.10.2013 / 19:39
0

De acordo com Ultimate Windows Security , você deve procurar os seguintes eventos no Security log de eventos:

  • 4723 O usuário alterou sua senha
  • 4724 Um operador de conta redefiniu uma senha

Qualquer um desses também acionará o evento 4738 Uma conta de usuário foi alterada.

Se a senha não atender aos requisitos de complexidade, o evento será registrado como uma falha de auditoria, em vez de um sucesso de auditoria.

Se o usuário não digitou a senha antiga corretamente, o evento acima não será registrado, no entanto, em um controlador de domínio, você receberá um evento 4771 devido à falha de pré-autenticação do Kerberos.

    
por 25.07.2014 / 11:06