Eu sei que a pergunta é estranhamente formulada, e eu também percebo que haverá vários fatores nisto que não levam a uma única resposta definitiva.
Eu pareço lembrar no passado, ter serviços que foram iniciados e francamente "apenas mantidos em execução", até que o serviço (ou servidor) fosse reiniciado - e só então foi descoberto que esquecemos de atualizar uma senha.
Estou investigando um incidente em que um serviço do Windows falhou recentemente. Com base em algumas outras informações questionáveis, uma das suposições sendo feitas é que uma alteração de senha foi feita na conta de serviço e que, quando a alteração de senha ocorreu, isso causou a falha do serviço. Um problema em esclarecer isso é que estou sendo trazido para este dia mais tarde, quando muitos logs primários (logs de eventos do Windows, logs do controlador de domínio) não estão mais diretamente disponíveis, e estamos confiando em logs downstream (SIEM) s nem sempre são confiáveis.
Uma coisa que estou tentando ressaltar é que, mesmo supondo que uma alteração de senha tenha ocorrido (o que não é comprovado no log acima) - suspender a senha de uma conta de serviço de domínio não "quebra" imediatamente o serviço , que as autenticações têm uma certa duração e que a vida pode ser muito mais longa do que o esperado. (Duração da passagem do Kerberos, etc.) Mas honestamente, embora eu saiba disso em geral, não estou concretamente claro sobre os fatores aqui. Eu também acredito que a autorização pode continuar por algum tempo, mesmo com a alteração da senha subjacente.
Alguém pode me ajudar a esclarecer isso? O que eu posso ver no meu ambiente Windows por quanto tempo um serviço "sobreviveria" a uma mudança de senha?