Come vedere chi reimposta le password utente in AD

In molte occasioni, all'interno dei nostri ruoli di personale IT, ci troviamo di fronte a situazioni di sicurezza come queste. il tentativi non autorizzati di accedere al nostro dominio per accedervi ed eseguire attività non consentite o autorizzate e che possono compromettere gravemente le prestazioni del sistema e di tutti gli oggetti che fanno parte dell'organizzazione.

Sappiamo che gli intrusi o coloro che vogliono accedere al sistema in modo non autorizzato cercano di entrare sia dall'esterno che dall'organizzazione stessa, cercando di impersonare uno qualsiasi degli utenti attivi dell'organizzazione, motivo per cui questa volta analizzeremo come possiamo monitorare chi ha provato a reimpostare la password di un utente (Ovviamente dobbiamo convalidare con l'utente se non era lui) e in questo modo adottare misure di sicurezza o quelle pertinenti in base alla gravità della situazione.

Per questa analisi useremo un ambiente Windows Server 2016.

1. Apertura dell'editor criteri di gruppo GPO


Il primo passo che faremo è aprire il Group Policy Manager utilizzando una delle seguenti opzioni:
  • Inserimento del percorso:

inizio / Tutte le applicazioni / Strumenti di gestione / Gestione criteri di gruppo

  • Utilizzo del comando Esegui (combinazione di tasti INGRANDIRE

    Da lì modificheremo il policy relativa a tentativi e login.

    2. Modifica dei criteri di gruppo


    Per procedere con l'edizione della policy di gruppo andremo a visualizzare il nostro dominio, in questo caso solvetic.com, e faremo clic con il tasto destro su Criterio di dominio predefinito e lì selezioneremo l'opzione Modificare.

    INGRANDIRE

    Nella finestra visualizzata andremo al seguente percorso:

    • Configurazione dell'attrezzatura
    • Direttive
    • Impostazioni di Windows
    • Impostazioni di sicurezza
    • Direttive locali

    INGRANDIRE

    Facciamo doppio clic su Politica di controllo e individueremo la polizza denominata "Controllo della gestione dell'account”. Vedremo che il valore predefinito è "Non è definito”. Fare doppio clic su di esso o fare clic con il pulsante destro del mouse e selezionare Proprietà (modifica) e vedremo che viene visualizzata la seguente finestra:

    3. Abilitazione della politica di audit


    Per abilitare questo criterio, seleziona la casella "definire questa impostazione dei criteri”E segnare le caselle che riteniamo necessarie (Corretto/Errore).

    Una volta definiti questi valori, premere Applicare e successivamente Accettare per salvare le modifiche. Possiamo vedere che la nostra politica è stata modificata in modo soddisfacente.

    INGRANDIRE

    4. Verifica dei tentativi di modifica della password


    Possiamo forzare le policy sul dominio aprendo CMD e immettendo il comando:
     gpupdate / force
    In modo che le politiche siano aggiornate.

    Per verificare che l'utente abbia provato a modificare la password, apriremo il visualizzatore eventi utilizzando una delle seguenti opzioni:

    • Dal comando Esegui inserendo il termine:
       eventovwr
      E premendo accedere o Accettare.
    • Dal menu Strumenti nel amministratore del server e selezionando l'opzione Visualizzatore eventi.

    Vedremo che si apre la seguente finestra:

    INGRANDIRE

    Selezioneremo, dal lato sinistro, l'opzione Windows / Registri di sicurezza. Dopo aver selezionato Sicurezza sul lato destro, scegliamo l'opzione Filtra record corrente e nel campo Tutti gli ID evento inseriremo l'ID 4724 che è un ID di sicurezza relativo ai tentativi di modifica della password.

    premiamo Accettare per vedere tutti gli eventi associati. Il risultato ottenuto sarà il seguente:

    INGRANDIRE

    Possiamo vedere la data e l'ora esatte dell'evento che indicano che si trattava di un tentativo di reimpostazione della password. Possiamo fare doppio clic sull'evento per vedere maggiori dettagli al riguardo.

    Notiamo che c'è l'account che ha provato a fare la modifica, in questo caso SolvAdm e l'account a cui è stata tentata la modifica, in questo esempio risolutivo2.

    In questo modo possiamo controlla tutti i tentativi di modificare le password degli utenti, sia corretto che errato e in questo modo visualizzare in dettaglio chi e quando ha apportato o tentato di apportare il cambiamento e quindi prendere le misure necessarie.

    Se vuoi entrare nella filiale di audit di analisi forense, vi lasciamo un link su uno strumento pratico ampiamente utilizzato per questo.

    Controllo forense di Windows

wave wave wave wave wave