• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Как определить точку откуда произошло событие смены пароля в AD?

V11

New member
07.04.2020
2
0
BIT
36
Добрый день!

В Active Directory часто появляются события смены пароля УЗ такого типа (Имя учетной записи: АНОНИМНЫЙ ВХОД)


Category:"13824",CategoryString:"User Account Management",EntryType:"Аудит успеха",EntryCode:"4738",EntryId:"4738",InstanceId:"4738",MachineName:"ad.somedomain.local",Message:"Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3E6 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-2877411002-2600045301-3184470670-1128 Имя учетной записи: testuser1 Домен учетной записи: SOMEDOMAIN Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: 15.03.2023 10:48:03 Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -",Source:"Microsoft-Windows-Security-Auditing",UserName:"",TimeGenerated:"2023-03-15 10:48:03",TimeWritten:"2023-03-15 10:48:03",LogName:"Security"


Правильно ли я понимаю, что пользователь сам меняет тут свой пароль, просто до аутентификации (процессом с экрана приветствия) поэтому отображается АНОНИМНЫЙ ВХОД?

Как узнать на какой станции в доменной сети это произошло?
 

Monkey

One Level
10.09.2024
5
4
BIT
40

Держи ответ от gpt может поможет тебе
1. Проверка журналов событий на контроллере домена

На контроллере домена вы можете использовать "Просмотр событий" для анализа журналов. Вот как это сделать:
  • Откройте "Просмотр событий" (Event Viewer).
  • Перейдите в раздел "Журналы Windows" > "Безопасность".
  • Ищите события с кодами 4738 (изменение учетной записи пользователя), 4624 (успешный вход) и 4768 (запрос на билет Kerberos).

2. Фильтрация по времени

Убедитесь, что вы смотрите события, произошедшие в тот же период времени, что и событие 4738. Например, если событие произошло в 10:48:03, посмотрите на события, которые произошли в диапазоне нескольких минут до и после этого времени.

3. Анализ событий 4624 и 4768

  • Событие 4624 (Успешный вход):
    • Это событие фиксирует каждый успешный вход в систему. В его деталях вы найдете поле "Компьютер", которое указывает, с какой рабочей станции был осуществлен вход.
    • Важно обратить внимание на поле "Идентификатор входа", чтобы убедиться, что оно соответствует идентификатору входа (Logon ID) в событии 4738.
  • Событие 4768 (Запрос на билет Kerberos):
    • Это событие фиксирует запросы на билеты Kerberos. Оно также содержит информацию о рабочей станции и пользователе.
    • В поле "Компьютер" будет указано, с какого устройства был выполнен запрос.

4. Использование PowerShell для анализа событий

Вы можете использовать PowerShell для получения информации о событиях. Вот пример команды, которая ищет события 4624 и 4768 за указанный временной диапазон:

# Задайте временной диапазон
$startTime = Get-Date "2023-03-15 10:00:00"
$endTime = Get-Date "2023-03-15 11:00:00"

# Получение событий 4624
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$startTime; EndTime=$endTime} | Select-Object TimeCreated, Message

# Получение событий 4768
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768; StartTime=$startTime; EndTime=$endTime} | Select-Object TimeCreated, Message

5. Настройка аудита

Если вы хотите отслеживать изменения паролей более детально в будущем, рассмотрите возможность настройки аудита:
  • Откройте "Управление политиками безопасности" (Group Policy Management).
  • Перейдите в раздел "Политики" > "Политики Windows" > "Настройки безопасности" > "Локальные политики" > "Политика аудита".
  • Включите аудит для "Изменение учетной записи пользователя".
Это позволит вам фиксировать информацию о всех изменениях учетных записей, включая изменения паролей, с указанием рабочего места
 

V11

New member
07.04.2020
2
0
BIT
36
все равно непонятно, ведь даже если из консоли админа АД сбросить пароль пользователю появляется 2 сообщения:

Category:"13824",CategoryString:"User Account Management",EntryType:"Аудит успеха",EntryCode:"4738",EntryId:"4738",InstanceId:"4738",MachineName:"ad.SOMEDOMAIN.local",Message:"Изменена учетная запись пользователя.Субъект: Идентификатор безопасности: S-1-5-21-2877411002-2600045301-3184470670-500 Имя учетной записи: Администратор Домен учетной записи: SOMEDOMAIN Идентификатор входа: 0x7C1C3Целевая учетная запись: Идентификатор безопасности: S-1-5-21-2877411002-2600045301-3184470670-1601 Имя учетной записи: klo1 Домен учетной записи: SOMEDOMAIN Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: <никогда> Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: -Дополнительные сведения: Привилегии: -",Source:"Microsoft-Windows-Security-Auditing",UserName:"",TimeGenerated:"2024-09-23 11:56:47",TimeWritten:"2024-09-23 11:56:47",LogName:"Security"
и
Category:"13824",CategoryString:"User Account Management",EntryType:"Аудит успеха",EntryCode:"4738",EntryId:"4738",InstanceId:"4738",MachineName:"ad.SOMEDOMAIN.local",Message:"Изменена учетная запись пользователя.Субъект: Идентификатор безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3E6Целевая учетная запись: Идентификатор безопасности: S-1-5-21-2877411002-2600045301-3184470670-1601 Имя учетной записи: klo1 Домен учетной записи: SOMEDOMAIN змененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: 23.09.2024 11:56:47 Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: -Дополнительные сведения: Привилегии: -",Source:"Microsoft-Windows-Security-Auditing",UserName:"",TimeGenerated:"2024-09-23 11:56:47",TimeWritten:"2024-09-23 11:56:47",LogName:"Security"

logonid разные, что сделал администратор в итоге непонятно
 

Monkey

One Level
10.09.2024
5
4
BIT
40
возможно сбросил пароль для klo1? а служба под анонимом попыталась установить новый
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!