Objetivo
Esse post tem como objetivo identificar o login que realizou a alteração de senha com sucesso de um determinado usuário de servidores em WORKGROUP e Member Server. Nosso teste será realizado em um servidor em WORKGROUP de nome SERVER1.
Pré-requisitos:
É necessário que a auditoria de gerenciamento de objetos esteja habilitada no servidor, seja através de GPO ou diretiva local (servidores em WORKGROUP), para verificar esse pré-requisito consultar o post Verificação de Auditoria – GPO e WORKGROUP
Procedimento – Alteração de senha com sucesso
Vamos simular a alteração da senha do usuário Usopp.
Execute o Event Viewer, navegue até Windows Logs\Security. Clique com o botão direito em Security e selecione Filter Current Log…
No campo Include/Excludes Event IDs informe os IDs dos eventos que neste caso serão 4723 e 4724. Os eventos devem ser separados por vírgula. Clique em OK.
Os eventos 4723 e 4724 serão filtrados. Procure o horário aproximado que o cliente reportou a solicitação e abra o evento.
No evento é possível verificar se a ação foi com sucesso, o usuário que alterou a senha e o usuário que a senha foi alterada. Neste caso o usuário administrator conseguiu alterar a senha do usuário usopp com sucesso. Em Subject é o usuário que realizou a ação, em Target Account é o usuário que sofreu a ação.
Concluímos que através desses procedimentos é possível identificar um usuário que alterou a senha de outro com sucesso.