Как работает аудит событий смены паролей в Windows Server?

Аудит событий смены паролей в Windows Server позволяет фиксировать попытки изменения пароля и определять, кто их совершил. 15

Процесс начинается с включения аудита управления учётными записями: 15

1. Открыть консоль управления групповыми политиками (gpmc.msc). 5
2. Найти и отредактировать политику Default Domain Policy. 15
3. Перейти в раздел «Конфигурация компьютера» → «Политики» → «Параметры Windows» → «Параметры безопасности» → «Локальные политики» → «Политика аудита». 1
4. Включить политику «Аудит управления учётными записями» (Audit User Account Management). 15 Если нужно фиксировать в журнале как успешные, так и неудачные попытки смены пароля, выбрать опции «Успех» (Success) и «Неудача» (Failure). 15
5. Альтернативно настроить аудит в расширенной конфигурации: «Конфигурация компьютера» → «Политики» → «Параметры Windows» → «Параметры безопасности» → «Расширенная конфигурация аудита» → «Управление учётными записями». 1
6. Применить политику и дождаться обновления на клиентах (или выполнить gpupdate /force). 1

После включения аудита события сброса пароля фиксируются в журнале безопасности контроллера домена. 1

Для поиска событий нужно: 1

1. Открыть «Просмотр событий» (eventvwr) на контроллере домена. 1
2. Перейти в «Журналы Windows» → «Безопасность». 1
3. Щёлкнуть правой кнопкой мыши по журналу и выбрать «Фильтр текущего журнала». 1
4. В поле «Идентификатор события» указать 4724 (событие: An attempt was made to reset an account’s password). 1
5. Применить фильтр. 1

В отфильтрованных событиях отобразятся записи о сбросе пароля: 1

• Subject — учётная запись администратора, выполнившего сброс. 1
• Target Account — учётная запись пользователя, чей пароль был сброшен. 1

Для автоматизации поиска событий сброса пароля на всех контроллерах домена можно использовать PowerShell. 1