Главная » Linux

Log password change windows

Содержание
  1. 4723(S, F): предпринята попытка изменить пароль учетной записи. 4723(S, F): An attempt was made to change an account’s password.
  2. Рекомендации по контролю безопасности Security Monitoring Recommendations
  3. Интерактивный вход в систему: запрос пользователя на изменение паролей перед истечением срока действия Interactive log on: Prompt the user to change passwords before expiration
  4. Справочные материалы Reference
  5. Возможные значения Possible values
  6. Рекомендации Best practices
  7. Расположение Location
  8. Значения по умолчанию Default values
  9. Управление политикой Policy management
  10. Необходимость перезапуска Restart requirement
  11. Вопросы конфликтов политик Policy conflict considerations
  12. Групповая политика Group Policy
  13. Вопросы безопасности Security considerations
  14. Уязвимость Vulnerability
  15. Противодействие Countermeasure
  16. Возможное влияние Potential impact

4723(S, F): предпринята попытка изменить пароль учетной записи. 4723(S, F): An attempt was made to change an account’s password.

Область применения Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

* Описание события: Event Description: *

Это событие создается каждый раз, когда пользователь пытается изменить свой пароль. This event generates every time a user attempts to change his or her password.

Для учетных записей пользователей это событие создается на контроллерах домена, серверах-членах и рабочих станциях. For user accounts, this event generates on domain controllers, member servers, and workstations.

Для учетных записей домена событие Failure создается, если новый пароль не соответствует политике паролей. For domain accounts, a Failure event generates if new password fails to meet the password policy.

Для локальных учетных записей создается событие сбоя, если новый пароль не соответствует политике паролей или старый пароль не соответствует. For local accounts, a Failure event generates if new password fails to meet the password policy or old password is wrong.

Если старый пароль был неправильным, для учетных записей домена на контроллере домена будет создан код»4771:ошибка предварительной проверки подлинности Kerberos» или»4776:компьютер попытался проверить учетные данные для учетной записи», если на контроллере домена были включены определенные подкатегории. For domain accounts if old password was wrong, then “4771: Kerberos pre-authentication failed” or “4776: The computer attempted to validate the credentials for an account” will be generated on domain controller if specific subcategories were enabled on it.

Как правило, вы увидите 4723 события с одинаковыми _Subject\Security ID* и Target Account\Security ID полей, что является обычным поведением. Typically you will see 4723 events with the same _Subject\Security ID* and Target Account\Security ID fields, which is normal behavior.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

*Обязательные роли сервера:* нет. Required Server Roles: None.

*Минимальная версия ОС:* Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

* Описания полей: Field Descriptions: *

  • Security ID [Type = SID]: SID учетной записи, которая попыталась изменить пароль учетной записи целевого пользователя. Security ID [Type = SID]: SID of account that made an attempt to change Target’s Account password. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.

Примечание. . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Note A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.

Имя учетной записи [Type = UnicodeString] имя учетной записи, которая попыталась изменить пароль учетной записи целевого пользователя. Account Name [Type = UnicodeString]: the name of the account that made an attempt to change Target’s Account password.

Читайте также:  Azure windows virtual desktop

Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Account Domain [Type = UnicodeString]: subject’s domain or computer name. Форматы различаются и включают в себя следующее: Formats vary, and include the following:

Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO

Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL

Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.” Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

Целевая учетная запись: учетная запись, для которой запросято изменение пароля. Target Account: account for which the password change was requested.

Security ID [Type = SID]: SID of account for which the password change was requested. Security ID [Type = SID]: SID of account for which the password change was requested. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.

Имя учетной записи [Type = UnicodeString] имя учетной записи, для которой запрашивается смена пароля. Account Name [Type = UnicodeString]: the name of the account for which the password change was requested.

Домен учетной записи [Type = UnicodeString]: домен или имя компьютера целевой учетной записи. Account Domain [Type = UnicodeString]: target account’s domain or computer name. Форматы различаются и включают в себя следующее: Formats vary, and include the following:

Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO

Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL

Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

Читайте также:  Linux information about cpu

Дополнительные сведения: Additional Information:

  • Privileges [Type = UnicodeString]: список привилегий пользователя, которые использовались во время операции, например SeBackupPrivilege. Privileges [Type = UnicodeString]: the list of user privileges which were used during the operation, for example, SeBackupPrivilege. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Полный список привилегий пользователя см. в таблице 8. See full list of user privileges in “Table 8. Привилегии пользователя.». User Privileges.”.

Рекомендации по контролю безопасности Security Monitoring Recommendations

Для 4723(S, F): попытка изменить пароль учетной записи. For 4723(S, F): An attempt was made to change an account’s password.

Если у вас есть высококлассная учетная запись домена или локального пользователя, для которой необходимо отслеживать каждую попытку смены пароля, отслеживайте все события 4723 с помощью соответствующей учетной записи «Целевая учетная запись\ИД безопасности». If you have a high-value domain or local user account for which you need to monitor every password change attempt, monitor all 4723 events with the “Target Account\Security ID” that corresponds to the account.

Если у вас есть высококлассная учетная запись домена или локальной учетной записи, для которой необходимо отслеживать каждое изменение, отслеживайте все события 4723 с помощью соответствующей учетной записи «Целевая учетная запись\ИД безопасности». If you have a high-value domain or local account for which you need to monitor every change, monitor all 4723 events with the “Target Account\Security ID” that corresponds to the account.

Если у вас есть доменные или локальные учетные записи, для которых пароль никогда не следует менять, вы можете отслеживать все события 4723 с помощью соответствующей учетной записи «Целевая учетная запись\ИД безопасности». If you have domain or local accounts for which the password should never be changed, you can monitor all 4723 events with the “Target Account\Security ID” that corresponds to the account.

Интерактивный вход в систему: запрос пользователя на изменение паролей перед истечением срока действия Interactive log on: Prompt the user to change passwords before expiration

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление **** политиками и вопросы безопасности для интерактивного логина: запрос пользователя на смену пароля перед истечением срока действия параметра политики безопасности. This article describes the best practices, location, values, policy management, and security considerations for the Interactive logon: Prompt user to change password before expiration security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, когда пользователи будут предупреждены о том, что срок действия их паролей истекает. This policy setting determines when users are warned that their passwords are about to expire. Это предупреждение дает пользователям время выбрать надежный пароль до истечения срока действия текущего пароля, чтобы избежать потери доступа к системе. This warning gives users time to select a strong password before their current password expires to avoid losing system access.

Возможные значения Possible values

  • Определяемая пользователем количество дней от 0 до 999 A user-defined number of days from 0 through 999
  • Не определено Not defined

Рекомендации Best practices

  • Настройте периодическое истечении срока действия паролей пользователей. Configure user passwords to expire periodically. Пользователям необходимо предупредить о том, что срок действия пароля истекает или они могут быть заблокированы в системе. Users need warning that their password is going to expire, or they might get locked out of the system.
  • Настройка интерактивного учетного записи для пользователя: запрос на изменение пароля до истечения срока действия на пять дней. Set Interactive logon: Prompt user to change password before expiration to five days. Если срок действия пароля истекает через пять или менее дней, пользователи будут видеть диалоговое окно при каждом входе в домен. When their password expiration date is five or fewer days away, users will see a dialog box each time that they log on to the domain.
  • Если для политики установлено нулевое значение, при входе пользователя в систему предупреждение об истечении срока действия пароля не будет. When you set the policy to zero, there is no password expiration warning when the user logs on. Во время продолжительного сеанса доступа к учетной записи вы получите предупреждение в день истечении срока действия пароля или при истечении срока действия пароля. During a long-running logon session, you would get the warning on the day the password expires or when it already has expired.
Читайте также:  Пропали цветовые схемы windows

Расположение Location

Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены значения по умолчанию для этой политики. The following table lists the default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or Group Policy Object Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Пять дней Five days
Эффективные параметры по умолчанию для DC DC Effective Default Settings Пять дней Five days
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Пять дней Five days
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Пять дней Five days

Управление политикой Policy management

В этом разделе описываются функции и средства, которые можно использовать для управления этой политикой. This section describes features and tools that you can use to manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства при их локальном экономии или распространении с помощью групповой политики. Changes to this policy become effective without a device restart when they’re saved locally or distributed through Group Policy.

Вопросы конфликтов политик Policy conflict considerations

Групповая политика Group Policy

Настройте этот параметр политики с помощью консоли управления групповыми политиками (GPMC) для распространения через объекты групповой политики (GGPOs). Configure this policy setting by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). Если эта политика не содержится в распределенном GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локализованная политика безопасности». If this policy isn’t contained in a distributed GPO, it can be configured on the local computer through the Local Security Policy snap-in.

Вопросы безопасности Security considerations

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать меру противодействия, а также возможные отрицательные последствия этой меры. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and possible negative consequences of the countermeasure.

Уязвимость Vulnerability

Если срок действия паролей пользователей в организации периодически истекает, перед истечением срока действия их необходимо предупредить. If user passwords are configured to expire periodically in your organization, users need to be warned before expiration. В противном случае они могут случайно заблокироваться на устройствах. Otherwise, they may get locked out of the devices inadvertently.

Противодействие Countermeasure

Настройте интерактивный учетной записи для пользователя: запрос на изменение пароля до истечения срока действия на пять дней. Configure the Interactive logon: Prompt user to change password before expiration setting to five days.

Возможное влияние Potential impact

Пользователи видят диалоговое окно с запросом на изменение пароля при каждом входе в домен, когда срок действия пароля истекает через 5 или менее дней. Users see a dialog-box that prompts them to change their password each time that they log on to the domain when their password is configured to expire in 5 or fewer days.

Оцените статью
© 2024 Советы по настройке компьютера