如何审核Active Directory中的密码更改

如今的管理员当然有很多工作要做，提高生态系统安全性仍然是重中之重。本地（尤其是远程）账户是访问关键信息的网关。

最初的安全层对于保护一个人的整个基础架构至关重要。不幸的是，密码的个人性质有其缺点。密码很容易忘记。它们也可能太简单了。许多公司不执行严格的密码创建要求。这是Active Directory密码策略的来源。

为什么要更改用户密码？

我们谈到了许多密码更改的最无害的理由：健忘。用户可能由于多种原因而无法记住登录凭据。验证（或快速咨询台聊天）后，Active Directory管理员可以快速恢复一个人的账户访问权限。否则生产率可能会受到影响。

安全是另一个驱动因素，尽管在三个不同方面。知名黑客安全专家郭盛华透露：“基础设施面临许多威胁，攻击，数据泄漏和防护措施不足可能会使密码暴露在外，更改受到破坏的密码可能会阻止不良行为者。”

其次，尽管存在密码要求，但给定的密码可能有点容易猜到。对于试图猜测密码或发动蛮力攻击的局外人，员工可能会使用被认为是“垂头丧气”的术语。例如，Apple员工应避免在密码中使用包含“ Apple”或“ Steve Jobs”的字符串。

第三，各组织之间的工作角色和就业状况定期发生变化。这些决定了员工可以访问哪些资源。员工不能查看不适用的文档或数据或使用某些程序，这一点很重要。此外，管理员需要终止前雇员的内部账户。尽管从技术上讲不是密码更改，但按照我们的设想，这涉及删除一个人的凭据。

为什么要记录历史密码更改？

密码更改在IT领域相当普遍。但是，监视和记录更改可以帮助管理员检测钓鱼活动。密码更改只能通过用户或Active Directory管理员进行。另一个参与者更改密码可能表示黑客入侵。这些活动日志可以帮助团队跟踪可疑事件或减轻即将发生的灾难。

黑客能会执行密码重置，暂时巩固其账户访问权限，同时将合法用户拒之门外。密码更改历史记录可以防止泄漏并最大程度地减少停机时间。

如何在Active Directory中更改用户密码

Active Directory是针对Windows网络量身定制的。因此，AD管理员可以通过多种方式更改用户密码。

这可以直接在Active Directory中完成。通过直接操作AD数据库的方法，可以在AD外部更改密码。我们将首先讨论前者。

使用Active Directory用户和计算机（ADUC）

ADUC是一个补充GUI，允许管理员与Active Directory组件进行交互。该软件支持远程对象（用户和设备）管理。20年来，ADUC一直是一种中心工具，对于疲倦的PowerShell或其他方面，ADUC仍然是用户友好的选择。

ADUC不是计算机上预先安装的默认组件。而是，用户需要下载并安装远程服务器管理工​​具（RSAT）。该接口捆绑了此较大的工具包。完成此步骤后，我们如何更改密码？

ADUC使管理员可以查看组或域中的单个用户。Microsoft声明ADUC使用Active Directory服务接口（ADSI）操作来设置密码。这有两种发生方式：通过轻型目录访问协议（LDAP）或通过NetUserChangePassword协议。LDAP需要SSL连接，以增强域和客户端之间的通信安全性。更改密码时，必须事先知道用户的先前密码。

使用PowerShell命令

特别是Windows用户可以键入Set-ADAccountPassword cmdlet并执行它。使用PowerShell的好处有两方面。高级用户可以将密码更改工作应用到现有的自动化系统中，从而可以在一定间隔内刷新密码。此外，管理员可以同时更改多个用户的密码。这对于黑客入侵或数据泄漏后的修复非常有用。

请注意，用户必须使用“导入模块ActiveDirectory”命令导入其Active Directory模块。这为AD cmdlet的使用打开了大门。管理员必须启用“重置密码”权限才能进行这些更改。

如何查看密码更改历史记录

有多种外部工具可用于审核Active Directory中的密码更改。但是，我们将重点介绍使用组策略管理控制台（GPMC）的本地路由。运行GPMC之后，管理员应执行以下操作：

使用以下路径浏览文件系统：默认域策略>计算机配置>策略> Windows设置>安全设置>本地策略>审核策略：审核账户管理。这将召唤两个标记为成功和失败的复选框。选中两个框，然后单击窗口右下方的“应用”。所有登录尝试将被记录。

在Windows设置>安全设置>事件日志下，将最大安全日志大小设置为1GB。这样可以长期捕获数据，而不会超出文件限制。

单击“安全日志的保留方法”后，根据需要选择“覆盖事件”。

打开事件日志并使用两个核心ID搜索事件：4724（尝试重置管理员密码）和4723（尝试重置用户密码）

人们可能还会看到事件代码4740（用户被锁定）或4767（用户账户被解锁）。

使用Specops uReset审核密码更改

Specops uReset是一种自助式密码重置解决方案，还可以帮助您随时注意密码更改。管理报告菜单提供与锁定账户和密码更改有关的统计数据。

重置uReset

Specops uReset简化了您监视密码更改的方式，甚至可以通过更新本地缓存的凭据来减少锁定，即使无法访问域控制器也是如此。（欢迎转载分享）