Come rilevare le modifiche alla password dell'utente
in Active Directory

Inizia la tua prova gratuita

Nonostante sia bene imporre ai dipendenti di cambiare regolarmente le loro password, questa attività deve essere supervisionata. Le modifiche o le reimpostazioni delle password non monitorate da parte di un utente interno non autorizzato potrebbero portare a una grave violazione della sicurezza. Gli amministratori devono tenere d'occhio le modifiche e le reimpostazioni delle password per assicurarsi che siano autorizzate e per mantenere sicuro il proprio ambiente Active Directory (AD). In questa documentazione si apprenderà come controllare le attività di modifica della password in AD.

Controllo nativo di Windows
ADAudit Plus

I passaggi per abilitare il controllo usando la Console Gestione Criteri di gruppo (GPMC):

Esegui le seguenti azioni sul controller di dominio (DC):

Premi Start, cerca e apri la Console Gestione Criteri di gruppo oppure esegui il comando gpmc.msc.

Come monitorare l'attività del computer in Active Directory

Clicca con il pulsante destro del mouse sul dominio o sull'unità organizzativa (OU) che vuoi controllare e clicca su Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui. Se hai già creato un oggetto Criteri di gruppo, vai al passaggio 4.

Assegna un nome all'oggetto Criteri di gruppo.
Clicca con il pulsante destro del mouse sull'oggetto Criteri di gruppo e scegli Modifica.

Nell'Editor Gestione Criteri di gruppo, nel riquadro a sinistra, passa a Configurazione computer → Impostazioni di Windows → Impostazioni sicurezza → Configurazione avanzata dei criteri di controllo → Criteri di controllo di sistema → Gestione account.

Nel riquadro di destra, clicca su Controlla Gestione account utente e seleziona le caselle accanto a Configura gli eventi di controllo seguenti; Operazione riuscita ed Errore.

Clicca su Applica, quindi OK.
Torna alla Console Gestione Criteri di gruppo e, nel riquadro di sinistra, clicca con il pulsante destro del mouse sull'unità organizzativa a cui è stato collegato l'oggetto Criteri di gruppo, quindi clicca su Aggiornamento criteri di gruppo Questo passaggio assicura che le nuove impostazioni dei Criteri di gruppo vengano applicate immediatamente, anziché attendere il successivo aggiornamento pianificato.

Passaggi per visualizzare questi eventi utilizzando il Visualizzatore eventi:

Una volta completati i passaggi precedenti, gli eventi verranno registrati nel registro eventi. Questi possono essere visualizzati nel Visualizzatore eventi seguendo i passaggi seguenti:

Premi Start, cerca Visualizzatore eventi e clicca per aprirlo.
Nel riquadro sinistro della finestra del Visualizzatore eventi, vai a Registri di Windows → Sicurezza.
Qui troverai un elenco di tutti gli eventi di sicurezza registrati nel sistema.

Nel riquadro destro, sotto Sicurezza, clicca su Filtro registro corrente.

Nella finestra popup, inserisci l'ID evento* desiderato nel campo <Tutti gli ID evento>.

*I seguenti ID evento vengono registrati quando si verifica il rispettivo evento:
4723: quando un utente tenta di modificare la propria password.
4724: quando un amministratore tenta di reimpostare la password di un altro utente.

Clicca su OK. In questo modo verrà visualizzato un elenco delle occorrenze dell'ID evento immesso.
Clicca due volte sull'ID evento per visualizzarne le proprietà (descrizione).

Il controllo delle modifiche delle password tramite il metodo manuale di cui sopra diventa noioso, poiché ogni organizzazione ha a che fare con centinaia di migliaia di account utente.

ADAudit Plus, uno strumento completo di controllo di Active Directory, consente agli amministratori di controllare facilmente le modifiche alle password e altre modifiche di Active Directory.

Scarica la versione di prova gratuita di 30 giorni

Passaggi per rilevare le modifiche della password dell'utente utilizzando ADAudit Plus di ManageEngine

Scarica e installa ADAudit Plus.
Vedi i passaggi per configurare il controllo sul tuo controller di dominio qui.
Apri la console web di ADAudit Plus e accedi come amministratore.
Passa a Reports → User Management → Recently Password Changed Users.

Visualizza le modifiche recenti alle password e controlla le attività degli utenti che cambiano frequentemente le loro password.

Un numero elevato di modifiche della password non riuscite potrebbe indicare un attacco di forza bruta

Visualizza le modifiche recenti alle password e controlla le attività degli utenti che cambiano frequentemente le loro password.
Un numero elevato di modifiche della password non riuscite potrebbe indicare un attacco di forza bruta

Per visualizzare i report per le modifiche delle password categorizzate per utente, accedi a Reports → User Management → User Based Password Changes.

Analizza i tentativi riusciti e non riusciti di modificare le password

Passa a Reports → User Management → Recently Password Set Users.

Visualizza le modifiche recenti alle password e individua gli utenti che reimpostano le password più frequentemente.

Visualizza chi ha cambiato la password, per chi e se l'azione è andata a buon fine o meno.

Visualizza le modifiche recenti alle password e individua gli utenti che reimpostano le password più frequentemente.
Visualizza chi ha cambiato la password, per chi e se l'azione è andata a buon fine o meno.

Per visualizzare i report per la reimpostazione delle password classificati per utente, accedi a Reports → User Management → User Based Password Reset.

Analizza quale account utente è stato reimpostato più frequentemente in un determinato periodo di tempo

Vantaggi dell'utilizzo di ADAudit Plus rispetto al controllo nativo:

Visualizza i report per le modifiche e le reimpostazioni delle password che mostrano la data e l'ora esatte dell'azione, chi ha eseguito la reimpostazione e altro ancora.
Rileva, rintraccia l'origine e risolvi i blocchi degli account AD più velocemente con Account Lockout Analyzer di ADAudit Plus.
Soddisfa normative come SOX, HIPAA, GLBA, PCI DSS, FISMA e GDPR con i report di ADAudit Plus.