ADAudit Plus » Cómo verificar el estado de salud de su Active Directory

ID de evento de Windows 4724: se intentó restablecer la contraseña de una cuenta

Introducción

El ID de evento 4724 se genera cada vez que una cuenta intenta restablecer la contraseña de otra cuenta (tanto de usuario como de equipo).
Nota: El ID de evento 4723 se registra cada vez que un usuario intenta cambiar su propia contraseña. (Consulte la información detallada)

Si la nueva contraseña no cumple con la directiva de contraseñas del dominio (o la directiva de contraseñas local en las cuentas de usuario locales), se registra un evento de error.

No se genera ningún evento cuando se intenta con una cuenta de usuario que no tiene permiso para hacerlo.

Descripción de los campos de eventos.

Figura 1. Id. de evento 4724: pestaña General en Propiedades del evento.

Event ID 4724 — General tab under Event Properties.

Figura 2. Id. de evento 4724: pestaña Detalles en Propiedades del evento.

Event ID 4724 — Details tab under Event Properties.

user-management-reports

ID de seguridad: El SID de la cuenta que intentó restablecer la contraseña de la cuenta de destino.

Nombre de cuenta: El nombre de la cuenta que intentó restablecer la contraseña de la cuenta de destino

Dominio de cuenta: El dominio del asunto o el nombre del equipo. Los formatos pueden variar para incluir el nombre NETBIOS, el nombre de dominio completo en minúsculas o el nombre de dominio completo en mayúsculas.
Para entidades de seguridad conocidas, este campo es "NT AUTHORITY", y para cuentas de usuarios locales, este campo contendrá el nombre del equipo al que pertenece esta cuenta.

ID de Inicio de sesión: El ID de inicio de sesión le ayuda a correlacionar este evento con eventos recientes que pueden contener el mismo ID de inicio de sesión (p. ej. ID de evento 4624).

ID de seguridad: El SID de la cuenta para la que se solicitó el restablecimiento de contraseña.

Nombre de cuenta: El nombre de la cuenta para la que se solicitó el restablecimiento de contraseña.

Dominio de cuenta:El dominio de la cuenta de destino o el nombre del equipo. Los formatos pueden variar para incluir el nombre NETBIOS, el nombre de dominio completo en minúsculas o el nombre de dominio completo en mayúsculas.
Para entidades de seguridad conocidas, este campo es "NT AUTHORITY", y para cuentas de usuarios locales, este campo contendrá el nombre del equipo al que pertenece esta cuenta.

Monitorización del ID de evento 4724.

  • Administradores fraudulentos que intentan restablecer contraseñas para obtener acceso a recursos confidenciales a los que normalmente no tienen acceso.
  • Cuentas que tienen un ID de seguridad que corresponde a cuentas de alto valor, incluidos administradores, administradores locales integrados, administradores de dominio y cuentas de servicio.
  • Cuentas que tienen que ser monitorizadas para cada cambio. Esta lista puede variar entre empresas e industrias.
  • Cuentas locales, porque sus contraseñas no suelen cambiar con frecuencia, y esto podría servir como indicador de actividad maliciosa.

La necesidad de una solución de auditoría.

Las soluciones de auditoría como ADAudit Plus ofrecen monitorización en tiempo real, análisis e informes de comportamiento de usuarios y entidades; juntas, estas características ayudan a proteger su entorno de AD.

Monitorización continua en tiempo real.

Aunque puede adjuntar una tarea al registro de seguridad y pedirle a Windows que le envíe un correo electrónico, está limitado a simplemente recibir un correo electrónico cada vez que se genera el ID de evento 4724. Windows también carece de la capacidad de aplicar los filtros más pormenorizados que se requieren para cumplir con las recomendaciones de seguridad.

Por ejemplo, Windows puede enviarle un correo electrónico cada vez que se genera el ID de evento 4724, pero no puede diferenciar entre cuentas normales y de alto valor. Recibir alertas específicamente para cuentas de alto valor reduce la posibilidad de perderse notificaciones críticas entre el montón de alertas de falsos positivos.

Con una herramienta como ADAudit Plus, no solo puede aplicar filtros pormenorizados para centrarse en amenazas reales, sino que también puede recibir notificaciones en tiempo real a través de SMS.

Análisis del comportamiento de usuarios y entidades (UEBA).

Saque provecho de técnicas avanzadas de análisis estadístico y aprendizaje automático para detectar comportamientos anómalos dentro de la red.

Informes de cumplimiento normativo.

Cumpla con diversos requisitos normativos, tales como SOX, HIPAA, PCI, FISMA, GLBA y el reglamento RGPD, mediante informes de cumplimiento normativo listos para usar.

Auténtico uso inmediato: no hay nada más simple que esto.

Pase de descargar ADAudit Plus a recibir alertas en tiempo real en menos de 30 minutos. Con más de 200 informes y alertas preconfigurados, ADAudit Plus garantiza que su Active Directory se mantenga seguro y en cumplimiento..

Comience su prueba gratuita

 

Los 8 más
Ventanas críticas
ID de eventos de seguridad

Al hacer clic en 'Descargar guía gratuita', acepta el procesamiento de datos personales de acuerdo con las Política de Privacidad.

 
 
 
 
Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active Directory Workstation Servidores de archivos Servidores Windows  Cumplimiento Productos relacionados