Come rilevare i cambiamenti delle password in Active Directory

Auditing Nativo

1. Esegui GPMC.msc (url2open.com/gpmc) → apri "Criteri di Dominio Predefiniti" → Configurazione del Computer → Criteri → Impostazioni di Windows → Impostazioni di Sicurezza → Criteri Locali → Criteri di Controllo:
   • Verifica la gestione degli account → Definisci → Successo e insuccesso.
2. Esegui GPMC.msc → apri "Criteri di Dominio Predefiniti" → Configurazione del Computer → Criteri → Impostazioni Windows → Impostazioni di Sicurezza → Registro Eventi → Definisci:
   • Imposta la dimensione massima del registro di sicurezza a 1GB
   • Metodo di conservazione per il registro di sicurezza per Sovrascrivere gli eventi secondo necessità
3. Apri Visualizzatore eventi e cerca nel registro Sicurezza gli id evento: 628/4724 – tentativo di reimpostazione della password da parte dell'amministratore e 627/4723 – tentativo di cambio password da parte dell'utente.

Netwrix Auditor per Active Directory

1. Esegui Netwrix Auditor → Vai su “Reports” → Apri “Active Directory” → Vai su “Active Directory Changes” → Seleziona “Password Resets by Administrator” o “User Password Changes” → Clicca su “View”.
2. Per ricevere rapporti via email regolarmente, seleziona l'opzione "Iscriviti" e definisci il programma e il destinatario.