locked
Capire se un operatore modifica la sua password di accesso RRS feed

  • Domanda

  • Mi è successo che da un giorno all'altro non riuscivo più ad accedere ad un PC, poichè mi dava che la password dell'utente Administrator era errata. Il PC è installato presso un cliente, è possibile sapere se è stato un utente, magari un po' maldestro, a cambiare la password nel PC?
    ...in alternativa, è possibile che Windows modifichi/resetti le password, magari a seguito di spegnimenti improvvisi, riavvii "brutali", etc...? 
    Se può aiutare, di seguito riport il log di Windows relativo agli eventi "sospetti": 
    Informazioni 2012-10-25 01:21:02 Security-Auditing 5061 Integrità sistema
    Informazioni 2012-10-25 01:21:02 Security-Auditing 5058 Altri eventi di sistema
    Informazioni 2012-10-25 01:20:53 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:40 Security-Auditing 5024 Altri eventi di sistema
    Informazioni 2012-10-25 01:20:39 Security-Auditing 5033 Altri eventi di sistema
    Informazioni 2012-10-25 01:20:39 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:20:39 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:36 Security-Auditing 5056 Integrità sistema
    Informazioni 2012-10-25 01:20:31 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:20:31 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:31 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:20:31 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:30 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:20:30 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:30 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:20:30 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:29 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:20:29 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:29 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:20:29 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:29 Security-Auditing 4902 Modifica del criterio di controllo
    Informazioni 2012-10-25 01:20:28 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:20:28 Security-Auditing 4608 Modifica stato sicurezza
    Informazioni 2012-10-25 01:16:12 Eventlog 1100 Arresto del servizio
    Informazioni 2012-10-25 01:16:04 Security-Auditing 4647 Disconnessione
    Informazioni 2012-10-25 01:15:10 Security-Auditing 4634 Disconnessione
    Informazioni 2012-10-25 01:14:23 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:14:23 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:14:23 Security-Auditing 4648 Accesso
    Informazioni 2012-10-25 01:13:18 Security-Auditing 4634 Disconnessione
    Informazioni 2012-10-25 01:12:23 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 01:12:23 Security-Auditing 4624 Accesso
    Informazioni 2012-10-25 01:12:23 Security-Auditing 4648 Accesso
    Informazioni 2012-10-25 01:08:10 Security-Auditing 4724 Gestione account utente
    Informazioni 2012-10-25 01:08:10 Security-Auditing 4738 Gestione account utente
    Informazioni 2012-10-25 01:03:34 Security-Auditing 6281 Integrità sistema
    Informazioni 2012-10-25 01:01:03 Security-Auditing 4634 Disconnessione
    Informazioni 2012-10-25 00:56:13 Security-Auditing 4672 Accesso speciale
    Informazioni 2012-10-25 00:56:13 Security-Auditing 4624 Accesso
    lunedì 19 novembre 2012 10:35

Tutte le risposte

  • Ciao, che Windows modifichi le pwd da solo proprio no. Che le password scadano certo ma c'è comunque una richiesta di nuova password. Può anche essere che il pc abbia una connessione RDP attiva e la pwd l'abbiano bucata, come può essere che qualche spyware\malware abbia reimpostato la pwd.

    Farei quindi una bella scansione e controllerei che non ci sia qualcosa di aperto.

    Chiudo dicendo che l'Administrator locale DEVE STARE DISATTIVATO. Difatti da Vista in poi l'hanno fatto. Creati un utente admin con nome diverso e mettigli una pwd complessa. A quel punto vedrai che difficilmente te lo bucheranno.

    Ciao!

    A.

    lunedì 19 novembre 2012 15:59
    Moderatore
  • Ciao,

    il PC in questione viene normalmente usato via RDP, utilizzando l'account di amministratore, che purtroppo al momento del fattaccio era anche l'unico!

    Ammetto che la cosa è stata estremamente imprudente, ma il PC era stato consegnato ad un'azienda che è nostro partner da diversi anni e quindi credevamo di stare sicuri...

    ...ora quindi bisognerebbe capire se è stato un utente malintenzionato che ha cambiato la password tanto per farci uno scherzo o è stato qualche spyware\malware...giusto?

    Grazie mille per la risposta,

    Enrico

    lunedì 19 novembre 2012 17:21
  • puoi usare un combofix od un malwarebytes per vedere se c'è qualche bestiolina...ma molto probabilmente ti hanno bucato la terminal con un brute force se era pubblicata...

    in ogni caso se cambi utente e metti una pwd strong dovresti essere a posto...in caso puoi anche cambiare la porta di ingresso usandone una alta che gira sulla 3389 interna..

    ciao!

    A.

    mercoledì 21 novembre 2012 17:01
    Moderatore
  • Grazie!

    cosa ne pensi degli eventi 

    Informazioni 2012-10-25 01:08:10 Security-Auditing 4724 Gestione account utente

    Informazioni 2012-10-25 01:08:10 Security-Auditing 4738 Gestione account utente

    se fosse stato un malware a modificare la password sarebbero stati registrati lo stesso?

    venerdì 23 novembre 2012 14:26