アカウントのパスワード変更を、イベント ビューアーで追う
いつ、アカウントのパスワードが変更されたのか、イベント ビューアーで追いました。
windows 2008 R2 の、イベント ビューアーで、セキュリティーを開くと、セキュリティや、監査のイベントが閲覧できます。イベントの詳細は、 を参照してください。パスワード変更は、ID:4723 が発生していそうです。
調べてみる
順序は前後していましたが、同時刻で、以下が発生していました。
キーワード:成功の監査 イベント ID:4723 タスクのカテゴリ:ユーザー アカウント管理 アカウントのパスワードの変更が試行されました。 サブジェクト: セキュリティ ID: xxxxxx\administrator アカウント名: Administrator アカウント ドメイン: xxxxxx ログオン ID: 0x10da34c9 ターゲット アカウント: セキュリティ ID: xxxxxx\administrator アカウント名: Administrator アカウント ドメイン: xxxxxx 追加情報: 特権 -
キーワード:成功の監査 イベント ID:4738 タスクのカテゴリ:ユーザー アカウント管理 ユーザー アカウントが変更されました。 サブジェクト: セキュリティ ID: ANONYMOUS LOGON アカウント名: ANONYMOUS LOGON アカウント ドメイン: NT AUTHORITY ログオン ID: 0x3e6 ターゲット アカウント: セキュリティ ID: xxxxxx\administrator アカウント名: Administrator アカウント ドメイン: xxxxxx 変更された属性: SAM アカウント名: - 表示名: - ユーザー プリンシパル名: - ホーム ディレクトリ: - ホーム ドライブ: - スクリプトのパス: - プロファイル パス: - ユーザー ワークステーション: - 最後に設定されたパスワード: YYYY/MM/DD h:mm:ss アカウント有効期限終了日: - プライマリ グループ ID: - 許可された委任先: - 旧 UAC の値: - 新 UAC の値: - ユーザー アカウント制御: - ユーザー パラメーター: - SID の履歴: - ログオン時間: - 追加情報: 特権: -