Трактовка логов

@usmersn · Регистрация: 18.06.2010

Студворк — интернет-сервис помощи студентам

Добрый день господа системные администраторы.
Помогите трактовать лог

<13>May 17 01:17:33 X AgentDevice=WindowsLog AgentLogFile=Security PluginVersion=7.3.0.41 Source=Microsoft-Windows-Security-Auditing Computer=XXXXXXX OriginatingComputer=10.68.127.195 User= Domain= EventID=4724 EventIDCode=4724 EventType=8 EventCategory=13824 RecordNumber=108995196 TimeGenerated=1652739253 TimeWritten=1652739253 Level=Log Always Keywords=Audit Success Task=SE_ADT_ACCOUNTMANAGEMENT_USERACCOUN T Opcode=Info Message=Выполнена попытка сброса пароля учетной записи. Субъект: Идентификатор безопасности: NT AUTHORITY\СИСТЕМА Имя учетной записи: X$ Домен учетной записи: Z Идентификатор входа: 0x3E7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-2333575888-3596431072-1149613586-1003 Имя учетной записи: Admin Домен учетной записи: Z

Как я это понял: что под уз компа X$(имя хоста и домена изменено) поменяли пароль для локальной уз Admin.
Большая вероятность что это не так звучит, да и не понятно причем тут hostname, SID так же интересный, может это в рамках ГПО. Собственно хотел разобраться в этом.

@Maks · 20.05.2022, 15:39

Сообщение от usmersn

Как я это понял: что под уз компа X$(имя хоста и домена изменено) поменяли пароль для локальной уз Admin.

Неверно, ибо написано "Выполнена попытка сброса пароля учетной записи."
Обычно это делается в тех случаях, когда:

1. В сети завелся троян который брутфорсит админские учетки;
2. Пароль админа был скомпрометирован, но при попытке смены пароля новый пароль не соответствовал политике безопасности паролей (кол-во символов, заглавные и прописные буквы, цифры итп.)

Лично я склоняюсь к первому варианту.

@usmersn · 20.05.2022, 15:46 **[ТС]**

троян точно не появился, таких событий куча, это одно из них, мне кажется это связано с LAPS: управление паролями локальных администраторов на компьютерах домена - только не очень понятно почему от такого имени был изменен пароль.

Новые блоги и статьи Все статьи Все блоги /
Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .	Контроль уникальности заводского номера - вариант №2 Maks 24.03.2026 В отличие от предыдущего варианта добавлено прерывание циклов, также добавлены новые переменные для сохранения контекста ошибки перед прерыванием цикла: Процедура ПередЗаписью(Отказ, РежимЗаписи,. . .	SDL3 для Desktop (MinGW): Вывод текста со шрифтом TTF с помощью библиотеки SDL3_ttf на Си и C++ 8Observer8 24.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-text-sdl3-c. zip finish-text-sdl3-cpp. zip	Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .
Модель здравоСохранения: работники работают быстрее после её введения. anaschu 23.03.2026 geJalZw1fLo Корпорация до введения программа здравоохранения имела много невыполненных работниками заданий, после введения программы количество заданий выросло. Но на выплатах по больничным это. . .	Контроль уникальности заводского номера - вариант №1 Maks 23.03.2026 Алгоритм контроля уникальности заводского (или серийного) номера на примере документа выдачи шин для спецтехники с табличной частью. Данные берутся из регистра сведений, по которому настроено. . .	Хочу заставить корпорации вкладываться в здоровье сотрудников: делаю мат модель здравосохранения anaschu 22.03.2026 e7EYtONaj8Y Z4Tv2zpXVVo https:/ / github. com/ shumilovas/ med2. git	Программный отбор элементов справочника по группе Maks 22.03.2026 Установка программного отбора элементов справочника "Номенклатура" из модуля формы документа. В качестве фильтра для отбора справочника служит группа номенклатуры. Отбор по наименованию группы. . .

@usmersn 1 / 1 / 1 Регистрация: 18.06.2010 Сообщений: 75
	20.05.2022, 15:46 [ТС]
	троян точно не появился, таких событий куча, это одно из них, мне кажется это связано с LAPS: управление паролями локальных администраторов на компьютерах домена - только не очень понятно почему от такого имени был изменен пароль. 0