Hay más de una forma de configurar la auditoría en la Política de grupo, pero creo que la principal forma antigua (en Windows Server 2003) es abrir GPMC, editar la Política de dominio predeterminada (o cualquier política de dominio que esté activa en la OU y objetos con los que está trabajando), y desplácese desde el nodo Políticas a través de Configuración de Windows a Configuración de seguridad, para abrir la rama Política de auditoría de políticas locales. Hay una sección de "Administración de cuentas de auditoría" que puede definir.
Lo anterior solo le permite auditar los cambios en la cuenta, pero debe hacer que sea procesable relacionándolo con los criterios de éxito, como que la contraseña de un usuario haya caducado recientemente. Al aprovechar OSSIM (u otro motor de correlación fuerte), puede combinar scripts ADSI que verifican todos los mensajes de administración de cuentas de auditoría para ver si fue un cambio de contraseña y para ver si la contraseña expiró recientemente. Luego, se podrían hacer coincidir los hashes, etc. Incluso se podría iniciar OpenVAS para probar y aplicar la fuerza bruta a la contraseña, aunque probablemente sería mejor realizar esta tarea con más datos.
Esto se convierte en un ejercicio de personalización para el cliente, el servidor y otra infraestructura de fortalecimiento / monitoreo. Le gustaría mover la madurez de toda su infraestructura a un nivel más alto, por lo que asumo que ya ha hecho gran parte del trabajo prescrito por El Centro para la Seguridad de Internet (CIS) y / o NIST .
Si es más nuevo y no ha implementado soluciones personalizadas como esta en el pasado, sería mejor pasar a una solución a prueba de futuro como OpenIDM de ForgeRock. Esto sería un proyecto multimillonario de seis años, aproximadamente.
Si se encuentra en una operación de instalación industrial de gran tamaño, como Fortune 500, sería mejor identificar su IAM, IDM, Directorio, ESB y otros componentes de backoffice existentes para analizar correctamente dónde se ajusta la identidad Problemas de gestión del ciclo de vida, como el restablecimiento de la contraseña de usuario. Puede ser que un proveedor de soluciones existente, como SAP, Oracle, TIBCO o Microsoft tenga una respuesta fácil.
Si solo eres una tienda de Microsoft (100 por ciento), entonces es probable que quieras hablar sobre su ILM 2007 , FIM 2010 , y soluciones relacionadas. Microsoft tiene una forma desagradable de cancelar estas líneas de productos, o cambiarlas drásticamente, por lo que es bueno estar a la vanguardia y discutir directamente con ILM / FIM y otros gerentes de productos (PM) en lugar de solo un administrador de cuentas. (AM) o sus sitios web e información comercial.
Hay otras soluciones más puntuales, como el ChangeAuditor for AD del software Quest, pero desconfíe de esto, solo solucione un problema a corto plazo, cuando claramente existe un proceso de negocios y un gran conjunto de problemas de madurez de negocios / infraestructura.