¿Por qué motivo se pudo reiniciar una contraseña de Windows 7 para que esté vacía?

Navega tus respuestas
2

Un usuario informa el lunes que ya no puede acceder a su cuenta de Windows 7 debido a una "contraseña incorrecta", que funcionó perfectamente el viernes. Resulta que la contraseña se ha restablecido en vacío para esa cuenta. Suponiendo que el usuario no miente a la pregunta de si él mismo restableció la contraseña, ¿hay alguna otra razón además de un intento de piratería en esa cuenta de usuario debido a que la contraseña se restableció?

Si fue un intento de pirateo por parte de un aficionado (y no modificó los archivos de registro), ¿en qué archivo de registro se habría escrito el restablecimiento de la contraseña?

    
pregunta b00tsy 28.01.2013 - 10:32
fuente

1 respuesta

9

Los cambios de la contraseña del usuario local deben registrarse como eventos de auditoría en el registro de eventos de Windows, en Seguridad. El ID del evento es 627: Cambiar intento de contraseña si el usuario cambió la contraseña por sí mismo, o 628: Contraseña de cuenta de usuario establecida si otro usuario realizó el cambio.

Puede acceder al registro a través de:

  

Inicio »Ejecutar ...» eventvwr.msc »Registros de Windows» Seguridad

Puede filtrar el registro utilizando el botón Filtrar registro actual en el panel derecho e ingresar 627 y 628 en la lista de filtros de ID de eventos.

    
respondido por el Polynomial 28.01.2013 - 12:08
fuente

Lea otras preguntas en las etiquetas

¿Se pueden mantener fuera de la memoria del programa las claves y los inicios de sesión no cifrados? Seguridad en profundidad: división de claves en diferentes lugares