如何监视 IIS 应用程序池密码更改

如何监视 IIS 应用程序池密码更改

我遇到一个问题,即单个站点的应用程序池标识密码被随机更改为另一个应用程序池标识的密码。应用程序池 ID 用户名不会更改密码。IIS 日志和事件查看器日志仅显示由于更改而导致的错误,而不会显示更改的实际发生时间或导致更改的原因。有没有办法可以监视或记录对此特定站点的更完整更改?

我重建了网站两次,但问题仍然存在,所以有些东西/一些帐户导致了这种情况的改变,我需要找出原因。我通常会进入并手动将其更改为正确的密码,但它会在一天中的某个时间再次更改。

更多信息:

该站点位于使用 Windows Server 2012 R2 Standard 的 VM 上。我们使用 IIS 版本 8.0.9200。所有站点的应用程序池标识都使用特定于该站点的唯一域帐户。

我们还有另外 5 个完全相同的类似网站,但并没有出现这个问题。

前任:

somesite1.com 
somesite2.com
somesite3.com
somesite4.com
somesite5.com

每个站点使用唯一的应用程序池 ID 和密码。

前任:

somedomain\SomeSite1WebService     
somedomain\SomeSite2WebService
somedomain\SomeSite3WebService
somedomain\SomeSite4WebService
somedomain\SomeSite5WebService

问题是当 SomeSite4 的应用程序池 ID 密码更改为 somedomain\SomeSite5WebService 的密码时。

答案1

在域控制器的事件日志中查找事件 ID 627、628、4723 或 4724。当用户更改自己的密码或管理员重置密码时,会记录这些事件。(如果您没有看到这些事件,则需要为它们启用日志记录,请参阅https://www.netwrix.com/how_to_detect_password_changes.html

在这些事件中,它会告诉您谁更改了密码以及从哪台机器更改了密码。

您还应该考虑为 SomeSite5WebService 创建一个具有不同用户名的新用户帐户。这可能会阻止问题的发生,并且任何更改密码的过程都将失败,这可能会导致您会注意到的错误。

相关内容