4625(F): no se pudo iniciar sesión en una cuenta.

  • Artículo
Event 4625 illustration

Subcategorías:  Inicio de sesión de auditoría y bloqueo de cuenta de auditoría

Descripción del evento:

Este evento se registra para cualquier error de inicio de sesión.

Se genera en el equipo donde se realizó el intento de inicio de sesión, por ejemplo, si el intento de inicio de sesión se realizó en la estación de trabajo del usuario, el evento se iniciará sesión en esta estación de trabajo.

Este evento se genera en controladores de dominio, servidores miembros y estaciones de trabajo.

Nota

Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Ninguno.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.

Versiones de eventos: 0.

Descripciones del campo:

Asunto:

  • Id. de seguridad [Type = SID]: SID de la cuenta que ha notificado información sobre el error de inicio de sesión. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un administrador de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta que ha notificado información sobre el error de inicio de sesión.

  • Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Estos son algunos ejemplos de formatos:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Tipo de inicio de sesión [Type = UInt32]: el tipo de inicio de sesión que se realizó. "Tabla 11. Tipos de inicio de sesión de Windows" contiene la lista de valores posibles para este campo.

    Tabla 11: Tipos de inicio de sesión de Windows

    Tipo de inicio de sesión Título de inicio de sesión Descripción
    2 Interactivo Un usuario ha iniciado sesión en este equipo.
    3 Red Un usuario o equipo ha iniciado sesión en este equipo desde la red.
    4 Lote El tipo de inicio de sesión por lotes lo usan los servidores por lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa.
    5 Servicio El Administrador de control de servicios inició un servicio.
    7 Desbloquear Esta estación de trabajo se ha desbloqueado.
    8 NetworkCleartext Un usuario ha iniciado sesión en este equipo desde la red. La contraseña del usuario se pasó al paquete de autenticación en su forma sin confirmar. La autenticación integrada empaqueta todas las credenciales hash antes de enviarlas a través de la red. Las credenciales no atraviesan la red en texto no cifrado (también denominado cleartext).
    9 NewCredentials Un llamador clonó su token actual y especificó nuevas credenciales para las conexiones salientes. La nueva sesión de inicio de sesión tiene la misma identidad local, pero usa credenciales diferentes para otras conexiones de red.
    10 RemoteInteractive Un usuario ha iniciado sesión en este equipo de forma remota mediante Terminal Services o Escritorio remoto.
    11 CachedInteractive Un usuario ha iniciado sesión en este equipo con credenciales de red almacenadas localmente en el equipo. No se contactó con el controlador de dominio para comprobar las credenciales.

Cuenta para la que se produjo un error de inicio de sesión:

  • Id. de seguridad [Type = SID]: SID de la cuenta que se especificó en el intento de inicio de sesión. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un administrador de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta que se especificó en el intento de inicio de sesión.

  • Dominio de cuenta [Tipo = UnicodeString]: nombre de dominio o equipo. Estos son algunos ejemplos de formatos:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Información de error:

  • Motivo del error [Type = UnicodeString]: explicación textual del valor del campo Estado . Para este evento, normalmente tiene el valor "Cuenta bloqueada".

  • Status [Type = HexInt32]: el motivo por el que se produjo un error en el inicio de sesión. Para este evento, normalmente tiene el valor "0xC0000234". Los códigos de estado más comunes se enumeran en la tabla 12. Códigos de estado de inicio de sesión de Windows.

    Tabla 12: Códigos de estado de inicio de sesión de Windows.

    Status\Sub-Status Code Descripción
    0XC000005E Actualmente no hay ningún servidor de inicio de sesión disponible para atender la solicitud de inicio de sesión.
    0xC0000064 Inicio de sesión de usuario con una cuenta de usuario incorrecta o mal escrita
    0xC000006A Inicio de sesión de usuario con contraseña incorrecta o mal escrita
    0XC000006D La causa es un nombre de usuario incorrecto o información de autenticación.
    0XC000006E Indica que el nombre de usuario y la información de autenticación a los que se hace referencia son válidos, pero algunas restricciones de cuenta de usuario han impedido la autenticación correcta (como las restricciones de hora del día).
    0xC000006F Inicio de sesión del usuario fuera del horario autorizado
    0xC0000070 Inicio de sesión de usuario desde una estación de trabajo no autorizada
    0xC0000071 Inicio de sesión de usuario con contraseña expirada
    0xC0000072 Inicio de sesión de usuario en la cuenta deshabilitada por el administrador
    0XC00000DC Indica que el servidor Sam estaba en el estado incorrecto para realizar la operación deseada.
    0XC0000133 Relojes entre DC y otro equipo demasiado lejos de sincronización
    0XC000015B Al usuario no se le ha concedido el tipo de inicio de sesión solicitado (también denominado derecho de inicio de sesión) en esta máquina.
    0XC000018C Error en la solicitud de inicio de sesión porque se produjo un error en la relación de confianza entre el dominio principal y el dominio de confianza.
    0XC0000192 Se intentó iniciar sesión, pero no se inició el servicio Netlogon .
    0xC0000193 Inicio de sesión de usuario con una cuenta expirada
    0XC0000224 El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
    0XC0000225 Evidentemente, un error en Windows y no un riesgo
    0xC0000234 Inicio de sesión del usuario con la cuenta bloqueada
    0XC00002EE Motivo del error: error durante el inicio de sesión
    0XC0000413 Error de inicio de sesión: la máquina en la que está iniciando sesión está protegida por un firewall de autenticación. No se permite que la cuenta especificada se autentique en la máquina.
    0x0 Estado correcto.

Nota

Para ver el significado de otros códigos de estado o subestado, también puede comprobar si hay código de estado en el archivo de encabezado de Windows ntstatus.h en Windows SDK.

Más información: https://dev.windows.com/en-us/downloads

  • Sub status [Type = HexInt32]: información adicional sobre el error de inicio de sesión. Los códigos de subestado más comunes enumerados en la "Tabla 12. Códigos de estado de inicio de sesión de Windows.".

Información de proceso:

  • Identificador de proceso del llamador [Type = Pointer]: identificador de proceso hexadecimal del proceso que intentó el inicio de sesión. El Id. de proceso (PID) es un número que el sistema operativo utiliza para identificar de forma exclusiva un proceso activo. Para ver el PID de un proceso específico puede, por ejemplo, usar el Administrador de tareas (pestaña Detalles, columna PID):

    Task manager illustration

    Si convierte el valor hexadecimal en decimal, puede compararlo con los valores en el Administrador de tareas.

    Además, puede relacionar este Id. de proceso con un Id. de proceso en otros eventos, por ejemplo, "4688: Se ha creado un proceso nuevo" Process Information\New Process ID.

  • Nombre del proceso del llamador [Type = UnicodeString]: ruta de acceso completa y nombre del ejecutable del proceso.

Información de red:

  • Nombre de estación de trabajo [Tipo = UnicodeString]: nombre de equipo desde el que se realizó el intento de inicio de sesión.

  • Dirección de red de origen [Type = UnicodeString]: dirección IP de la máquina desde la que se realizó el intento de inicio de sesión.

    • Dirección IPv6 o dirección ::ffff:IPv4 de un cliente.

    • ::1 o 127.0.0.1 significa localhost.

  • Puerto de origen [Type = UnicodeString]: puerto de origen que se usó para el intento de inicio de sesión desde el equipo remoto.

    • 0 para inicios de sesión interactivos.

Información detallada de autenticación:

  • Proceso de inicio de sesión [Type = UnicodeString]: nombre del proceso de inicio de sesión de confianza que se usó para el intento de inicio de sesión. Vea el evento "4611: Se ha registrado un proceso de inicio de sesión de confianza con la autoridad de seguridad local" para obtener más información.

  • Paquete de autenticación [Type = UnicodeString]: nombre del paquete de autenticación que se usó para el proceso de autenticación de inicio de sesión. Los paquetes predeterminados cargados al iniciar LSA se encuentran en la clave del Registro "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig". Otros paquetes se pueden cargar en tiempo de ejecución. Cuando se carga un nuevo paquete, se registra un evento "4610: Un paquete de autenticación" (normalmente para NTLM) o "4622: Se ha cargado un paquete de seguridad mediante la entidad de seguridad local" (normalmente para Kerberos) para indicar que se ha cargado un nuevo paquete junto con el nombre del paquete. Los paquetes de autenticación más comunes son:

    • NTLM : autenticación de la familia NTLM

    • Kerberos : autenticación Kerberos.

    • Negociar : el paquete de seguridad Negotiate selecciona entre los protocolos Kerberos y NTLM. Negotiate selecciona Kerberos a menos que uno de los sistemas implicados en la autenticación no pueda usarlo o la aplicación que realiza la llamada no proporcione información suficiente para usar Kerberos.

  • Transited Services [Type = UnicodeString] [Kerberos-only]: la lista de servicios transmitidos. Los servicios transmitidos se rellenan si el inicio de sesión fue el resultado de un proceso de inicio de sesión S4U (Servicio para el usuario). S4U es una extensión de Microsoft al protocolo Kerberos para permitir que un servicio de aplicación obtenga un vale de servicio Kerberos en nombre de un usuario, lo que normalmente realiza un sitio web front-end para acceder a un recurso interno en nombre de un usuario. Para obtener más información sobre S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx

  • Nombre del paquete (solo NTLM) [Type = UnicodeString]: el nombre del subpaquete del Administrador de LAN (nombre del protocolo NTLM-family ) que se usó durante el intento de inicio de sesión. Los valores posibles son:

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      Solo se rellena si "Paquete de autenticación" = "NTLM".

  • Longitud de clave [Type = UInt32]: la longitud de la clave de seguridad de sesión NTLM . Normalmente, tiene una longitud de 128 bits o 56 bits. Este parámetro siempre es 0 si "Paquete de autenticación" = "Kerberos", porque no es aplicable para el protocolo Kerberos. Este campo también tendrá el valor "0" si Kerberos se negoció mediante el paquete de autenticación Negotiate .

Recomendaciones de supervisión de seguridad.

Para 4625(F): no se pudo iniciar sesión en una cuenta.

Importante

Para este evento, consulte también Apéndice A: Recomendaciones de supervisión de seguridad para muchos eventos de auditoría.

  • Si tiene un "Nombre de proceso" predefinido para el proceso notificado en este evento, supervise todos los eventos con "Nombre del proceso" no igual al valor definido.

  • Puede supervisar para ver si "Nombre del proceso" no está en una carpeta estándar (por ejemplo, no en System32 o Archivos de programa) o está en una carpeta restringida (por ejemplo, Archivos temporales de Internet).

  • Si tiene una lista predefinida de subcadenas o palabras restringidas en los nombres de proceso (por ejemplo, "mimikatz" o "cain.exe"), compruebe estas subcadenas en "Nombre del proceso".

  • Si Subject\Account Name es un nombre de cuenta de servicio o cuenta de usuario, puede ser útil investigar si esa cuenta está permitida (o esperada) para solicitar el inicio de sesión para La cuenta para la que se produjo un error de inicio de sesión\Id. de seguridad.

  • Para supervisar la falta de coincidencia entre el tipo de inicio de sesión y la cuenta que lo usa (por ejemplo, si un miembro de un grupo administrativo de dominio usa el tipo de inicio de sesión 4-Batch o 5-Service), supervise El tipo de inicio de sesión en este evento.

  • Si tiene un dominio de alto valor o una cuenta local para la que debe supervisar cada bloqueo, supervise todos los eventos 4625 con el "Subject\Security ID" que corresponde a la cuenta.

  • Se recomienda supervisar todos los eventos 4625 para las cuentas locales, ya que estas cuentas normalmente no deben bloquearse. La supervisión es especialmente relevante para servidores críticos, estaciones de trabajo administrativas y otros recursos de alto valor.

  • Se recomienda supervisar todos los eventos 4625 para las cuentas de servicio, ya que estas cuentas no se deben bloquear ni impedir que funcionen. La supervisión es especialmente relevante para servidores críticos, estaciones de trabajo administrativas y otros recursos de alto valor.

  • Si su organización restringe los inicios de sesión de las siguientes maneras, puede usar este evento para supervisar en consecuencia:

    • Si la "Cuenta para la que se produjo un error de inicio de sesión \Id. de seguridad" nunca debe usarse para iniciar sesión desde la información de red específica\Nombre de estación de trabajo.

    • Si una cuenta específica, como una cuenta de servicio, solo se debe usar desde la lista de direcciones IP internas (u otra lista de direcciones IP). En este caso, puede supervisar información de red\Dirección de red de origen y comparar la dirección de red con la lista de direcciones IP.

    • Si siempre se usa una versión determinada de NTLM en su organización. En este caso, puede usar este evento para supervisar el nombre del paquete (solo NTLM), por ejemplo, para buscar eventos en los que nombre del paquete (solo NTLM) no es igual a NTLM V2.

    • Si NTLM no se usa en su organización o no debe ser utilizado por una cuenta específica (Nuevo inicio de sesión\Id. de seguridad). En este caso, supervise todos los eventos en los que el paquete de autenticación es NTLM.

    • Si el paquete de autenticación es NTLM. En este caso, supervise la longitud de clave no igual a 128, ya que todos los sistemas operativos Windows a partir de Windows 2000 admiten longitud de clave de 128 bits.

    • Si el proceso de inicio de sesión no procede de una lista de procesos de inicio de sesión de confianza.

  • Supervise todos los eventos con los campos y valores de la tabla siguiente:

    Campo Valor para el que se va a supervisar
    Información de error\Estado o
    Información de error\Sub status    		 0XC000005E: "Actualmente no hay ningún servidor de inicio de sesión disponible para atender la solicitud de inicio de sesión".
    Este problema no suele ser un problema de seguridad, pero puede ser un problema de infraestructura o disponibilidad.
    Información de error\Estado o
    Información de error\Sub status    		 0xC0000064: "Inicio de sesión del usuario con una cuenta de usuario incorrecta o mal escrita".
    Especialmente si obtiene varios de estos eventos en una fila, puede ser un signo de un ataque de enumeración de usuario.
    Información de error\Estado o
    Información de error\Sub status    		 0xC000006A: "Inicio de sesión del usuario con contraseña incorrecta o mal escrita" para cuentas críticas o cuentas de servicio.
    Observe especialmente una serie de eventos de este tipo en una fila.
    Información de error\Estado o
    Información de error\Sub status    		 0XC000006D: "Esto se debe a un nombre de usuario o a una información de autenticación incorrectos" para cuentas críticas o cuentas de servicio.
    Observe especialmente una serie de eventos de este tipo en una fila.
    Información de error\Estado o
    Información de error\Sub status    		 0xC000006F: "Inicio de sesión del usuario fuera del horario autorizado".
    Información de error\Estado o
    Información de error\Sub status    		 0xC0000070: "Inicio de sesión del usuario desde una estación de trabajo no autorizada".
    Información de error\Estado o
    Información de error\Sub status    		 0xC0000072: "Inicio de sesión del usuario en la cuenta deshabilitada por el administrador".
    Información de error\Estado o
    Información de error\Sub status    		 0XC000015B: "Al usuario no se le ha concedido el tipo de inicio de sesión solicitado (también conocido como derecho de inicio de sesión) en este equipo".
    Información de error\Estado o
    Información de error\Sub status    		 0XC0000192: "Se intentó iniciar sesión, pero no se inició el servicio Netlogon".
    Este problema no suele ser un problema de seguridad, pero puede ser un problema de infraestructura o disponibilidad.
    Información de error\Estado o
    Información de error\Sub status    		 0xC0000193: "Inicio de sesión del usuario con una cuenta expirada".
    Información de error\Estado o
    Información de error\Sub status    		 0XC0000413: "Error de inicio de sesión: la máquina en la que está iniciando sesión está protegida por un firewall de autenticación. No se permite que la cuenta especificada se autentique en la máquina".