4625(F) : un compte n’a pas pu se connecter.

  • Article
Event 4625 illustration

Sous-catégories:  Auditer le verrouillage du compte et auditer l’ouverture de session

Description de l'événement :

Cet événement est journalisé pour tout échec d’ouverture de session.

Il est généré sur l’ordinateur sur lequel une tentative d’ouverture de session a été effectuée, par exemple, si une tentative d’ouverture de session a été effectuée sur la station de travail de l’utilisateur, l’événement est alors enregistré sur cette station de travail.

Cet événement est généré sur les contrôleurs de domaine, les serveurs membres et les stations de travail.

Notes

Pour obtenir des recommandations, consultez Recommandations de surveillance de la sécurité pour cet événement.


XML event :

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

*** Rôles de serveur requis : *** Aucun.

*** Version minimale du système d'exploitation :*** Windows Server 2008, Windows Vista.

Versions d’événement : 0.

Descriptions des champs :

Objet:

  • ID de sécurité [Type = SID] : SID du compte qui a signalé des informations sur l’échec de connexion. Le visionneur d'événements tente automatiquement de résoudre les SID et d'afficher le nom du compte. Si la PIM ne peut pas être résolue, vous verrez les données sources dans l'événement.

    Notes

    Un identificateur de sécurité (SID) est une valeur unique de longueur variable utilisée pour identifier un fiduciaire (principal de sécurité). Chaque compte possède un SID unique qui est délivré par une autorité, telle qu'un contrôleur de domaine Active Directory, et stocké dans une base de données de sécurité. Chaque fois qu'un utilisateur se connecte, le système récupère le SID pour cet utilisateur dans la base de données et le place dans le jeton d'accès pour cet utilisateur. Le système utilise le SID du jeton d'accès pour identifier l'utilisateur dans toutes les interactions ultérieures avec la sécurité de Windows. Lorsqu'un SID a été utilisé comme identifiant unique pour un utilisateur ou un groupe, il ne peut plus jamais être utilisé pour identifier un autre utilisateur ou groupe. Pour plus d'informations sur les SIDs, voir Identificateurs de sécurité.

  • Nom du compte [Type = UnicodeString] : nom du compte qui a signalé des informations sur l’échec de connexion.

  • Domaine du compte [Type = UnicodeString]** :** nom de domaine ou d'ordinateur du sujet. Voici quelques exemples de formats :

    • Exemple de nom de domaine NETBIOS : CONTOSO

    • Nom de domaine complet en minuscules : contoso.local

    • Nom de domaine complet en majuscules : CONTOSO.LOCAL

    • Pour certains principes de sécurité bien connus, tels que LOCAL SERVICE ou ANONYMOUS LOGON, la valeur de ce champ est « NT AUTHORITY».

    • Pour les comptes d'utilisateurs locaux, ce champ contiendra par exemple le nom de l'ordinateur ou de l'appareil auquel ce compte appartient : «Win81».

  • Type d’ouverture de session [Type = UInt32] : type d’ouverture de session qui a été effectuée. «Tableau 11. Types d’ouverture de session Windows » contient la liste des valeurs possibles pour ce champ.

    Tableau 11 : Types d’ouverture de session Windows

    Type d’ouverture de session Titre de l’ouverture de session Description
    2 Interactive Un utilisateur s’est connecté à cet ordinateur.
    3 Network Un utilisateur ou un ordinateur connecté à cet ordinateur à partir du réseau.
    4 Lot Le type d’ouverture de session Batch est utilisé par les serveurs batch, où les processus peuvent s’exécuter pour le compte d’un utilisateur sans intervention directe.
    5 Service Un service a été démarré par le Gestionnaire de contrôle des services.
    7 Déverrouiller Cette station de travail a été déverrouillée.
    8 NetworkCleartext Un utilisateur s’est connecté à cet ordinateur à partir du réseau. Le mot de passe de l’utilisateur a été passé au package d’authentification dans son formulaire non mis en cache. L’authentification intégrée empaquette toutes les informations d’identification de hachage avant de les envoyer sur le réseau. Les informations d’identification ne traversent pas le réseau en texte clair (également appelé texte clair).
    9 NewCredentials Un appelant a cloné son jeton actuel et spécifié de nouvelles informations d’identification pour les connexions sortantes. La nouvelle session d’ouverture de session a la même identité locale, mais utilise des informations d’identification différentes pour d’autres connexions réseau.
    10 RemoteInteractive Un utilisateur s’est connecté à cet ordinateur à distance à l’aide des services Terminal Server ou du Bureau à distance.
    11 CachedInteractive Un utilisateur s’est connecté à cet ordinateur avec des informations d’identification réseau stockées localement sur l’ordinateur. Le contrôleur de domaine n’a pas été contacté pour vérifier les informations d’identification.

Compte pour lequel l’ouverture de session a échoué :

  • ID de sécurité [Type = SID] : SID du compte spécifié dans la tentative d’ouverture de session. Le visionneur d'événements tente automatiquement de résoudre les SID et d'afficher le nom du compte. Si la PIM ne peut pas être résolue, vous verrez les données sources dans l'événement.

    Notes

    Un identificateur de sécurité (SID) est une valeur unique de longueur variable utilisée pour identifier un fiduciaire (principal de sécurité). Chaque compte possède un SID unique qui est délivré par une autorité, telle qu'un contrôleur de domaine Active Directory, et stocké dans une base de données de sécurité. Chaque fois qu'un utilisateur se connecte, le système récupère le SID pour cet utilisateur dans la base de données et le place dans le jeton d'accès pour cet utilisateur. Le système utilise le SID du jeton d'accès pour identifier l'utilisateur dans toutes les interactions ultérieures avec la sécurité de Windows. Lorsqu'un SID a été utilisé comme identifiant unique pour un utilisateur ou un groupe, il ne peut plus jamais être utilisé pour identifier un autre utilisateur ou groupe. Pour plus d'informations sur les SIDs, voir Identificateurs de sécurité.

  • Nom du compte [Type = UnicodeString] : nom du compte spécifié lors de la tentative d’ouverture de session.

  • Domaine de compte [Type = UnicodeString] : nom de domaine ou d’ordinateur. Voici quelques exemples de formats :

    • Exemple de nom de domaine NETBIOS : CONTOSO

    • Nom de domaine complet en minuscules : contoso.local

    • Nom de domaine complet en majuscules : CONTOSO.LOCAL

    • Pour certains principes de sécurité bien connus, tels que LOCAL SERVICE ou ANONYMOUS LOGON, la valeur de ce champ est « NT AUTHORITY».

    • Pour les comptes d'utilisateurs locaux, ce champ contiendra par exemple le nom de l'ordinateur ou de l'appareil auquel ce compte appartient : «Win81».

  • Identification de connexion [Type = HexInt64]: valeur hexadécimale qui peut vous aider à corréler cet événement avec des événements récents qui pourraient contenir la même identification de connexion, par exemple, «4624: Un compte a été connecté avec succès».

Informations sur l’échec :

  • Raison de l’échec [Type = UnicodeString] : explication textuelle de la valeur du champ État . Pour cet événement, il a généralement la valeur « Compte verrouillé ».

  • Status [Type = HexInt32] : raison pour laquelle l’ouverture de session a échoué. Pour cet événement, il a généralement la valeur « 0xC0000234 ». Les codes d’état les plus courants sont répertoriés dans le tableau 12. Codes d’état d’ouverture de session Windows.

    Tableau 12 : Codes d’état d’ouverture de session Windows.

    État\Code de sous-état Description
    0XC000005E Actuellement, aucun serveur d’ouverture de session n’est disponible pour traiter la demande d’ouverture de session.
    0xC0000064 Connexion de l’utilisateur avec un compte d’utilisateur mal orthographié ou incorrect
    0xC000006A Ouverture de session utilisateur avec mot de passe mal orthographié ou incorrect
    0XC000006D La cause est un nom d’utilisateur incorrect ou des informations d’authentification incorrectes
    0XC000006E Indique qu’un nom d’utilisateur référencé et des informations d’authentification sont valides, mais qu’une restriction de compte d’utilisateur a empêché la réussite de l’authentification (par exemple, les restrictions d’heure de la journée).
    0xC000006F Ouverture de session utilisateur en dehors des heures autorisées
    0xC0000070 Ouverture de session utilisateur à partir d’une station de travail non autorisée
    0xC0000071 Ouverture de session utilisateur avec mot de passe expiré
    0xC0000072 Ouverture de session utilisateur au compte désactivée par l’administrateur
    0XC00000DC Indique que sam Server était dans un état incorrect pour effectuer l’opération souhaitée.
    0XC0000133 Horloges entre dc et autre ordinateur trop désynchronisées
    0XC000015B L’utilisateur n’a pas reçu le type d’ouverture de session demandé (également appelé droit d’ouverture de session) sur cet ordinateur
    0XC000018C La demande d’ouverture de session a échoué, car la relation d’approbation entre le domaine principal et le domaine approuvé a échoué.
    0XC0000192 Une tentative d’ouverture de session a été effectuée, mais le service Netlogon n’a pas été démarré.
    0xC0000193 Ouverture de session utilisateur avec un compte expiré
    0XC0000224 L’utilisateur doit modifier le mot de passe lors de la prochaine ouverture de session
    0XC0000225 Évidemment, un bogue dans Windows et non un risque
    0xC0000234 Ouverture de session de l’utilisateur avec le compte verrouillé
    0XC00002EE Raison de l’échec : une erreur s’est produite lors de l’ouverture de session
    0XC0000413 Échec d’ouverture de session : la machine à laquelle vous vous connectez est protégée par un pare-feu d’authentification. Le compte spécifié n’est pas autorisé à s’authentifier auprès de l’ordinateur.
    0x0 État OK.

Notes

Pour voir la signification d’autres codes d’état ou de sous-état, vous pouvez également rechercher le code d’état dans le fichier d’en-tête Windows ntstatus.h dans le Kit de développement logiciel (SDK) Windows.

Plus d’informations : https://dev.windows.com/en-us/downloads

  • Sub Status [Type = HexInt32] : informations supplémentaires sur l’échec de connexion. Les codes de sous-état les plus courants répertoriés dans le « Tableau 12. Codes d’état d’ouverture de session Windows.»

Information sur le processus :

  • ID de processus de l’appelant [Type = Pointeur] : ID de processus hexadécimal du processus qui a tenté l’ouverture de session. Identification du processus (PID) est un numéro utilisé par le système d'exploitation pour identifier de manière unique un processus actif. Pour voir le PID d'un processus spécifique, vous pouvez, par exemple, utiliser le gestionnaire de tâches (onglet Détails, colonne PID) :

    Task manager illustration

    Si vous convertissez la valeur hexadécimale en décimale, vous pouvez la comparer aux valeurs dans le gestionnaire des tâches.

    Vous pouvez également corréler cette identification de processus avec une identification de processus dans d'autres événements, par exemple,«4688: Un nouveau processus a été créé »Informations sur le processus\Identification du nouveau processus.

  • Nom du processus de l’appelant [Type = UnicodeString] : chemin complet et nom de l’exécutable du processus.

Informations réseau :

  • Nom de la station de travail [Type = UnicodeString] : nom de la machine à partir de laquelle la tentative d’ouverture de session a été effectuée.

  • Adresse réseau source [Type = UnicodeString] : adresse IP de l’ordinateur à partir duquel une tentative d’ouverture de session a été effectuée.

    • Adresse IPv6 ou adresse ::ffff:IPv4 d’un client.

    • ::1 ou 127.0.0.1 signifie localhost.

  • Port source [Type = UnicodeString] : port source utilisé pour la tentative d’ouverture de session à partir d’un ordinateur distant.

    • 0 pour les ouvertures de session interactives.

Informations d’authentification détaillées :

  • Processus d’ouverture de session [Type = UnicodeString] : nom du processus d’ouverture de session approuvé utilisé pour la tentative d’ouverture de session. Pour plus d’informations, consultez la description de l’événement « 4611 : Un processus d’ouverture de session approuvé a été inscrit auprès de l’autorité de sécurité locale ».

  • Package d’authentification [Type = UnicodeString] : nom du package d’authentification utilisé pour le processus d’authentification de connexion. Les packages par défaut chargés au démarrage de LSA se trouvent dans la clé de Registre « HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig ». D’autres packages peuvent être chargés au moment de l’exécution. Lorsqu’un nouveau package est chargé, un événement « 4610 : Un package d’authentification a été chargé par l’autorité de sécurité locale » (généralement pour NTLM) ou « 4622 : Un package de sécurité a été chargé par l’autorité de sécurité locale » (généralement pour Kerberos) est journalisé pour indiquer qu’un nouveau package a été chargé avec le nom du package. Les packages d’authentification les plus courants sont les suivants :

    • NTLM – Authentification de la famille NTLM

    • Kerberos : authentification Kerberos.

    • Negotiate : le package de sécurité Negotiate sélectionne entre les protocoles Kerberos et NTLM. Negotiate sélectionne Kerberos, sauf s’il ne peut pas être utilisé par l’un des systèmes impliqués dans l’authentification ou si l’application appelante n’a pas fourni suffisamment d’informations pour utiliser Kerberos.

  • Transited Services [Type = UnicodeString] [Kerberos-only] : liste des services transmis. Les services transmis sont remplis si l’ouverture de session est le résultat d’un processus d’ouverture de session S4U (Service For User). S4U est une extension Microsoft du protocole Kerberos pour permettre à un service d’application d’obtenir un ticket de service Kerberos pour le compte d’un utilisateur, le plus souvent effectué par un site web frontal pour accéder à une ressource interne pour le compte d’un utilisateur. Pour plus d’informations sur S4U, consultez https://msdn.microsoft.com/library/cc246072.aspx

  • Nom du package (NTLM uniquement) [Type = UnicodeString] : nom du sous-package du gestionnaire de réseau local (nom du protocole de la famille NTLM ) utilisé lors de la tentative d’ouverture de session. Les valeurs possibles sont:

    • «NTLM V1»

    • «NTLM V2»

    • «LM»

      Renseigné uniquement si « Authentication Package » = « NTLM ».

  • Longueur de clé [Type = UInt32] : longueur de la clé de sécurité de session NTLM . En règle générale, il a une longueur de 128 bits ou 56 bits. Ce paramètre est toujours égal à 0 si « Authentication Package » = « Kerberos », car il n’est pas applicable au protocole Kerberos. Ce champ aura également la valeur « 0 » si Kerberos a été négocié à l’aide du package d’authentification Negotiate .

Recommandations en matière de surveillance de la sécurité

Pour 4625(F) : un compte n’a pas pu se connecter.

Important

Pour cet événement, consultez également l’Annexe A : Recommandations de surveillance de la sécurité pour de nombreux événements d’audit.

  • Si vous disposez d’un « Nom de processus » prédéfini pour le processus signalé dans cet événement, surveillez tous les événements dont le « Nom du processus » n’est pas égal à votre valeur définie.

  • Vous pouvez surveiller pour voir si « Nom du processus » ne se trouve pas dans un dossier standard (par exemple, pas dans System32 ou Program Files) ou s’il se trouve dans un dossier restreint (par exemple, Fichiers Internet temporaires).

  • Si vous disposez d’une liste prédéfinie de sous-chaînes ou de mots restreints dans les noms de processus (par exemple, « mimikatz » ou «cain.exe»), recherchez ces sous-chaînes dans « Nom du processus ».

  • Si Subject\Account Name est un nom de compte de service ou de compte d’utilisateur, il peut être utile de déterminer si ce compte est autorisé (ou attendu) à demander une ouverture de session pour le compte pour lequel l’ouverture de session a échoué\ID de sécurité.

  • Pour surveiller une incompatibilité entre le type d’ouverture de session et le compte qui l’utilise (par exemple, si le type d’ouverture de session 4-Batch ou 5-Service est utilisé par un membre d’un groupe d’administration de domaine), surveillez Le type d’ouverture de session dans cet événement.

  • Si vous disposez d’un domaine ou d’un compte local à valeur élevée pour lequel vous devez surveiller chaque verrouillage, surveillez tous les événements 4625 avec l' « Objet\ID de sécurité » qui correspond au compte.

  • Nous vous recommandons de surveiller tous les événements 4625 pour les comptes locaux, car ces comptes ne doivent généralement pas être verrouillés. La surveillance est particulièrement pertinente pour les serveurs critiques, les stations de travail d’administration et d’autres ressources de grande valeur.

  • Nous vous recommandons de surveiller tous les événements 4625 pour les comptes de service, car ces comptes ne doivent pas être verrouillés ou empêchés de fonctionner. La surveillance est particulièrement pertinente pour les serveurs critiques, les stations de travail d’administration et d’autres ressources de grande valeur.

  • Si votre organisation restreint les ouvertures de session des manières suivantes, vous pouvez utiliser cet événement pour surveiller en conséquence :

    • Si le « Compte pour lequel l’ouverture de session a échoué \ID de sécurité » ne doit jamais être utilisé pour se connecter à partir des informations réseau\Nom de la station de travail spécifique.

    • Si un compte spécifique, tel qu’un compte de service, doit uniquement être utilisé à partir de votre liste d’adresses IP interne (ou d’une autre liste d’adresses IP). Dans ce cas, vous pouvez surveiller les informations réseau\Adresse réseau source et comparer l’adresse réseau avec votre liste d’adresses IP.

    • Si une version particulière de NTLM est toujours utilisée dans votre organisation. Dans ce cas, vous pouvez utiliser cet événement pour surveiller le nom du package (NTLM uniquement), par exemple, pour rechercher des événements où Le nom du package (NTLM uniquement) n’est pas égal à NTLM V2.

    • Si NTLM n’est pas utilisé dans votre organisation ou ne doit pas être utilisé par un compte spécifique (Nouvelle connexion\ID de sécurité). Dans ce cas, surveillez tous les événements où le package d’authentification est NTLM.

    • Si le package d’authentification est NTLM. Dans ce cas, surveillez la longueur de clé non égale à 128, car tous les systèmes d’exploitation Windows à partir de Windows 2000 prennent en charge la longueur de clé 128 bits.

    • Si le processus d’ouverture de session ne provient pas d’une liste de processus d’ouverture de session approuvée.

  • Surveillez tous les événements avec les champs et les valeurs du tableau suivant :

    Champ Valeur à surveiller
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0XC000005E : « Actuellement, aucun serveur d’ouverture de session n’est disponible pour traiter la demande d’ouverture de session . »
    Ce problème n’est généralement pas un problème de sécurité, mais il peut s’agir d’un problème d’infrastructure ou de disponibilité.
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0xC0000064 : « Connexion de l’utilisateur avec un compte d’utilisateur mal orthographié ou incorrect ».
    En particulier, si vous obtenez plusieurs de ces événements dans une ligne, cela peut être le signe d’une attaque d’énumération d’utilisateur.
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0xC000006A : « Connexion de l’utilisateur avec mot de passe mal orthographié ou incorrect » pour les comptes critiques ou les comptes de service.
    Surveillez en particulier un certain nombre de ces événements dans une ligne.
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0XC000006D : « Cela est dû à un nom d’utilisateur ou à des informations d’authentification incorrectes » pour les comptes critiques ou les comptes de service.
    Surveillez en particulier un certain nombre de ces événements dans une ligne.
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0xC000006F : « Ouverture de session de l’utilisateur en dehors des heures autorisées ».
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0xC0000070 : « Connexion utilisateur à partir d’une station de travail non autorisée ».
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0xC0000072 : « Connexion de l’utilisateur au compte désactivée par l’administrateur ».
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0XC000015B : « L’utilisateur n’a pas reçu le type d’ouverture de session demandé (également appelé droit d’ouverture de session) sur cet ordinateur ».
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0XC0000192 : « Une tentative d’ouverture de session a été effectuée, mais le service Netlogon n’a pas démarré ».
    Ce problème n’est généralement pas un problème de sécurité, mais il peut s’agir d’un problème d’infrastructure ou de disponibilité.
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0xC0000193 : « Connexion de l’utilisateur avec un compte expiré ».
    Informations sur l’échec\État ou
    Informations sur l’échec\État sub    		 0XC0000413 : « Échec de connexion : la machine sur laquelle vous vous connectez est protégée par un pare-feu d’authentification. Le compte spécifié n’est pas autorisé à s’authentifier sur l’ordinateur».