4625(F): アカウントがログオンに失敗しました。

Event 4625 illustration

サブカテゴリ: アカウント ロックアウトの監査ログオンの監査

イベントの説明:

このイベントは、ログオンに失敗した場合にログに記録されます。

ログオンが試行されたコンピューターで生成されます。たとえば、ユーザーのワークステーションでログオンが試行された場合、イベントはこのワークステーションに記録されます。

このイベントは、ドメイン コントローラー、メンバー サーバー、およびワークステーションで生成されます。

注意

推奨事項については、このイベントの セキュリティ監視に関する推奨事項 を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン: 0。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [Type = SID]: ログオン失敗に関する情報を報告したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

    注意

        **セキュリティ識別子 (SID)** は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「[セキュリティ識別子](/windows/access-protection/access-control/security-identifiers)」を参照してください。
    
  • アカウント名 [Type = UnicodeString]: ログオン失敗に関する情報を報告したアカウント名。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 フォーマット例を次に示します:

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン タイプ [種類 = UInt32]: 実行されたログオン タイプ。 “テーブル 11。 Windows ログオン タイプ” には、このフィールドで使用できる値の一覧が含まれています。

    表 11: Windows ログオン タイプ

    ログオン タイプ ログオン タイトル 説明
    2 対話型 ユーザーがこのコンピューターにログオンしました。
    3 ネットワーク ネットワークからこのコンピューターにログオンしたユーザーまたはコンピューター。
    4 バッチ バッチ ログオンの種類はバッチ サーバーによって使用され、そこではプロセスが直接介入せずにユーザーの代わりに実行される可能性があります。
    5 サービス サービス コントロール マネージャーによってサービスが開始されました。
    7 ロックを解除する このワークステーションのロックが解除されました。
    8 NetworkCleartext ユーザーがネットワークからこのコンピューターにログオンしました。 ユーザーのパスワードは、非ハッシュ化形式で認証パッケージに渡されました。 組み込みの認証では、ネットワーク経由で送信する前に、すべてのハッシュ資格情報がパッケージ化されます。 資格情報は、プレーンテキスト (クリア テキストとも呼ばれます) でネットワークを通過しません。
    9 NewCredentials 送信元が現在のトークンを複製し、送信接続用に新しい資格情報を指定しました。 新しいログオン セッションのローカル ID は同じですが、他のネットワーク接続には異なる資格情報を使用します。
    10 RemoteInteractive ターミナル サービスまたはリモート デスクトップを使用してリモートでこのコンピューターにログオンしたユーザー。
    11 CachedInteractive コンピューターにローカルに保存されたネットワーク資格情報を使用してこのコンピューターにログオンしたユーザー。 資格情報を確認するために、ドメイン コントローラーに接続できませんでした。

ログオンに失敗したアカウント:

  • セキュリティ ID [種類 = SID]: ログオン試行で指定されたアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

    注意

        **セキュリティ識別子 (SID)** は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「[セキュリティ識別子](/windows/access-protection/access-control/security-identifiers)」を参照してください。
    
  • アカウント名 [Type = UnicodeString]: ログオン試行で指定されたアカウント名。

  • アカウント ドメイン [種類 = UnicodeString]: ドメインまたはコンピューター名。 フォーマット例を次に示します:

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

失敗情報:

  • 失敗の理由 [Type = UnicodeString]: Status フィールド値のテキストによる説明。 このイベントでは、通常 "アカウントのロックアウト" 値を持っています。

  • 状態 [タイプ = HexInt32]: ログオンに失敗した理由。 このイベントの場合、通常は "0xC0000234" 値を保持しています。 最も一般的なステータス コードはテーブル 12 に一覧されています。 Windows ログオン ステータス コード。

    テーブル 12: Windows ログオン ステータス コード。

    Status\Sub-Status Code 説明
    0XC000005E 現在、ログオン要求を処理できるログオン サーバーはありません。
    0xC0000064 スペルミスまたは不適切なユーザー アカウントを使用したユーザー ログオン
    0xC000006A スペルミスまたは不適切なパスワードを使用したユーザー ログオン
    0XC000006D 原因は、不適切なユーザー名または認証情報のいずれかです
    0XC000006E 参照されているユーザー名と認証情報が有効であることを示しますが、一部のユーザー アカウント制限によって認証の成功が妨げられています (時間帯の制限など)。
    0xC000006F 承認された時間外のユーザー ログオン
    0xC0000070 承認されていないワークステーションからのユーザー ログオン
    0xC0000071 有効期限が切れたパスワードを使用したユーザー ログオン
    0xC0000072 管理者によって無効になっているアカウントへのユーザー ログオン
    0XC00000DC Sam Server が目的の操作を実行する上で間違った状態であることを示します。
    0XC0000133 DC と他のコンピューター間のクロックが遠すぎて同期していません
    0XC000015B このコンピューターで要求されたログオン タイプ (ログオン権限とも呼ばれます) がユーザーに付与されていません
    0XC000018C プライマリ ドメインと信頼されたドメインの間の信頼関係が失敗したため、ログオン要求が失敗しました。
    0XC0000192 ログオンが試行されましたが、Netlogon サービスは開始されませんでした。
    0xC0000193 有効期限が切れたアカウントでのユーザー ログオン
    0XC0000224 ユーザーは、次回のログオン時にパスワードを変更する必要があります
    0XC0000225 明らかに、Windows のバグであり、リスクではありません
    0xC0000234 アカウントがロックされたユーザー ログオン
    0XC00002EE 失敗の理由: ログオン中にエラーが発生しました
    0XC0000413 ログオン失敗: ログオンするコンピューターは、認証ファイアウォールによって保護されます。 指定したアカウントは、コンピューターに対する認証が許可されていません。
    0x0 ステータス OK。

注意

他のステータス コードまたはサブステータス コードの意味を確認するには、Windows SDK の Windows ヘッダー ファイル ntstatus.h で状態コードを確認することもできます。

その他の情報: https://dev.windows.com/en-us/downloads

  • Sub Status [Type = HexInt32]: ログオン失敗に関する追加情報。 "テーブル 12 に記載されている最も一般的なサブステータス コード。 Windows ログオン ステータス コード。"。

プロセス情報:

  • 送信元プロセス ID [Type = Pointer]: ログオンを試行したプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムで使用される番号です。 特定のプロセスの PID を表示するには、たとえば、次のようにタスク マネージャー ([詳細] タブの PID 列) を使用します。

    Task manager illustration

    16 進数の値を 10 進数に変換することで、タスク マネージャーの値と比較することができます。

    このプロセス ID と他のイベントのプロセス ID を関連付けることもできます。たとえば、"4688: 新しいプロセスが作成されました" プロセス情報 \ 新しいプロセス ID

  • 送信元プロセス名 [Type = UnicodeString]: 完全パスとプロセスの実行可能ファイル名。

ネットワーク情報:

  • ワークステーション名 [Type = UnicodeString]: ログオン試行が実行されたマシン名。

  • ソース ネットワーク アドレス [Type = UnicodeString]: ログオン試行が実行されたマシンの IP アドレス。

    • クライアントの IPv6 アドレスまたは ::ffff:IPv4 アドレス。

    • ::1 または 127.0.0.1 は localhost を意味します。

  • ソース ポート [Type = UnicodeString]: リモート コンピューターからのログオン試行に使用されたソース ポート。

    • 対話型ログオンの場合は 0。

詳細な認証情報:

  • ログオン プロセス [Type = UnicodeString]: ログオン試行に使用された信頼されたログオン プロセス名。 詳細については、イベント "4611: 信頼されたログオン プロセスが権威ローカル セキュリティの説明に登録されました" を参照してください。

  • 認証パッケージ [Type = UnicodeString]: ログオン認証プロセスに使用された認証パッケージ名。 LSA の起動時に読み込まれる既定のパッケージは、 "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig" レジストリ キーにあります。 他のパッケージは実行時に読み込むことができます。 新規パッケージが"4610を読み込む場合: 認証パッケージがローカル セキュリティ機関" (通常は NTLM の場合) または "4622: セキュリティ パッケージがローカル セキュリティ機関によって読み込まれました" (通常は Kerberos の場合) イベントがログに記録され、新しいパッケージがパッケージ名と共に読み込まれたことを示します。 最も一般的な認証パッケージは次のとおりです:

    • NTLM – NTLM ファミリ認証

    • Kerberos – Kerberos 認証。

    • ネゴシエート – ネゴシエート セキュリティ パッケージでは、Kerberos プロトコルと NTLM プロトコルの間で選択されます。 ネゴシエートは、認証に関連するシステムの 1 つでも使用できない場合、または呼び出し元のアプリケーションが Kerberos を使用するための十分な情報を提供していない場合を除き、Kerberos を選択します。

  • 転送されたサービス [Type = UnicodeString] [Kerberos-only]: 送信されたサービスの一覧。 送信されたサービスは、ログオンが S4U (Service For User) ログオン プロセスの結果である場合に設定されます。 S4U は、ユーザーに代わってアプリケーション サービスが Kerberos サービス チケットを取得できるようにする Kerberos プロトコルの Microsoft 拡張機能です。最も一般的に、フロントエンド Web サイトがユーザーに代わって内部リソースにアクセスします。 S4U の詳細については、次を参照してください https://msdn.microsoft.com/library/cc246072.aspx

  • パッケージ名 (NTLM のみ) [Type = UnicodeString]: ログオン試行中に使用された LAN Manager サブパッケージ (NTLM ファミリ プロトコル名) の名称。 設定可能な値は、次のとおりです。

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      "認証パッケージ" = "NTLM" の場合にのみ追加されます。

  • キーの長さ [Type = UInt32]: NTLM セッション セキュリティ キーの長さ。 通常、長さは 128 ビットまたは 56 ビットです。 このパラメーターは、Kerberos プロトコルには適用されないため、"認証パッケージ" = "Kerberos" の場合は常に 0 です。 Kerberos が ネゴシエート 認証パッケージを使用してネゴシエートされた場合も、このフィールドの値は "0" になります。

セキュリティ監視の推奨事項

4625(F): アカウントのログオンに失敗しました。

重要

このイベントについては、「付録 A: 多くの監査イベントのためのセキュリティ監査の推奨事項」も参照してください。

  • このイベントで報告されたプロセスに対して定義済みの"プロセス名"がある場合は、"プロセス名" を使用してすべてのイベントを監視しますが、定義された値と等しくありません。

  • "プロセス名" が標準フォルダー (System32Program Filesではないなど) に存在しないか、制限付きフォルダー (Temporary Internet Filesなど) にあるかどうかを監視できます。

  • プロセス名に制限された部分文字列または単語 ("mimikatz" や "cain.exe" など) の定義済みの一覧がある場合、"プロセス名" でこれらの部分文字列を確認します。

  •        **Subject\\Account Name** がサービス アカウントまたはユーザー アカウント名である場合は、**ログオンに失敗したアカウント\\セキュリティ ID**のログオンを要求することが、そのアカウントで許可されている (または予期される) かどうかを調べるのに役立つ場合があります。
    
  • ログオン タイプとそれを使用するアカウントとの不一致を監視するには (たとえば、ログオン タイプ 4-Batch または 5-Service がドメイン管理グループのメンバーによって使用されている場合)、このイベントの ログオン タイプ を監視します。

  • すべてのロックアウトを監視する必要がある価値の高いドメインまたはローカル アカウントがある場合は、アカウントに対応する "Subject\Security ID" を使用 して全ての4625イベントを監視します。

  • 通常、これらのアカウントはロックアウトされないので、ローカル アカウントのすべての 4625 イベントを監視することをお勧めします。監視することは、重要なサーバー、管理ワークステーション、およびその他の価値の高い資産に対して、とりわけ妥当性があります。

  • サービス アカウントの4625イベントをすべて監視することをお勧めします。なぜなら、これらのアカウントはロックアウトしたり、機能しないようにされるべきではないからです。 監視は、重要なサーバー、管理ワークステーション、およびその他の価値の高い資産について、とりわけ妥当性があります。

  • 組織が次の方法でログオンを制限している場合は、このイベントを使用してそれに準じて監視できます:

    • 特定のネットワーク情報\ワークステーション名からログオンするために、"ログオンに失敗したアカウント\Security ID" を使用しないでください。

    • サービス アカウントなどの特定のアカウントは、内部 IP アドレス一覧 (または他の IP アドレス一覧) からのみ使用する必要があります。 この場合は、 ネットワーク情報\送信元ネットワーク アドレス を監視し、ネットワーク アドレスと IP アドレス一覧を比較できます。

    • 特定バージョンの NTLM が常に組織内で使用されている場合。 この場合、このイベントを使用して パッケージ名 (NTLM のみ) を監視できます。たとえば、パッケージ名 (NTLM のみ)NTLM V2と等しくないイベントを検索できます。

    • NTLM が組織で使用されていない場合、または特定のアカウントで使用しない場合 (新規ログオン\セキュリティ ID)。 この場合は、認証パッケージ が NTLM であるすべてのイベントを監視します。

    •    **認証パッケージ** が NTLM の場合。 この場合は、Windows 2000 以降すべて 128 ビット がサポートされているため、**キーの長さ**が 128 に等しくない場合を監視します。
      
    •    **ログオン プロセス** が信頼されたログオン プロセスの一覧にない場合。
      
  • 次のテーブルのフィールドと値を使用して、すべてのイベントを監視します:

    フィールド 監視対象の値
    失敗情報\状態 または
    失敗情報\サブ状態
    0XC000005E – "現在、ログオン要求を処理できるログオン サーバーがありません。
    通常、この問題はセキュリティの問題ではありませんが、インフラストラクチャまたは可用性の問題である可能性があります。
    失敗情報\状態 または
    失敗情報\サブ状態
    0xC0000064 – "スペルミスまたは不適切なユーザー アカウントを使用したユーザー ログオン"。
    特に、これらのイベントのいくつかを行に含める場合は、ユーザー列挙型攻撃の兆候になる可能性があります。
    失敗情報\状態 または
    失敗情報\サブ状態
    0xC000006A – 重要なアカウントまたはサービス アカウントについての "パスワードのスペルミスまたは不適切なユーザー ログオン" です。
    特に、このような数々のイベントを 1 行で監視します。
    失敗情報\状態 または
    失敗情報\サブ状態
    0XC000006D – 重要なアカウントまたはサービス アカウントに関する "これは、不適切なユーザー名または認証情報が原因" です。
    特に、このような数々のイベントを 1 行で監視します。
    失敗情報\状態 または
    失敗情報\サブ状態
    0xC000006F – "承認済み時間外のユーザー ログオン" です。
    失敗情報\状態 または
    失敗情報\サブ状態
    0xC0000070 – "承認されていないワークステーションからのユーザー ログオン"。
    失敗情報\状態 または
    失敗情報\サブ状態
    0xC0000072 – "管理者によって無効になっているアカウントへのユーザー ログオン" です。
    失敗情報\状態 または
    失敗情報\サブ状態
    0XC000015B – "ユーザーには、このコンピューターで要求されたログオン タイプ (ログオン権とも呼ばれます) が付与されていません。
    失敗情報\状態 または
    失敗情報\サブ状態
    0XC0000192 – "ログオンが試行されましたが、Netlogon サービスが開始されませんでした"。
    通常、この問題はセキュリティの問題ではありませんが、インフラストラクチャまたは可用性の問題である可能性があります。
    失敗情報\状態 または
    失敗情報\サブ状態
    0xC0000193 – "有効期限が切れたアカウントを使用したユーザー ログオン" です。
    失敗情報\状態 または
    失敗情報\サブ状態
    0XC0000413 – "ログオン失敗: ログオンしているマシンは、認証ファイアウォールによって保護されています。 指定したアカウントは、そのコンピューターに対する認証を許可されません"。