4625(F):帐户登录失败。

  • 项目
Event 4625 illustration

子类别: 审核帐户锁定审核登录

事件说明:

对于登录失败,将记录此事件。

它在尝试登录的计算机上生成(例如,如果在用户的工作站上尝试登录,则在此工作站上记录时间)。

此事件在域控制器、成员服务器和工作站上生成。

备注

有关建议,请参阅此事件的安全监控建议


事件 XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

所需的服务器角色: 无。

操作系统的最低版本: Windows Server 2008、Windows Vista。

事件版本: 0。

字段描述:

主题:

  • 安全性 ID [Type = SID] 报告登录失败信息的帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。

    备注

    安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息,参见安全标识符

  • 帐户名称 [Type = UnicodeString] 报告登录失败信息的帐户的名称。

  • 帐户域 [Type = UnicodeString] 使用者的域或计算机名称。 下面是一些格式示例:

    • 域 NETBIOS 名称示例: CONTOSO

    • 小写完整域名: contoso.local

    • 大写完整域名:CONTOSO.LOCAL

    • 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。

    • 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。

  • 登录类型 [Type = UInt32] 执行的登录类型。 “表 11。 Windows 登录类型”包含此字段的可能值列表。

    表 11:Windows 登录类型

    登录类型 登录标题 描述
    2 交互 登录到此计算机的用户。
    3 网络 从网络登录到此计算机的用户或计算机。
    4 批处理 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户直接干预。
    5 服务 服务控制管理器已启动服务。
    7 解除锁定 已解锁此工作站。
    8 NetworkCleartext 从网络登录到此计算机的用户。 用户的密码以未经过哈希处理的形式传递给验证包。 内置的身份验证将所有哈希凭证打包,然后再通过网络发送它们。 凭据不会以纯文本(也称为明文)形式遍历网络。
    9 NewCredentials 调用方克隆了其当前令牌并为出站连接指定了新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。
    10 RemoteInteractive 使用终端服务或远程桌面远程登录到此计算机的用户。
    11 CachedInteractive 使用存储在计算机上的本地网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据。

登录失败的帐户:

  • 安全性 ID [Type = SID] 登录尝试中指定帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。

    备注

    安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息,参见安全标识符

  • 账户名称 [Type = UnicodeString] 登录尝试中指定的帐户的名称。

  • 帐户域 [Type = UnicodeString] 域或计算机名称。 下面是一些格式示例:

    • 域 NETBIOS 名称示例: CONTOSO

    • 小写完整域名: contoso.local

    • 大写完整域名:CONTOSO.LOCAL

    • 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。

    • 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。

  • 登录 ID \ [Type = HexInt64 ] 十六进制值,可帮助您将此事件与可能包含相同登录 ID 的最新事件(例如,"4624:帐户已成功登录")相关联。

失败信息:

  • 失败原因 [Type = UnicodeString]:****状态字段值的文本说明。 对于此事件,它通常具有“Account locked out”值。

  • 状态 [Type = HexInt32] 登录失败的原因。 对于此事件,它通常具有“0xC0000234”值。 表 12 列出了最常见的状态代码。 Windows 登录状态代码。

    表 12:Windows 登录状态代码。

    Status\Sub-Status Code 描述
    0XC000005E 当前没有可用于服务登录请求的登录服务器。
    0xC0000064 用户使用拼写错误或错误用户帐户进行登录
    0xC000006A 用户使用拼写错误或错误密码进行登陆
    0XC000006D 原因可能是用户名或身份验证信息错误
    0XC000006E 指示引用的用户名和身份验证信息有效,但某些用户帐户限制阻止了成功的身份验证(例如时间限制)。
    0xC000006F 用户在授权时间之外登录
    0xC0000070 用户从未经授权的工作站登录
    0xC0000071 用户使用过期密码登录
    0xC0000072 用户登录到管理员已禁用的帐户
    0XC00000DC 指示 Sam 服务器处于错误状态,无法执行所需操作。
    0XC0000133 DC 和其他计算机之间的时钟完全不同步
    0XC000015B 此计算机上尚未授予用户请求的登录类型(也称为登录权限
    0XC000018C 登录请求失败,因为主域和受信任域之间的信任关系失败。
    0XC0000192 尝试登录,但 Netlogon 服务未启动。
    0xC0000193 用户使用过期帐户登录
    0XC0000224 用户需要在下次登录时更改密码
    0XC0000225 很明显,这是 Windows 中的错误而非风险
    0xC0000234 帐户已锁定的用户登录
    0XC00002EE 失败原因:登录时出错
    0XC0000413 登录失败:登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证。
    0x0 状态正常。

备注

要查看其他状态或子状态代码的含义,还可以在 Windows SDK 的窗口头文件 ntstatus.h 中检查状态代码。

更多信息: https://dev.windows.com/en-us/downloads

  • 子状态 [Type = HexInt32] 有关登录失败的其他信息。 最常见的子状态代码列在“表 12。 Windows 登录状态代码。”

进程信息:

  • 调用方进程 ID [Type = Pointer]:尝试登录的进程十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。 例如,若要查看特定进程的 PID,可使用任务管理器(“详细信息”选项卡,PID 列):

    Task manager illustration

    如果将十六进制值转换为十进制,则可以将其与任务管理器中的值进行比较。

    还可以将此进程 ID 与其他事件中的进程 ID 相关联,例如 “4688:已创建新进程”Process Information\New Process ID

  • 调用方进程名称 [Type = UnicodeString] 进程的完整路径和可执行文件的名称。

网络信息:

  • 工作站名称 [Type = UnicodeString] 从中执行登录尝试的计算机名。

  • 源网络地址 [Type = UnicodeString] 执行登录尝试的计算机 IP 地址。

    • IPv6 地址或客户端 ::ffff:IPv4 地址。

    • ::1 或 127.0.0.1 指本地主机。

  • 源端口 [Type = UnicodeString]:用于从远程计算机进行登录尝试的源端口。

    • 0 用于交互式登录。

详细身份验证信息:

  • 登录进程 [Type = UnicodeString] 用于登录尝试的受信任登录进程的名称。 有关详细信息,请参阅事件“4611:受信任的登录进程已向本地安全机构注册”描述。

  • 验证包 [Type = UnicodeString] 用于登录身份验证过程的验证包的名称。 LSA 启动时加载的默认包位于“HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig”注册表项中。 其他包可以在运行时加载。 加载新包时,将记录“4610:本地安全机构已加载验证包”(通常用于 NTLM)或“4622:本地安全机构已加载安全包”(通常用于 Kerberos)事件,以指示已加载新包以及包名称。 最常见的验证包包括:

    • NTLM – NTLM 系列身份验证

    • Kerberos – Kerberos 身份验证。

    • Negotiate – 协商安全包在 Kerberos 和 NTLM 协议之间进行选择。. 协商选择 Kerberos,除非身份验证中涉及的某个系统无法使用它,或者调用应用程序没有提供足够的信息来使用 Kerberos。

  • 已传输服务 [Type = UnicodeString] [Kerberos-only] 传输服务的列表。 如果登录是 S4U(用户服务)登录过程的结果,则会填充传输的服务。 S4U 是 Kerberos 协议的 Microsoft 扩展,允许应用程序服务代表用户获取 Kerberos 服务票证——最常见的方式是由前端网站代表用户访问内部资源。 有关 S4U 的更多信息,请参阅 https://msdn.microsoft.com/library/cc246072.aspx

  • 包名称(仅 NTLM) [Type = UnicodeString] 登录尝试期间使用的 LAN 管理器子包的名称(NTLM 系列协议名称)。 可能的值为:

    • “NTLM V1”

    • “NTLM V2”

    • “LM”

      仅当 “Authentication Package”=“NTLM” 时填充。

  • 密钥长度 [Type = UInt32] NTLM 会话安全密钥的长度。 通常,它的长度为 128 位或 56 位。 如果 “Authentication Package”=“Kerberos”,则此参数始终为 0,因为它不适用于 Kerberos 协议。 如果使用协商验证包协商 Kerberos,则此字段也将具有“0”值。

安全监控建议

对于 4625 (F):帐户登录失败。

重要

对于此事件,另请参见附录 A:许多审核事件的安全监视建议

  • 如果此事件中报告的进程具有预定义的“进程名称”,请监视“进程名称”不等于定义值的所有事件。

  • 可以监视“进程名称”是否不在标准文件夹(例如,不在 System32Program Files 中)或受限文件夹(例如,Temporary Internet Files)中。

  • 如果进程名称中有预定义的禁用子字符串或单词列表(例如,“mimikatz”或 “cain.exe”),请在“进程名称”中检查这些子字符串。

  • 如果 Subject\Account Name 是服务帐户或用户帐户的名称,则调查是否允许(或预期)该帐户为Account For Which Logon Failed\Security ID 请求登录可能很有用。

  • 要监视登录类型与使用其帐户之间是否不匹配(例如,如果域管理组的成员使用登录类型 4-Batch 或 5-Service),请在此事件中监视登录类型

  • 如有高值域或本地帐户,则需要为其监视每个锁定,请使用与该帐户对应的“Subject\Security ID”监视所有 4625 事件。

  • 建议监视本地帐户的所有 4625 事件,因为这些帐户通常不应被锁定。监视尤其适用于关键服务器、管理工作站和其他高价值资产。

  • 建议监视服务帐户的所有 4625 事件,因为不应锁定或阻止这些帐户正常工作。 监视尤其适用于关键服务器、管理工作站和其他高价值资产。

  • 如果组织通过以下方式限制登录,则可以使用此事件进行相应的监视:

    • 如果 “Account For Which Logon Failed \Security ID” 始终不能从特定的 Network Information\Workstation Name 登录。

    • 如果是特定帐户(如服务帐户),则应只能从内部 IP 地址列表(或其他IP地址列表)中使用。 在这种情况下,可以监视Network Information\Source Network Address,并将网络地址与 IP 地址列表进行比较。

    • 如果组织中始终使用 NTLM 的特定版本。 在这种情况下,可以使用此事件监视包名称(仅 NTLM),例如查找包名称(仅 NTLM) 不等于 NTLM V2 的事件。

    • 如果未在组织中使用 NTLM,或不应由特定帐户使用(New Logon\Security ID)。 在这种情况下,监视验证包为 NTLM 的所有事件。

    • 如果验证包是 NTLM。 在这种情况下,监视密钥长度不等于 128,因为从 Windows 2000 开始的所有 Windows 操作系统都支持 128 位密钥长度。

    • 如果登录进程不是来自受信任的登录进程列表。

  • 使用下表中的字段和值监视所有事件:

    字段 要监视的值
    Failure Information\Status
    Failure Information\Sub Status    		 0XC000005E – “当前没有可用于服务登录请求的登录服务器。”
    此问题通常不是安全问题,但也可能是基础设施或可用性问题。
    Failure Information\Status
    Failure Information\Sub Status    		 0xC0000064 – “用户使用拼写错误或错误用户帐户进行登录”。
    尤其是如果连续发生多个此类事件,这可能是用户枚举攻击的迹象。
    Failure Information\Status
    Failure Information\Sub Status    		 0xC000006A – “用户使用拼写错误或错误密码进行登陆”,用于关键帐户或服务帐户。
    尤其要注意连续发生的一些此类事件。
    Failure Information\Status
    Failure Information\Sub Status    		 0XC000006D – “这是由于错误的用户名或验证信息导致的”,用于关键帐户或服务帐户。
    尤其要注意连续发生的一些此类事件。
    Failure Information\Status
    Failure Information\Sub Status    		 0xC000006F – “用户在授权时间之外登录。”
    Failure Information\Status
    Failure Information\Sub Status    		 0xC0000070 – “用户从未经授权的工作站登录”。
    Failure Information\Status
    Failure Information\Sub Status    		 0xC0000072 – “用户登录到管理员已禁用的帐户”。
    Failure Information\Status
    Failure Information\Sub Status    		 0XC000015B – “用户尚未被授予此计算机上请求的登录类型(也称为登录权限)”。
    Failure Information\Status
    Failure Information\Sub Status    		 0XC0000192 – “尝试登录,但 Netlogon 服务未启动”。
    此问题通常不是安全问题,但也可能是基础设施或可用性问题。
    Failure Information\Status
    Failure Information\Sub Status    		 0xC0000193 – “用户使用过期帐户登录”。
    Failure Information\Status
    Failure Information\Sub Status    		 0XC0000413 – “登录失败:登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证。”