4740 (S) :用户帐户被锁定。

Event 4740 illustration

子类别: 审核用户帐户管理

事件说明:

每次用户帐户被锁定时,都会生成此事件。

对于用户帐户,此事件在域控制器、成员服务器和工作站上生成。

注意事项    有关建议,请参阅此事件的安全监控建议


事件 XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4740</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13824</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-21T22:06:08.576887500Z" /> 
 <EventRecordID>175703</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1112" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">WIN81</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-2104</Data> 
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 </EventData>
 </Event>

所需的服务器角色: 无。

操作系统的最低版本: Windows Server 2008、Windows Vista。

事件版本: 0。

字段描述:

主题:

  • 安全 ID [Type = SID] 执行锁定操作的帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。

注意  安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息,参见安全标识符

  • 帐户名称 [Type = UnicodeString] 执行锁定操作的帐户的名称。

  • 帐户域 [Type = UnicodeString] 域或计算机名称。 格式各不相同,包括以下内容:

    • 域 NETBIOS 名称示例: CONTOSO

    • 小写完整域名: contoso.local

    • 大写完整域名:CONTOSO.LOCAL

    • 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。

    • 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。

  • 登录 ID \ [Type = HexInt64 ] 十六进制值,可帮助您将此事件与可能包含相同登录 ID 的最新事件(例如,"4624:帐户已成功登录")相关联。

已锁定的帐户:

  • 安全 ID [Type = SID] 已锁定的帐户的 SID。事件查看器自动尝试解析 SID 并显示帐户名称。 如果无法解析 SID,将在事件中看到源数据。

  • 帐户名称 [Type = UnicodeString] 已锁定的帐户的名称。

其他信息:

  • 调用方计算机名称 [Type = UnicodeString] 从中接收登录尝试并锁定目标帐户的计算机帐户的名称。例如:WIN81。

安全监控建议

对于 4740 (S) :用户帐户被锁定。

重要  对于此事件,另请参阅 附录 A:针对许多审核事件的安全监视建议

  • 由于此事件通常由 SYSTEM 帐户触发,因此建议你在 “Subject\Security ID” 不是 SYSTEM 时报告它。

  • 例如,如果有高价值域或本地帐户 (域管理员帐户) 需要监视每个锁定,请使用与帐户相对应的“已锁定的帐户\安全 ID” 值监视所有 4740 事件。

  • 如果你有一个需要监视每个更改的高价值域或本地帐户,请使用与帐户对应的 “已锁定的帐户 \Security ID” 监视所有 4740 事件。

  • 如果不应将用户帐户 “已锁定的帐户\安全 ID” 用于 (从 其他信息\调用方计算机名称) 身份验证尝试,则触发警报。

  • 监视所有 4740 个事件,其中 其他信息\调用方计算机名称 不是来自你的域。 但是,请注意,即使计算机不在您的域中,你也会在 4740 事件中获取计算机名称而不是 IP 地址。