4625 (F) :帳戶無法登入。

Event 4625 illustration

子類別:  稽核帳戶鎖定稽核登入

事件描述:

此事件會記錄為任何登入失敗。

它會在嘗試登入的電腦上產生,例如,如果在使用者的工作站上嘗試登入,則會在此工作站上記錄事件。

此事件會在網域控制站、成員伺服器和工作站上產生。

注意

如需建議,請參閱此事件 的安全性監視建議


事件 XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

必要的伺服器角色: 無。

最低的 OS 版本: Windows Server 2008、Windows Vista。

事件版本: 0。

欄位描述:

主旨:

  • 安全性識別碼 [類型 = SID] 報告登入失敗相關資訊的帳戶 SID。 事件檢視器會自動嘗試解析 SID,並顯示帳戶名稱。 如果無法解析 SID,您會在事件中看到來源資料。

    注意

    SID) (安全識別碼是可變長度的唯一值,可用來識別 (安全性主體) 信任者。 每個帳戶都有一個由授權單位 (例如 Active Directory 網網域控制站) 所發行的唯一 SID,並且儲存在安全性資料庫中。 每次使用者登入時,系統就會從資料庫中擷取該使用者的 SID,並將其放在該使用者的存取權杖中。 系統會在存取權杖中使用 SID,以在後續所有與 Windows 安全性的互動中識別使用者。 當 SID 已用來作為使用者或群組的唯一識別碼時,就不能再用於識別其他使用者或群組。 如需有關 SID 的詳細資訊,請參閱安全性識別碼

  • 帳戶名稱 [類型 = UnicodeString] 報告登入失敗相關資訊的帳戶名稱。

  • 帳戶網域 [類型 = UnicodeString] 主體的網域或電腦名稱。 以下是一些格式範例:

    • 網域 NETBIOS 名稱範例:CONTOSO

    • 小寫的完整網域名稱:contoso.local

    • 大寫的完整網域名稱:CONTOSO.LOCAL

    • 針對某些眾所周知的安全主體 (例如 LOCAL SERVICE 或 ANONYMOUS LOGON),此欄位的值為 “NT AUTHORITY”。

    • 針對本機使用者帳戶,此欄位會包含此帳戶所屬電腦或裝置的名稱,例如:"Win81"。

  • 登入類型 [Type = UInt32] 已執行的登入類型。 「表格 11。 [Windows 登入類型] 包含此欄位的可能值清單。

    表 11:Windows 登入類型

    登入類型 登入標題 說明
    2 互動 登入這部電腦的使用者。
    3 網路 使用者或電腦從網路登入這部電腦。
    4 批次登入類型是由批次伺服器使用,其中進程可能代表使用者執行,而不需直接介入。
    5 服務 服務控制管理員已啟動服務。
    7 解除鎖定 此工作站已解除鎖定。
    8 NetworkCleartext 使用者從網路登入這部電腦。 使用者的密碼已以未雜湊的形式傳遞至驗證套件。 內建驗證會封裝所有雜湊認證,然後再透過網路傳送。 認證不會以純文字方式周遊網路 (也稱為純文字) 。
    9 NewCredentials 呼叫端已複製其目前的權杖,並指定輸出連線的新認證。 新的登入會話具有相同的本機身分識別,但會針對其他網路連線使用不同的認證。
    10 RemoteInteractive 使用者使用終端機服務或遠端桌面從遠端登入這部電腦。
    11 CachedInteractive 使用者使用儲存在本機電腦上的網路認證登入這部電腦。 未連絡網域控制站以驗證認證。

帳戶登入失敗:

  • 安全性識別碼 [類型 = SID] 登入嘗試中指定之帳戶的 SID。 事件檢視器會自動嘗試解析 SID,並顯示帳戶名稱。 如果無法解析 SID,您會在事件中看到來源資料。

    注意

    SID) (安全識別碼是可變長度的唯一值,可用來識別 (安全性主體) 信任者。 每個帳戶都有一個由授權單位 (例如 Active Directory 網網域控制站) 所發行的唯一 SID,並且儲存在安全性資料庫中。 每次使用者登入時,系統就會從資料庫中擷取該使用者的 SID,並將其放在該使用者的存取權杖中。 系統會在存取權杖中使用 SID,以在後續所有與 Windows 安全性的互動中識別使用者。 當 SID 已用來作為使用者或群組的唯一識別碼時,就不能再用於識別其他使用者或群組。 如需有關 SID 的詳細資訊,請參閱安全性識別碼

  • 帳戶名稱 [類型 = UnicodeString] 登入嘗試中指定的帳號名稱。

  • 帳戶網域 [類型 = UnicodeString] 網域或電腦名稱稱。 以下是一些格式範例:

    • 網域 NETBIOS 名稱範例:CONTOSO

    • 小寫的完整網域名稱:contoso.local

    • 大寫的完整網域名稱:CONTOSO.LOCAL

    • 針對某些眾所周知的安全主體 (例如 LOCAL SERVICE 或 ANONYMOUS LOGON),此欄位的值為 “NT AUTHORITY”。

    • 針對本機使用者帳戶,此欄位會包含此帳戶所屬電腦或裝置的名稱,例如:"Win81"。

  • 登入識別碼 [類型 = HexInt64] 十六進位值,用來協助您將此事件與可能包含在相同登入識別碼中的最新事件建立關聯,例如:「4624:帳戶已成功登入」。

失敗資訊:

  • 失敗原因[類型 = UnicodeString]:****狀態域值的文字說明。 針對此事件,它通常會有「帳戶鎖定」值。

  • 狀態 [類型 = HexInt32] 登入失敗的原因。 針對此事件,它通常會有 「0xC0000234」 值。 最常見的狀態碼會列在表格 12 中。 Windows 登入狀態碼。

    表 12:Windows 登入狀態碼。

    Status\Sub-Status Code 描述
    0XC000005E 目前沒有任何登入伺服器可用來服務登入要求。
    0xC0000064 使用者登入拼錯或錯誤的使用者帳戶
    0xC000006A 密碼拼錯或密碼錯誤的使用者登入
    0XC000006D 原因是使用者名稱錯誤或驗證資訊不正確
    0XC000006E 表示參考的使用者名稱和驗證資訊有效,但某些使用者帳戶限制已防止成功驗證 (,例如) 的當日時間限制。
    0xC000006F 使用者在授權時數外登入
    0xC0000070 使用者從未經授權的工作站登入
    0xC0000071 使用過期密碼登入的使用者
    0xC0000072 使用者登入系統管理員停用的帳戶
    0XC00000DC 指出 Sam Server 的狀態錯誤,無法執行所需的作業。
    0XC0000133 DC 與其他電腦之間的時鐘太遠而不同步
    0XC000015B 使用者尚未被授與要求的登入類型 (也稱為此電腦的登 入權 限)
    0XC000018C 登入要求失敗,因為主域與受信任網域之間的信任關係失敗。
    0XC0000192 嘗試登入,但未啟動 Netlogon 服務。
    0xC0000193 已過期帳戶的使用者登入
    0XC0000224 使用者必須在下次登入時變更密碼
    0XC0000225 這顯然是 Windows 中的錯誤,而不是風險
    0xC0000234 已鎖定帳戶的使用者登入
    0XC00002EE 失敗原因:登入期間發生錯誤
    0XC0000413 登入失敗:您登入的電腦受到驗證防火牆的保護。 不允許指定的帳號向電腦進行驗證。
    0x0 狀態為 [確定]。

注意

若要查看其他狀態或子狀態碼的意義,您也可以在 Windows SDK 的 Windows 標頭檔 ntstatus.h 中檢查狀態碼。

詳細資訊: https://dev.windows.com/en-us/downloads

  • 子狀態 [Type = HexInt32] 登入失敗的其他資訊。 「表格 12」中列出的最常見子狀態碼。 Windows 登入狀態碼。」

處理序資訊:

  • 呼叫端進程標識 符 [類型 = 指標]:嘗試登入之進程的十六進位進程識別碼。 處理序識別碼 (PID) 是作業系統專門用來識別使用中處理序的數字。 例如,若要查看特定處理序的 PID,您可以使用 [工作管理員] ([詳細資料] 索引標籤的 [PID] 欄):

    Task manager illustration

    如果您將十六進位值轉換成十進位,則可以將其與 [工作管理員] 中的值進行比較。

    您也可以將此處理序識別碼與其他事件中的處理序識別碼建立關聯,例如「4688:已建立新的處理序」處理序資訊\新處理序識別碼

  • 呼叫端進程名稱 [類型 = UnicodeString] 進程的完整路徑和可執行檔名稱。

網路資訊:

  • 工作站名稱 [類型 = UnicodeString] 執行登入嘗試的電腦名稱稱。

  • 來源網路位址 [類型 = UnicodeString] 執行登入嘗試的電腦 IP 位址。

    • 用戶端的 IPv6 位址或 ::ffff:IPv4 位址。

    • ::1 或 127.0.0.1 表示 localhost。

  • 來源埠 [類型 = UnicodeString]:用於從遠端電腦登入嘗試的來源埠。

    • 0 表示互動式登入。

詳細的驗證資訊:

  • 登入進程 [類型 = UnicodeString] 用於登入嘗試的信任登入進程名稱。 如需詳細資訊,請參閱事件「4611:已向本地安全機構註冊信任的登入程式」描述。

  • 驗證套件 [類型 = UnicodeString] 用於登入驗證程式的驗證套件名稱。 LSA 啟動時載入的預設套件位於 「HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig」 登錄機碼中。 其他封裝可以在執行時間載入。 載入新套件時,「4610:本地安全機構已載入驗證套件」 (通常是針對 NTLM) 或「4622:本地安全機構已載入安全性套件」 (通常會記錄 Kerberos) 事件,以指出已載入新的套件以及套件名稱。 最常見的驗證套件包括:

    • NTLM – NTLM 系列驗證

    • Kerberos – Kerberos 驗證。

    • 交涉 – Kerberos 與 NTLM 通訊協定之間的交涉安全性套件選取。 除非涉及驗證的其中一個系統無法使用 Kerberos,否則交涉會選取 Kerberos,否則呼叫端應用程式未提供足夠的資訊來使用 Kerberos。

  • 傳輸的服務 [類型 = UnicodeString] [僅限 Kerberos] 傳輸的服務清單。 如果登入是 S4U (Service for User) 登入程式的結果,則會填入傳輸的服務。 S4U 是 Kerberos 通訊協定的 Microsoft 擴充功能,可讓應用程式服務代表使用者取得 Kerberos 服務票證 – 最常由前端網站代表使用者存取內部資源。 如需 S4U 的詳細資訊,請參閱 https://msdn.microsoft.com/library/cc246072.aspx

  • 套件名稱僅 (NTLM) ** [Type = UnicodeString]:** 在登入嘗試期間使用的 LAN Manager 子套件名稱 (NTLM 系列 通訊協定名稱) 。 可能值為:

    • 「NTLM V1」

    • 「NTLM V2」

    • 「LM」

      只有在 「Authentication Package」 = 「NTLM」 時才會填入。

  • 金鑰長度[類型 = UInt32]NTLM 會話安全性金鑰的長度。 一般而言,它的長度為 128 位或 56 位。 如果 「Authentication Package」 = 「Kerberos」,此參數一律為 0,因為它不適用於 Kerberos 通訊協定。 如果 Kerberos 是使用 涉驗證套件來交涉,此欄位也會有 「0」 值。

安全性監視建議

若為 4625 (F) :帳戶無法登入。

重要

針對此事件,另請參閱 附錄 A:許多稽核事件的安全性監視建議

  • 如果您在此事件中報告的進程有預先定義的「進程名稱」,請監視所有 「Process Name」 不等於您所定義值的事件。

  • 您可以監視「進程名稱」是否不在標準資料夾 (例如,不在 System32Program Files) 中,或是在受限制的資料夾 (例如,暫存因特 網檔案) 。

  • 如果您在進程名稱中有預先定義的限制子字串或字組清單, (例如「mimikatz」 或 「cain.exe」) ,請在 [進程名稱] 中檢查這些子字串。

  • 如果 Subject\Account Name 是服務帳戶或使用者帳戶的名稱,調查是否允許該帳戶 (或預期) 要求登入哪個登入 失敗\安全性識別碼可能很有用。

  • 例如,若要監視登入類型與使用它的帳戶之間的不符 (例如,如果網域系統管理群組的成員使用登入 類型 4-Batch 或 5-Service) ,請監視此事件中 的登入類型

  • 如果您有需要監視每個鎖定的高價值網域或本機帳戶,請使用對應至帳戶的 「Subject\Security ID」 來監視所有4625事件。

  • 建議您監視本機帳戶的所有 4625 事件,因為這些帳戶通常不應該被鎖定。監視特別適用于重要伺服器、系統管理工作站和其他高價值資產。

  • 建議您監視服務帳戶的所有 4625 事件,因為這些帳戶不應該被鎖定或無法運作。 監視特別適用于重要伺服器、系統管理工作站和其他高價值資產。

  • 如果您的組織以下列方式限制登入,您可以使用此事件來據以監視:

    • 如果 「登入失敗的帳戶 \安全識別碼」 不應該用來從特定 的網路資訊\工作站名稱登入

    • 如果特定帳戶,例如服務帳戶,則應該只從內部 IP 位址清單 (或其他 IP 位址清單) 使用。 在此情況下,您可以監視 網路資訊\來源網路位址 ,並將網路位址與 IP 位址清單進行比較。

    • 如果您的組織一律使用特定版本的 NTLM。 在此情況下,您可以使用此事件來監視 **僅) 的封裝名稱 (NTLM **,例如,尋找 **僅 (NTLM 的套件名稱) ** 不等於 NTLM V2的事件。

    • 如果您的組織中未使用 NTLM,或不應該由特定帳戶使用, ([新增登入\安全性標識 符]) 。 在此情況下,請監視 驗證套件 為 NTLM 的所有事件。

    • 如果 驗證套件 是 NTLM。 在此情況下,監視 金鑰長度 不等於 128,因為從 Windows 2000 開始的所有 Windows 作業系統都支援 128 位金鑰長度。

    • 如果 登入進程 不是來自信任的登入進程清單。

  • 使用下表中的欄位和值監視所有事件:

    欄位 要監視的值
    失敗資訊\狀態
    失敗資訊\子狀態
    0XC000005E – 「目前沒有任何登入伺服器可用來服務登入要求」。
    此問題通常不是安全性問題,但可能是基礎結構或可用性問題。
    失敗資訊\狀態
    失敗資訊\子狀態
    0xC0000064 – 「使用者登入拼錯或錯誤的使用者帳戶」。
    特別是當您在一個資料列中收到數個這些事件時,它可能是使用者列舉攻擊的徵兆。
    失敗資訊\狀態
    失敗資訊\子狀態
    0xC000006A – 重要帳戶或服務帳戶的「使用者登入密碼拼錯或密碼不正確」。
    特別注意資料列中的一些這類事件。
    失敗資訊\狀態
    失敗資訊\子狀態
    0XC000006D – 關鍵帳戶或服務帳戶的「這可能是因為使用者名稱或驗證資訊不正確」。
    特別注意資料列中的一些這類事件。
    失敗資訊\狀態
    失敗資訊\子狀態
    0xC000006F – 「使用者在授權時數外登入」。
    失敗資訊\狀態
    失敗資訊\子狀態
    0xC0000070 – 「使用者從未經授權的工作站登入」。
    失敗資訊\狀態
    失敗資訊\子狀態
    0xC0000072 – 「使用者登入系統管理員停用的帳戶」。
    失敗資訊\狀態
    失敗資訊\子狀態
    0XC000015B – 「尚未將要求的登入類型授與使用者 (也稱為登入許可權) 此電腦」。
    失敗資訊\狀態
    失敗資訊\子狀態
    0XC0000192 - 「嘗試登入,但未啟動 Netlogon 服務」。
    此問題通常不是安全性問題,但可能是基礎結構或可用性問題。
    失敗資訊\狀態
    失敗資訊\子狀態
    0xC0000193 – 「使用者使用過期的帳戶登入」。
    失敗資訊\狀態
    失敗資訊\子狀態
    0XC0000413 – 「登入失敗:您要登入的電腦受到驗證防火牆的保護。 不允許指定的帳號向電腦進行驗證」。