4740(S): Ein Benutzerkonto wurde gesperrt.

Event 4740 illustration

Unterkategorie:   Benutzerkontenverwaltung überwachen

Ereignisbeschreibung:

Dieses Ereignis wird jedes Mal generiert, wenn ein Benutzerkonto gesperrt ist.

Bei Benutzerkonten wird dieses Ereignis auf Domänencontrollern, Mitgliedsservern und Arbeitsstationen generiert.

Hinweis  Empfehlungen finden Sie unter Empfehlungen zur Sicherheitsüberwachung für dieses Ereignis.


Ereignis-XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4740</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13824</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-21T22:06:08.576887500Z" /> 
 <EventRecordID>175703</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1112" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">WIN81</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-2104</Data> 
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 </EventData>
 </Event>

Erforderliche Serverrollen: keine.

Mindestens BS-Version: Windows Server 2008, Windows Vista.

Ereignisversionen: 0.

Beschreibung der Felder:

Betreff:

  • Sicherheits-ID [Typ = SID]: SID des Kontos, das den Sperrvorgang ausgeführt hat. Die Ereignisanzeige versucht automatisch, SIDs aufzulösen und den Kontonamen anzuzeigen. Wenn die SID nicht aufgelöst werden kann, werden die Quelldaten des Ereignisses angezeigt.

Hinweis  Einer Sicherheits-ID (SID) ist ein eindeutiger Wert mit variabler Länge, mit dem ein Vertrauensnehmer (Sicherheitsprinzipal) identifiziert wird. Jedes Konto verfügt über eine eindeutige SID, die von einer Zertifizierungsstelle (z. B. einem Active Directory-Domänencontroller) ausgestellt und in einer Sicherheitsdatenbank gespeichert wird. Jedes Mal, wenn ein Benutzer sich anmeldet, ruft das System die SID für diesen Benutzer aus der Datenbank ab und fügt Sie in sein Zugriffstoken ein. Das System verwendet die SID im Zugriffstoken, um den Benutzer in allen weiteren Interaktionen mithilfe der Windows-Sicherheit zu identifizieren. Sobald eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann Sie nicht wieder verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren. Weitere Informationen zu SIDs finden Sie unter Sicherheitskennungen.

  • Kontoname [Typ = UnicodeString]: der Name des Kontos, das den Sperrvorgang ausgeführt hat.

  • Kontodomäne [Typ = UnicodeString]: Domänen- oder Computername. Die Formate sind unterschiedlich und umfassen:

    • NetBIOS-Domänenname, z. B. CONTOSO

    • Vollständiger Domänenname in Kleinbuchstaben: contoso.local

    • Vollständiger Domänenname in Großbuchstaben: CONTOSO.LOCAL

    • Bei einigen bekannten Sicherheitsprinzipalen, z. B. "LOCAL SERVICE" oder "ANONYMOUS LOGON", lautet der Wert dieses Felds "NT AUTHORITY".

    • Bei lokalen Benutzerkonten enthält dieses Feld den Namen des Computers oder Geräts, zu dem dieses Konto gehört, z. B. "Win81".

  • Anmelde-ID [Typ = HexInt64 ]: Hexadezimaler Wert, der Ihnen dabei helfen kann, dieses Ereignis zu den zuletzt verwendeten Ereignissen in Beziehung zu setzen, die möglicherweise dieselbe Anmelde-ID enthalten, z. B. "4624: “Ein Konto wurde erfolgreich angemeldet."

Konto, das gesperrt wurde:

  • Sicherheits-ID [Typ = SID]: SID des Kontos, das gesperrt wurde. Die Ereignisanzeige versucht automatisch, SIDs aufzulösen und den Kontonamen anzuzeigen. Wenn die SID nicht aufgelöst werden kann, werden die Quelldaten des Ereignisses angezeigt.

  • Kontoname [Typ = UnicodeString]: der Name des Kontos, das gesperrt wurde.

Zusätzliche Informationen:

  • Caller Computer Name [Type = UnicodeString]: Der Name des Computerkontos, von dem der Anmeldeversuch empfangen wurde und nach dem das Zielkonto gesperrt wurde. Beispiel: WIN81.

Empfehlungen für die Sicherheitsüberwachung

Für 4740(S): Ein Benutzerkonto wurde gesperrt.

****   Wichtig   Weitere Informationen zu diesem Ereignis finden Sie unter Anhang A: Empfehlungen zur Sicherheitsüberwachung für viele Überwachungsereignisse.

  • Da dieses Ereignis normalerweise vom SYSTEM-Konto ausgelöst wird, empfehlen wir, es zu melden, wenn "Subject\Security ID" nicht SYSTEM ist.

  • Wenn Sie über hochwertige Domänen- oder lokale Konten (z. B. Domänenadministratorkonten) verfügen, für die Sie jede Sperre überwachen müssen, überwachen Sie alle 4740-Ereignisse mit den Werten "Konto, das gesperrt wurde \Sicherheits-ID", die den Konten entsprechen.

  • Wenn Sie über eine hochwertige Domäne oder ein lokales Konto verfügen, für das Sie jede Änderung überwachen müssen, überwachen Sie alle 4740-Ereignisse mit der "Konto, das gesperrt wurde \Sicherheits-ID", die dem Konto entspricht.

  • Wenn das Benutzerkonto "Konto, das gesperrt wurde\Sicherheits-ID" nicht (für Authentifizierungsversuche) über den Computernamen "Zusätzliche Informationen\Anrufer" verwendet werden soll, lösen Sie eine Warnung aus.

  • Überwachen Sie alle 4740-Ereignisse, bei denen zusätzliche Informationen\Name des Anrufers-Computers nicht aus Ihrer Domäne stammt. Beachten Sie jedoch, dass auch wenn sich der Computer nicht in Ihrer Domäne befindet, der Computername anstelle einer IP-Adresse im 4740-Ereignis angezeigt wird.