4625(F): no se pudo iniciar sesión en una cuenta.

Se aplica a

  • Windows 10
  • WindowsServer2016
Event 4625 illustration

Subcategorías:   Bloqueo de cuentas de auditoría e inicio de sesión de auditoría

Descripción del evento:

Este evento se genera si se produce un error en un intento de inicio de sesión de cuenta cuando la cuenta ya estaba bloqueada. También genera para un intento de inicio de sesión después del cual se bloqueó la cuenta.

Se genera en el equipo donde se realizó el intento de inicio de sesión, por ejemplo, si se realizó un intento de inicio de sesión en la estación de trabajo del usuario, el evento se registrará en esta estación de trabajo.

Este evento se genera en controladores de dominio, servidores miembros y estaciones de trabajo.

Nota

Para obtener recomendaciones, consulte Security Monitoring Recommendations for this event.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Ninguno.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.

Versiones de eventos: 0.

Descripciones del campo:

Asunto:

  • Id. de seguridad [Type = SID]: SID de la cuenta que informó información sobre el error de inicio de sesión. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable usado para identificar un administrador (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta que informó sobre el error de inicio de sesión.

  • Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Estos son algunos ejemplos de formatos:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Logon Type [Type = UInt32]: el tipo de inicio de sesión que se realizó. "Tabla 11. Tipos de inicio de sesión de Windows" contiene la lista de valores posibles para este campo.

    Tabla 11: Tipos de inicio de sesión de Windows

    Tipo de inicio de sesión Título de inicio de sesión Descripción
    2 Interactivo Un usuario ha iniciado sesión en este equipo.
    3 Red Un usuario o equipo ha iniciado sesión en este equipo desde la red.
    4 Lote El tipo de inicio de sesión por lotes lo usan los servidores por lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa.
    5 Servicio El Administrador de control de servicio inició un servicio.
    7 Desbloquear Esta estación de trabajo se ha desbloqueado.
    8 NetworkCleartext Un usuario ha iniciado sesión en este equipo desde la red. La contraseña del usuario se pasó al paquete de autenticación en su formulario sinhashed. La autenticación integrada empaqueta todas las credenciales hash antes de enviarlas a través de la red. Las credenciales no atraviesan la red con texto sin formato (también denominado cleartext).
    9 NewCredentials Un autor de la llamada clonó su token actual y especificó nuevas credenciales para las conexiones salientes. La nueva sesión de inicio de sesión tiene la misma identidad local, pero usa credenciales diferentes para otras conexiones de red.
    10 RemoteInteractive Un usuario ha iniciado sesión en este equipo de forma remota con Terminal Services o Escritorio remoto.
    11 CachedInteractive Un usuario inició sesión en este equipo con credenciales de red almacenadas localmente en el equipo. No se ha contactado con el controlador de dominio para comprobar las credenciales.

Cuenta para la que se ha fallado el inicio de sesión:

  • Id. de seguridad [Type = SID]: SID de la cuenta especificada en el intento de inicio de sesión. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable usado para identificar un administrador (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta especificada en el intento de inicio de sesión.

  • Dominio de cuenta [Type = UnicodeString]: nombre del dominio o del equipo. Estos son algunos ejemplos de formatos:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Información de error:

  • Motivo del error [Type = UnicodeString]: explicación textual del valor del campo Status. Para este evento, normalmente tiene el valor "Cuenta bloqueada".

  • Status [Type = HexInt32]: el motivo por el que se ha fallado el inicio de sesión. Para este evento, suele tener el valor "0xC0000234" . Los códigos de estado más comunes se enumeran en la tabla 12. Códigos de estado de inicio de sesión de Windows.

    Tabla 12: Códigos de estado de inicio de sesión de Windows.

    Status\Sub-Status Code Descripción
    0XC000005E Actualmente no hay servidores de inicio de sesión disponibles para dar servicio a la solicitud de inicio de sesión.
    0xC0000064 Inicio de sesión del usuario con una cuenta de usuario incorrecta o mal escrita
    0xC000006A Inicio de sesión del usuario con contraseña mal escrita o incorrecta
    0XC000006D La causa es un nombre de usuario o información de autenticación mal
    0XC000006E Indica que un nombre de usuario al que se hace referencia y la información de autenticación son válidos, pero algunas restricciones de cuenta de usuario han impedido la autenticación correcta (como restricciones de hora del día).
    0xC000006F Inicio de sesión del usuario fuera del horario autorizado
    0xC0000070 Inicio de sesión del usuario desde una estación de trabajo no autorizada
    0xC0000071 Inicio de sesión de usuario con contraseña expirada
    0xC0000072 Inicio de sesión de usuario en la cuenta deshabilitada por el administrador
    0XC00000DC Indica que sam server estaba en el estado incorrecto para realizar la operación deseada.
    0XC0000133 Relojes entre DC y otro equipo demasiado fuera de sincronización
    0XC000015B No se ha concedido al usuario el tipo de inicio de sesión solicitado (también denominado derecho deinicio de sesión) en este equipo
    0XC000018C Error en la solicitud de inicio de sesión porque se ha fallado la relación de confianza entre el dominio principal y el dominio de confianza.
    0XC0000192 Se intentó iniciar sesión, pero no se inició el servicio Netlogon.
    0xC0000193 Inicio de sesión de usuario con cuenta expirada
    0XC0000224 El usuario debe cambiar la contraseña en el siguiente inicio de sesión
    0XC0000225 Evidentemente un error en Windows y no un riesgo
    0xC0000234 Inicio de sesión de usuario con cuenta bloqueada
    0XC00002EE Motivo del error: se produjo un error durante el inicio de sesión
    0XC0000413 Error de inicio de sesión: el equipo en el que está iniciando sesión está protegido por un firewall de autenticación. La cuenta especificada no puede autenticarse en el equipo.
    0x0 Estado correcto.

Nota

Para ver el significado de otros códigos de estado o subestación, también puedes buscar código de estado en el archivo de encabezado de ventana ntstatus.h en Windows SDK.

Más información: https://dev.windows.com/en-us/downloads

  • Sub Status [Type = HexInt32]: información adicional sobre el error de inicio de sesión. Los códigos de subestación más comunes enumerados en la "Tabla 12. Códigos de estado de inicio de sesión de Windows.".

Información de proceso:

  • Identificador de proceso de autor de la llamada [Type = Pointer]: identificador de proceso hexadecimal del proceso que intentó el inicio de sesión. El Id. de proceso (PID) es un número que el sistema operativo utiliza para identificar de forma exclusiva un proceso activo. Para ver el PID de un proceso específico puede, por ejemplo, usar el Administrador de tareas (pestaña Detalles, columna PID):

    Task manager illustration

    Si convierte el valor hexadecimal en decimal, puede compararlo con los valores en el Administrador de tareas.

    Además, puede relacionar este Id. de proceso con un Id. de proceso en otros eventos, por ejemplo, "4688: Se ha creado un proceso nuevo" Process Information\New Process ID.

  • Nombre del proceso de llamador [Type = UnicodeString]: ruta de acceso completa y el nombre del archivo ejecutable para el proceso.

Información de red:

  • Nombre de estación de trabajo [Type = UnicodeString]: nombre de la máquina desde la que se realizó el intento de inicio de sesión.

  • Dirección de red de origen [Type = UnicodeString]: dirección IP del equipo desde el que se realizó el intento de inicio de sesión.

    • Dirección IPv6 o dirección ::ffff:IPv4 de un cliente.

    • ::1 o 127.0.0.1 significa localhost.

  • Puerto de origen [Type = UnicodeString]: puerto de origen que se usó para el intento de inicio de sesión desde el equipo remoto.

    • 0 para inicios de sesión interactivos.

Información de autenticación detallada:

  • Proceso de inicio de sesión [Type = UnicodeString]: el nombre del proceso de inicio de sesión de confianza que se usó para el intento de inicio de sesión. Vea la descripción del evento "4611: Se ha registrado un proceso de inicio de sesión de confianza con la autoridad de seguridad local" para obtener más información.

  • Paquete de autenticación [Type = UnicodeString]: el nombre del paquete de autenticación que se usó para el proceso de autenticación de inicio de sesión. Los paquetes predeterminados cargados en el inicio de LSA se encuentran en la clave del Registro "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig". Otros paquetes se pueden cargar en tiempo de ejecución. Cuando se carga un paquete nuevo, la autoridad de seguridad local ha cargado un paquete de autenticación"4610:un paquete de autenticación" (normalmente para NTLM) o "4622: la autoridad de seguridad local ha cargado un paquete de seguridad" (normalmente para Kerberos) para indicar que se ha cargado un nuevo paquete junto con el nombre del paquete. Los paquetes de autenticación más comunes son:

    • NTLM: autenticación ntlm-familia

    • Kerberos: autenticación Kerberos.

    • Negociar: el paquete de seguridad Negotiate selecciona entre los protocolos Kerberos y NTLM. Negotiate selecciona Kerberos a menos que uno de los sistemas implicados en la autenticación no pueda usarlo o que la aplicación de llamada no proporcione información suficiente para usar Kerberos.

  • Servicios transitados [Type = UnicodeString] [Kerberos-only]: la lista de servicios transmitidos. Los servicios transmitidos se rellenan si el inicio de sesión fue el resultado de un proceso de inicio de sesión de S4U (Servicio para el usuario). S4U es una extensión de Microsoft al Protocolo Kerberos para permitir que un servicio de aplicaciones obtenga un vale de servicio Kerberos en nombre de un usuario, lo que normalmente realiza un sitio web front-end para obtener acceso a un recurso interno en nombre de un usuario. Para obtener más información acerca de S4U, vea https://msdn.microsoft.com/library/cc246072.aspx

  • Nombre del paquete (solo NTLM) [Type = UnicodeString]: el nombre del subpaquete del Administrador de LAN (nombre de protocolo de la familiaNTLM) que se usó durante el intento de inicio de sesión. Los valores posibles son:

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      Solo se rellena si "Authentication Package" = "NTLM".

  • Longitud de la clave [Type = UInt32]: la longitud de la clave de seguridad de sesión NTLM. Normalmente, tiene una longitud de 128 bits o 56 bits. Este parámetro siempre es 0 si "Paquete de autenticación" = "Kerberos", porque no es aplicable para el protocolo Kerberos. Este campo también tendrá el valor "0" si Kerberos se negoció mediante el paquete de autenticación Negotiate.

Recomendaciones de supervisión de seguridad.

Para 4625(F): no se pudo iniciar sesión en una cuenta.

  • Si tiene un "Nombre deproceso" predefinido para el proceso notificado en este evento, supervise todos los eventos con "Nombredel proceso " no igual al valor definido.

  • Puede supervisar para ver si "Nombredel proceso " no está en una carpeta estándar (por ejemplo, no está en System32 o Archivos de programa ) o está en una carpeta restringida (por ejemplo, Archivos temporales de Internet).

  • Si tiene una lista predefinida de subcadenas o palabras restringidas en nombres de proceso (por ejemplo, "mimikatz" o "cain.exe"), compruebe si hay estas subcadenas en "Nombredel proceso ."

  • Si Subject\Nombre de cuenta es un nombre de cuenta de servicio o cuenta de usuario, puede ser útil investigar si esa cuenta está permitida (o esperada) para solicitar el inicio de sesión de Cuenta para la que se ha fallado el inicio de sesión\Id. de seguridad .

  • Para supervisar un error de coincidencia entre el tipo de inicio **** de sesión y la cuenta que lo usa (por ejemplo, si un miembro de un grupo administrativo de dominio usa el tipo de inicio de sesión 4-Batch o 5-Service), supervise el tipo de inicio de sesión en este evento.

  • Si tiene un dominio de alto valor o una cuenta local para la que necesita supervisar cada bloqueo, supervise todos los eventos 4625 con el "Subject\Security ID" que corresponde a la cuenta.

  • Se recomienda supervisar todos los eventos 4625 para cuentas locales, ya que estas cuentas normalmente no deben bloquearse. La supervisión es especialmente relevante para servidores críticos, estaciones de trabajo administrativas y otros activos de alto valor.

  • Se recomienda supervisar todos los eventos 4625 para cuentas de servicio, ya que estas cuentas no deben bloquearse ni impedirse que funcionen. La supervisión es especialmente relevante para servidores críticos, estaciones de trabajo administrativas y otros activos de alto valor.

  • Si su organización restringe los inicios de sesión de las siguientes maneras, puede usar este evento para supervisar en consecuencia:

    • Si la "Cuenta para la que se ha fallado el inicio de sesión \Id. de seguridad" nunca se debe usar para iniciar sesión desde la información de red específica\Nombre deestación de trabajo .

    • Si una cuenta específica, como una cuenta de servicio, solo debe usarse de la lista interna de direcciones IP (o de alguna otra lista de direcciones IP). En este caso, puede supervisar la información de red\Dirección de red de origen y comparar la dirección de red con la lista de direcciones IP.

    • Si siempre se usa una versión determinada de NTLM en la organización. En este caso, puede usar este evento para supervisar el nombre del paquete (solo NTLM), por ejemplo, para buscar eventos donde nombre del paquete (solo NTLM) no es igual a NTLM V2.

    • Si NTLM no se usa en la organización o una cuenta específica no debe usarla (New Logon\Security ID). En este caso, supervise todos los eventos en los que el paquete de autenticación es NTLM.

    • Si el paquete de autenticación es NTLM. En este caso, monitor de longitud de clave no es igual a 128, ya que todos los sistemas operativos Windows a partir de Windows 2000 admiten longitud de clave de 128 bits.

    • Si el proceso de inicio de sesión no es de una lista de procesos de inicio de sesión de confianza.

  • Supervisar todos los eventos con los campos y valores de la tabla siguiente:

    Campo Valor para supervisar
    Información de error\Estado o
    Información de error\Estado del sub
    0XC000005E: "Actualmente no hay servidores de inicio de sesión disponibles para dar servicio a la solicitud de inicio de sesión".
    Por lo general, este problema no es un problema de seguridad, pero puede ser un problema de infraestructura o disponibilidad.
    Información de error\Estado o
    Información de error\Estado del sub
    0xC0000064: "Inicio de sesión del usuario con una cuenta de usuario incorrecta o mal escrita".
    Especialmente si obtiene varios de estos eventos en una fila, puede ser un signo de un ataque de enumeración de usuario.
    Información de error\Estado o
    Información de error\Estado del sub
    0xC000006A: "Inicio de sesión del usuario con contraseña mal escrita o incorrecta" para cuentas críticas o cuentas de servicio.
    Especialmente, observe una serie de eventos de este tipo en una fila.
    Información de error\Estado o
    Información de error\Estado del sub
    0XC000006D: "Esto se debe a un nombre de usuario o a una información de autenticación mal" para cuentas críticas o cuentas de servicio.
    Especialmente, observe una serie de eventos de este tipo en una fila.
    Información de error\Estado o
    Información de error\Estado del sub
    0xC000006F: "Inicio de sesión del usuario fuera del horario autorizado".
    Información de error\Estado o
    Información de error\Estado del sub
    0xC0000070: "Inicio de sesión del usuario desde una estación de trabajo no autorizada".
    Información de error\Estado o
    Información de error\Estado del sub
    0xC0000072: "Inicio de sesión de usuario en la cuenta deshabilitada por el administrador".
    Información de error\Estado o
    Información de error\Estado del sub
    0XC000015B: "No se ha concedido al usuario el tipo de inicio de sesión solicitado (también conocido como derecho de inicio de sesión) en este equipo".
    Información de error\Estado o
    Información de error\Estado del sub
    0XC0000192: "Se intentó iniciar sesión, pero no se inició el servicio Netlogon".
    Por lo general, este problema no es un problema de seguridad, pero puede ser un problema de infraestructura o disponibilidad.
    Información de error\Estado o
    Información de error\Estado del sub
    0xC0000193: "Inicio de sesión de usuario con cuenta expirada".
    Información de error\Estado o
    Información de error\Estado del sub
    0XC0000413: "Error de inicio de sesión: el equipo en el que está iniciando sesión está protegido por un firewall de autenticación. La cuenta especificada no puede autenticarse en el equipo".