4625 (F) :帳戶無法登入。

Event 4625 illustration

子類別:  稽核帳戶鎖定和稽核登入

事件描述:

此事件會記錄為任何登入失敗。

它會在嘗試登入的電腦上產生,例如,如果使用者的工作站上嘗試登入,則事件會記錄在此工作站上。

此事件在網域控制站、成員伺服器和工作站上產生。

注意

有關建議,請參閱此建議安全性監控功能。


事件 XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

必要的伺服器角色: 無。

最低的 OS 版本: Windows Server 2008、Windows Vista。

事件版本: 0。

欄位描述:

主旨:

  • 安全性識別碼 [Type = SID] 報告登入失敗相關資訊的帳戶 SID。 事件檢視器會自動嘗試解析 SID,並顯示帳戶名稱。 如果無法解析 SID,您會在事件中看到來源資料。

    注意

    SID ** (安全性 **) 識別碼是可變長度的唯一值,用來識別受 (主體) 。 每個帳戶都有一個由授權單位 (例如 Active Directory 網網域控制站) 所發行的唯一 SID,並且儲存在安全性資料庫中。 每次使用者登入時,系統就會從資料庫中擷取該使用者的 SID,並將其放在該使用者的存取權杖中。 系統會在存取權杖中使用 SID,以在後續所有與 Windows 安全性的互動中識別使用者。 當 SID 已用來作為使用者或群組的唯一識別碼時,就不能再用於識別其他使用者或群組。 如需有關 SID 的詳細資訊,請參閱安全性識別碼

  • 帳戶名稱 [Type = UnicodeString] 報告登入失敗相關資訊的帳戶名稱。

  • 帳戶網域 [類型 = UnicodeString] 主體的網域或電腦名稱。 以下是格式的一些範例:

    • 網域 NETBIOS 名稱範例:CONTOSO

    • 小寫的完整網域名稱:contoso.local

    • 大寫的完整網域名稱:CONTOSO.LOCAL

    • 針對某些眾所周知的安全主體 (例如 LOCAL SERVICE 或 ANONYMOUS LOGON),此欄位的值為 “NT AUTHORITY”。

    • 針對本機使用者帳戶,此欄位會包含此帳戶所屬電腦或裝置的名稱,例如:"Win81"。

  • 登入類型 [Type = UInt32] 已執行的登入類型。 「表格 11。 Windows登入類型」包含此欄位的可能值清單。

    表格 11:Windows登入類型

    登入類型 登入標題 描述
    2 互動 使用者登入此電腦。
    3 網路 從網路登入此電腦的使用者或電腦。
    4 批次處理伺服器會使用批次登入類型,其中程式可能代表使用者執行,而不需要使用者直接介入。
    5 服務 服務控制項管理員已啟動服務。
    7 解除鎖定 此工作站已解除鎖定。
    8 NetworkCleartext 使用者從網路登入此電腦。 使用者的密碼已傳遞至其未顯示表單的驗證套件。 內建的驗證會先封裝所有雜湊認證,再傳送給整個網路。 認證不會以純文字或純文字 (稱為 cleartext) 。
    9 NewCredentials 來電者已複製其目前的權杖,並針對出站連接指定新的認證。 新的登入會話具有相同的本地身分識別,但會針對其他網路連接使用不同的認證。
    10 RemoteInteractive 使用者使用終端服務或遠端桌面遠端登入此電腦。
    11 CachedInteractive 使用者登入此電腦時,其網路認證是儲存在電腦的本地。 未與網域控制站聯繫以驗證認證。

登入失敗的帳戶:

  • 安全性識別碼 [Type = SID] 在登入嘗試中指定的帳號 SID。 事件檢視器會自動嘗試解析 SID,並顯示帳戶名稱。 如果無法解析 SID,您會在事件中看到來源資料。

    注意

    SID ** (安全性 **) 識別碼是可變長度的唯一值,用來識別受 (主體) 。 每個帳戶都有一個由授權單位 (例如 Active Directory 網網域控制站) 所發行的唯一 SID,並且儲存在安全性資料庫中。 每次使用者登入時,系統就會從資料庫中擷取該使用者的 SID,並將其放在該使用者的存取權杖中。 系統會在存取權杖中使用 SID,以在後續所有與 Windows 安全性的互動中識別使用者。 當 SID 已用來作為使用者或群組的唯一識別碼時,就不能再用於識別其他使用者或群組。 如需有關 SID 的詳細資訊,請參閱安全性識別碼

  • 帳戶名稱 [Type = UnicodeString] 在登入嘗試中指定的帳號名稱。

  • 帳戶網域 [Type = UnicodeString] 網域或電腦名稱稱。 以下是格式的一些範例:

    • 網域 NETBIOS 名稱範例:CONTOSO

    • 小寫的完整網域名稱:contoso.local

    • 大寫的完整網域名稱:CONTOSO.LOCAL

    • 針對某些眾所周知的安全主體 (例如 LOCAL SERVICE 或 ANONYMOUS LOGON),此欄位的值為 “NT AUTHORITY”。

    • 針對本機使用者帳戶,此欄位會包含此帳戶所屬電腦或裝置的名稱,例如:"Win81"。

  • 登入識別碼 [類型 = HexInt64] 十六進位值,用來協助您將此事件與可能包含在相同登入識別碼中的最新事件建立關聯,例如:「4624:帳戶已成功登入」。

失敗資訊:

  • 失敗原因 [Type = UnicodeString] 狀態域 值的文字 說明。 對於此事件,它通常具有 「帳戶鎖定」 值。

  • 狀態 [Type = HexInt32] 登入失敗的原因。 對於此事件,它通常具有 "0xC0000234" 值。 最常見的狀態碼會列在資料表 12 中。 Windows登入狀態碼。

    表格 12:Windows登入狀態碼。

    狀態\子狀態碼 描述
    0XC000005E 目前沒有可用於服務登入要求的登入伺服器。
    0xC0000064 使用拼錯或錯誤的使用者帳戶登入的使用者
    0xC000006A 使用拼錯或錯誤密碼的使用者登入
    0XC000006D 原因可能是使用者名稱或驗證資訊錯誤
    0XC000006E 表示參照的使用者名稱和驗證資訊有效,但某些使用者帳戶限制 (驗證成功,例如一天中限制) 。
    0xC000006F 使用者于授權時間以外登入
    0xC0000070 使用者從未經授權的工作站登入
    0xC0000071 使用過期密碼登入的使用者
    0xC0000072 系統管理員停用的使用者登入帳戶
    0XC00000DC 表示 Server 的狀態不正確,無法執行所需的作業。
    0XC0000133 DC 與其他電腦之間的時鐘太不同步
    0XC000015B 使用者尚未獲得要求登入類型 (也稱為登入) 登入**
    0XC000018C 登入要求失敗,因為主網域與信任網域之間的信任關係失敗。
    0XC0000192 嘗試登入,但 Netlogon 服務尚未啟動。
    0xC0000193 使用過期帳戶登入的使用者
    0XC0000224 使用者必須于下次登入時變更密碼
    0XC0000225 明顯是錯誤Windows而非風險
    0xC0000234 帳戶鎖定的使用者登入
    0XC00002EE 失敗原因:登入期間發生錯誤
    0XC0000413 登入失敗:您登入的機器受到驗證防火牆的保護。 指定的帳號不允許向電腦進行驗證。
    0x0 狀態確定。

注意

若要查看其他狀態或子狀態碼的意義,您也可以在 WINDOWS SDK 的 Windows 標題檔案 ntstatus.h 中檢查Windows代碼。

詳細資訊: https://dev.windows.com/en-us/downloads

  • 子狀態 [Type = HexInt32] 登入失敗的其他資訊。 「表格 12」中列出的最常見的子狀態碼。 Windows登入狀態碼」。

處理序資訊:

  • 本機號碼程式識別碼 [Type = 指標]:嘗試登入之程式之十六進位流程識別碼。 處理序識別碼 (PID) 是作業系統專門用來識別使用中處理序的數字。 例如,若要查看特定處理序的 PID,您可以使用 [工作管理員] ([詳細資料] 索引標籤的 [PID] 欄):

    Task manager illustration

    如果您將十六進位值轉換成十進位,則可以將其與 [工作管理員] 中的值進行比較。

    您也可以將此處理序識別碼與其他事件中的處理序識別碼建立關聯,例如「4688:已建立新的處理序」處理序資訊\新處理序識別碼

  • 來電者程式名稱 [Type = UnicodeString] 完整路徑和程式的可執行檔名稱。

網路資訊:

  • 工作站名稱 [Type = UnicodeString] 執行登入嘗試的機器名稱。

  • 來源網路位址 [Type = UnicodeString] 執行登入嘗試之電腦 IP 位址。

    • IPv6 位址或用戶端的 ::ffff:IPv4 位址。

    • :::1 或 127.0.0.1 代表 localhost。

  • 來源埠 [Type = UnicodeString]:用於從遠端電腦登入的源埠。

    • 0 表示互動式標誌。

詳細的驗證資訊:

  • 登入程式 [Type = UnicodeString] 用於登入嘗試之信任登入程式的名稱。 請參閱事件"4611:已向 Local Security Authority"描述註冊信任的登入程式,以瞭解更多資訊。

  • 驗證套件 [Type = UnicodeString] 用於登入驗證程式之驗證套件的名稱。 在 LSA 啟動時載入的預設套件位於「HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig」註冊表鍵中。 其他套件可于執行時間載入。 載入新套件時,會記錄「4610:驗證套件已由當地安全性機構載入」 (通常是 NTLM) 或「4622:由當地安全性機構載入安全性套件」 (通常是 Kerberos) 事件,表示已載入新套件與套件名稱。 最常見的驗證套件為:

    • NTLM – NTLM-family 驗證

    • Kerberos – Kerberos 驗證。

    • 價 – 在 Kerberos 和 NTLM 通訊協定之間選取的議價安全性套件。 除非驗證涉及的其中一個系統無法使用 Kerberos,或通話應用程式未提供足夠資訊以使用 Kerberos,否則會以協商方式選取 Kerberos。

  • 傳輸服務 [Type = UnicodeString] [Kerberos-only] 傳送的服務清單。 如果登入是 S4U (登入程式的結果,會填入) 服務。 S4U 是 Kerberos 通訊協定的 Microsoft 擴充功能,可允許應用程式服務代表使用者取得 Kerberos 服務票證 ,通常由前端網站代表使用者存取內部資源。 有關 S4U 的資訊,請參閱 https://msdn.microsoft.com/library/cc246072.aspx

  • 套件名稱 (僅 NTLM ) [Type = UnicodeString] 在登入嘗試期間使用的 LAN Manager 子套件名稱 (NTLM-family 通訊協定名稱) 。 可能值為:

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      只有在 "驗證套件" = "NTLM" 時填上

  • 金鑰長度[Type = UInt32] :NTLM 會話安全性金鑰的長度。** ** 一般來說,長度為 128 位或 56 位。 如果「驗證套件 」= 「Kerberos」, 此參數一定為 0,因為它不適用於 Kerberos 通訊協定。 如果 Kerberos 是使用 「商量驗證」套件進行交涉****,此欄位也會有「0」值。

安全性監視建議

針對 4625 (F) :帳戶無法登入。

重要

針對此事件,請參閱附件 A:許多稽核事件的安全性監控建議

  • 如果您有針對此事件中報告之程式預先**** 定義的「程式名稱」,請監控所有 「程式名稱」不等於您**** 定義的值的事件。

  • 您可以監控以查看「程式名稱」**** 是否不在標準資料夾 (例如,不在System32或程式檔案 **) **中,或位於受限制的資料夾 (例如「暫時網際網路檔案」) 。 ****

  • 如果您在程式名稱 (例如 "mimikatz""cain.exe") 中預先定義限制子字串或文字的清單,請在 「程式名稱」中檢查這些子字串。

  • 如果 Subject\Account Name 是服務帳戶或使用者帳戶的名稱,調查該帳戶是否允許 (或預期) 要求登入帳戶哪個登入失敗 \Security ID可能很有用。

  • 若要監控登入類型與使用它的帳戶之間的不一 (例如,如果網域管理群組) 的成員使用**** 登入類型 4-Batch 或 5-Service,請監控此事件中的登入類型。 ****

  • 如果您有高值網域或本地帳戶,您必須監控每個鎖定,請以對應至該帳戶的 「Subject\Security ID」 監控所有4625事件。

  • 我們建議您監控所有 4625 個本地帳戶的事件,因為這些帳戶通常不應鎖定。監控尤其適用于重要伺服器、系統管理工作站及其他高價值資產。

  • 我們建議您監控 服務帳戶的所有 4625 事件,因為這些帳戶不應鎖定或無法運作。 監控尤其適用于重要伺服器、系統管理工作站及其他高價值資產。

  • 如果貴組織以下列方式限制登出,您可以使用此事件來監控:

    • 如果 不應該使用 「登入失敗的帳戶 \Security ID」 從特定的網路 資訊\工作站名稱登入

    • 如果特定帳戶 ,例如服務帳戶,只能從內部 IP 位址清單 (或其他 IP 位址清單使用) 。 在這種情況下,您可以監控網路 資訊\來源網路位址 ,並將網路位址與 IP 位址清單進行比較。

    • 如果組織中一直使用特定版本的 NTLM。 在這種情況下,您可以使用此事件來監控套件名稱 (**NTLM) , **例如,尋找套件名稱 ** (NTLM **) 不等於 NTLM V2的事件。

    • 如果貴組織並未使用 NTLM,或不應由特定帳戶使用 (登入\Security ID) 。 在這種情況下,請監控驗證套件為 NTLM 的所有事件

    • 如果驗證 套件 是 NTLM。 在這種情況下,監控金鑰長度不**** 等於 128,因為所有 Windows 作業系統從 Windows 2000 開始支援 128 位金鑰長度。

    • 如果 登入程式 不是來自信任的登入程式清單。

  • 監控下表中包含欄位和值的所有事件:

    欄位 要監視的值
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0XC000005E – 「目前沒有任何登入伺服器可供服務登入要求」。
    此問題通常不是安全性問題,但可能是基礎結構或可用性問題。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0xC0000064 -「使用者登入錯誤或錯誤的使用者帳戶」。
    尤其是如果您連續收到數個這類事件,可能是使用者列舉攻擊的徵兆。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0xC000006A重要帳戶或服務帳戶的 「使用者登入錯誤或錯誤密碼」。
    特別要留意一列數個這類事件。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0XC000006D – 「這是因為重要帳戶或服務帳戶的使用者名稱或驗證資訊錯誤」。
    特別要留意一列數個這類事件。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0xC000006F -「使用者于授權時間以外登入」。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0xC0000070 -「使用者從未經授權的工作站登入」。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0xC0000072 – 「使用者登入系統管理員停用的帳戶」。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0XC000015B – 「使用者尚未獲得要求登入類型 (在此電腦上) 登入」。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0XC0000192 -「嘗試登入,但 Netlogon 服務尚未啟動」。
    此問題通常不是安全性問題,但可能是基礎結構或可用性問題。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0xC0000193 -「使用過期帳戶登入使用者」。
    失敗資訊\狀態
    失敗資訊\Sub 狀態
    0XC0000413 -「登入失敗:您登入的機器受驗證防火牆保護。 指定的帳號不允許向電腦進行驗證」。