Windows-Ereignis 4625, fehlgeschlagene Anmeldung

Einleitung

Ereignis 4625 (angezeigt im Windows Event Viewer) dokumentiert alle fehlgeschlagenen Anmeldungen an einem lokalen Computer. Dieses Ereignis wird auf dem Computer erzeugt, auf dem der Anmeldungsversuch unternommen wurde. Ein zugehöriges Ereignis, Ereignis 4624, dokumentiert erfolgreiche Anmeldungen.

Ereignis 4625 gilt für die folgenden Betriebssysteme: Windows Server 2008 R2 und Windows 7, Windows Server 2012 R2, Windows 8.1 sowie Windows Server 2016 und Windows 10. Zugehörige Ereignisse in Windows Server 2003 und früheren Versionen umfassten 529, 530, 531, 532, 533, 534, 535, 536, 537 und 539 für fehlgeschlagene Anmeldungen.

Ereignis 4625 sieht in Windows Server 2008, 2012 und 2016 ein wenig anders aus. In den folgenden Screenshots sind die wichtigen Felder in jeder dieser Versionen hervorgehoben.

Ereignis 4625 (Windows 2008)

Ereignis 4625 (Windows 2008)

Ereignis 4625 (Windows 2012)

Ereignis 4625 (Windows 2012)

Ereignis 4625 (Windows 2016)

Ereignis 4625 (Windows 2016)

Beschreibung der Ereignisfelder

Unter anderem können die folgenden wichtigen Informationen aus Ereignis 4625 abgeleitet werden:

  • Anmeldungstyp:Dieses Feld zeigt auf, welcher Typ von Anmeldung versucht wurde. In anderen Worten gibt das Feld an, wie der Benutzer versucht hat, sich anzumelden. Es gibt insgesamt neun verschiedene Typen von Anmeldungen. Die häufigsten sind Anmeldungstyp 2 (interaktiv) und Anmeldungstyp 3 (Netzwerk). Alle anderen Anmeldungen sind Grund zur Sorge (außer Typ 5, der für einen Service-Startup steht). Eine Beschreibung der verschiedenen Anmeldungstypen finden Sie unter Ereignis 4624.
  • Konto, für das die Anmeldung fehlgeschlagen ist: Die Abteilung zeigt den Kontonamen des Benutzers, der die Anmeldung versucht hat.
  • Fehlschlagsinformationen: Dieser Abschnitt erklärt die Gründe der fehlgeschlagenen Anmeldung. Das Feld „Grund des Fehlschlags“ enthält eine kurze Erklärung, während die Felder „Status“ und „Sub-Status“ Hexadezimalcodes enthalten, von denen wir die häufigsten nachfolgend erläutern
0xC0000064
Der Benutzername wurde falsch geschrieben oder ist nicht vorhanden.
0xC000006A
Das Benutzerkennwort ist falsch.
0xC000006D
Benutzername oder Authentifizierungsdaten falsch.
0xC0000234
Der Benutzer ist derzeit gesperrt.
0xC0000072
Das Benutzerkonto ist derzeit momentan deaktiviert.
0xC000006F
Der Benutzer versuchte, sich außerhalb der autorisierten Zeiten anzumelden.
0xC0000070
Der Benutzer versuchte, sich von einer nicht autorisierten Arbeitsstation anzumelden.
0xC0000193
Das Konto des Benutzers ist abgelaufen.
0xC0000071
Das Kennwort des Benutzers ist abgelaufen.
0xC0000133
Uhrzeit von Domänencontroller und Computer nicht synchron.
0xC0000224
Der Benutzer muss sein Kennwort bei der nächsten Anmeldung ändern.
0xc000015b
Dem Benutzer wurde der angefragte Anmeldungstyp am Gerät nicht zugestanden.

Weitere Erkenntnisse, die sich aus Ereignis 4625 gewinnen lassen

  • Der Abschnitt „Betreff“ zeigt das Konto im lokalen System an, das die Anmeldung angefragt hat (nicht den Benutzer).
  • Der Abschnitt „Prozessinformationen“ zeigt Details zum Prozess an, der die Anmeldung versucht hat.
  • Der Abschnitt „Netzwerkinformationen“ zeigt, wo der Benutzer sich während der versuchten Anmeldung befunden hat. Wenn die Anmeldung von Ihrem aktuellen Computer aus initiiert wurde, sind diese Informationen entweder leer, oder sie zeigen den Workstation-Namen des lokalen Computers sowie die Adresse des Quell-Netzwerks.
  • Der Abschnitt „Detaillierte Authentifizierung“ enthält Informationen zum für den Anmeldungsversuch verwendeten Authentifizierungspaket.

Gründe zur Überwachung fehlgeschlagener Anmeldungen:

  Sicherheit

Erkennen von Brute-Force-, Wörterbuch- und anderen Angriffen, bei denen Passwörter erraten werden. Dabei treten plötzliche Spitzen an fehlgeschlagenen Anmeldungen auf.

Erkennt abnormale und möglicherweise böswillige interne Aktivitäten, wie Anmeldungsversuche von deaktivierten Konten oder einer unbefugten Workstation, Benutzeranmeldungen außerhalb der Geschäftszeiten usw.

  Betriebsbereit

Benchmark für die Einstellung Schwellenwert-Richtlinie zu Kontosperrungen, welche die Anzahl fehlgeschlagener Anmeldeversuche festlegt, bevor ein Benutzerkonto gesperrt wird.

  Compliance

Die Einhaltung gesetzlicher Vorschriften erfordert präzise Informationen zu fehlgeschlagenen Anmeldungen.

Warum Drittanbieter-Tools unverzichtbar sind

In einer typischen IT-Umgebung kann das Ereignis 4625 (fehlgeschlagene Anmeldungen) jeden Tag mehrere tausend Mal auftreten. Infos zu fehlgeschlagenen Anmeldungen sind für sich genommen bereits nützlich; doch durch klare Verbindungen zwischen ihnen und anderen relevanten Ereignissen lassen sich größere Einblicke gewinnen.

Beispielsweise wird Ereignis 4625 erzeugt, wenn ein Konto an der Anmeldung scheitert, und Ereignis 4624 wird bei erfolgreichen Anmeldungen erzeugt. Doch keines dieser Ereignisse zeigt, ob kürzlich beides in einem Konto aufgetreten ist. Um das herauszufinden, müssen die Ereignisse 4625 und 4624 anhand der jeweiligen Anmeldungs-IDs miteinander korreliert werden.

Dementsprechend muss eine Analyse und Korrelation der Ereignisse vorgenommen werden. Mit nativen Tools und PowerShell-Skripten erfordert dies eine Menge Fachwissen und Zeit, weshalb Drittanbieter-Tools wahrhaft unverzichtbar sind.

Mit maschinellen Lernalgorithmen ermittelt ADAudit Plus einen Grundwert (Normalwert) regulärer benutzerspezifischer Aktivitäten. Das Sicherheitspersonal wird nur dann benachrichtigt, wenn es Abweichungen von dieser Norm gibt.

Ein Beispiel: Ein Benutzer, der regulär außerhalb der Geschäftszeiten auf einen kritischen Server zugreift, würde keinen Fehlalarm auslösen, da dieses Verhalten für den jeweiligen Benutzer typisch ist. Andererseits würde ADAudit Plus entsprechende Sicherheitsteams sofort alarmieren, wenn derselbe Benutzer zu Zeiten auf den Server zugreift, zu denen sonst keine Zugriffe erfolgten; auch dann, wenn der Zugriff in die regulären Geschäftszeiten fällt.

Wenn Sie das Produkt selbst erkunden möchten, laden SIe diese kostenlose, voll funktionsfähige 30-Tage-Testversion herunter.

Wenn Sie sich eine personalisierte, von unseren Experten geführte Tour wünschen, vereinbaren Sie eine Demo.

Böswillige Active-Directory-Anmeldungsaktivitäten erkennen.

ManageEngine ADAudit Plus alarmiert Sie dank maschinellem Lernen, sobald sich ein Benutzer mit eventuell böswilligen Absichten anmeldet.

 
3 von 5 Fortune-500-Unternehmenvertrauen bei der IT-Verwaltung auf ManageEngine.