hændelses-ID 4625
ADAudit Plus » Funktioner » hændelses-ID 4625

Windows-hændelses-ID 4625 – mislykket login

Indledning

Hændelses-ID 4625 (vist i Windows Logbog) dokumenterer hvert mislykket forsøg på at logge ind på en lokal computer. Denne hændelse genereres på den computer, hvorfra loginforsøget blev foretaget. En relateret hændelse, hændelses-ID 4624, dokumenterer vellykkede logins.

Hændelse 4625 gælder for følgende operativsystemer: Windows Server 2008 R2, Windows 7, Windows Server 2012 R2, Windows 8.1, Windows Server 2016 og Windows 10. Tilsvarende hændelser i Windows Server 2003 og tidligere omfattede 529, 530, 531, 532, 533, 534, 535, 536, 537 og 539 for mislykkede logins.

Hændelses-ID 4625 ser lidt anderledes ud på Windows Server 2008, 2012 og 2016. I skærmbillederne nedenfor er de vigtige felter i hver af disse versioner fremhævet. 

Hændelse 4625 (Windows 2008)

Hændelse 4625 (Windows 2008)

Hændelse 4625 (Windows 2012)

Hændelse 4625 (Windows 2012)

Hændelse 4625 (Windows 2016)

Hændelse 4625 (Windows 2016)

Beskrivelse af hændelsesfelter

De vigtige oplysninger, der kan udledes af hændelse 4625, omfatter:

  • Logintype: Dette felt viser, hvilken type login der blev forsøgt. Med andre ord viser det , hvordan brugeren forsøgte at logge på.Der er i alt ni forskellige logintyper.De mest almindelige logintyper er login type 2 (interaktiv) og login type 3 (netværk). Alle andre logintyper end 5 (som angiver en tjenestestart) er et rødt flag. Der er beskrivelser af de forskellige logintyper under hændelses-ID 4624.
  • Konto, som login mislykkedes for: Dette afsnit viser kontonavnet på den bruger, der forsøgte at logge på.
  • Oplysninger om mislykket forsøg: Dette afsnit forklarer årsagerne til, at login mislykkes. Feltet Årsag til mislykket forsøg indeholder en kort forklaring, mens felterne Status og Understatus viser hexadecimale koder, hvoraf de mest almindelige forklares nedenfor.
Status- og understatuskoder
Beskrivelse
0xC0000064
Brugernavnet er stavet forkert eller findes ikke.
0xC000006A
Brugerens adgangskode er forkert.
0xC000006D
Brugernavnet eller godkendelsesoplysningerne er forkerte.
0xC0000234
Brugeren er i øjeblikket spærret.
0xC0000072
Brugerkontoen er i øjeblikket deaktiveret.
0xC000006F
Brugeren forsøgte at logge på uden for det autoriserede tidsrum.
0xC0000070
Brugeren forsøgte at logge på fra en uautoriseret arbejdsstation.
0xC0000193
Brugerens konto er udløbet.
0xC0000071
Brugerens adgangskode er udløbet.
0xC0000133
Domænecontrollerens og computerens ure er ikke synkroniserede.
0xC0000224
Brugeren skal ændre sin adgangskode ved næste login.
0xc000015b
Brugeren har ikke fået lov til den ønskede logintype på den pågældende maskine.

Andre oplysninger, der kan fås fra hændelse 4625:

  • Afsnittet "Udfører" viser den konto på det lokale system, der anmodede om login (ikke brugeren).
  • Afsnittet Procesoplysninger viser oplysninger om den proces, der forsøgte at logge på.
  • Afsnittet Netværksoplysninger viser, hvor brugeren var, da vedkommende forsøgte at logge på. Hvis login blev initieret fra din nuværende computer, vil disse oplysninger enten være tomme eller afspejle den pågældende lokale computers arbejdsstationsnavn og kildenetværksadresse.
  • Afsnittet Detaljeret godkendelse viser oplysninger om den godkendelsespakke, der blev brugt under loginforsøget.

Grunde til at overvåge mislykkede logins:

  Sikkerhed

For at opdage brute force-, ordbogs- og andre adgangskodegætteangreb, hvilket er kendetegnet ved en pludselig stigning i mislykkede logins.

For at opdage unormal og potentielt skadelig intern aktivitet, f.eks. et loginforsøg fra en deaktiveret konto eller uautoriseret arbejdsstation, brugere, der logger på uden for normal arbejdstid, osv.

  Operationelt

For at have et udgangspunkt for politikindstillingen Kontospærringsgrænse, som fastsætter antallet af mislykkede loginforsøg, før en brugerkonto spærres.

  Compliance

For at overholde lovkrav er det nødvendigt med præcise oplysninger om mislykkede logins.

Behovet for et tredjepartsværktøj

I et typisk IT-miljø kan antallet af hændelser med ID 4625 (mislykket login) løbe op i tusindvis om dagen.Mislykkede logins er nyttige i sig selv, men man kan få større indsigt i netværksaktivitet ved at se klare forbindelser mellem dem og andre relevante hændelser.

For eksempel, mens hændelse 4625 genereres, når en konto ikke kan logge på, og hændelse 4624 genereres for korrekte logins, afslører ingen af disse hændelser, om den samme konto for nylig har været ude for begge dele. Du skal sammenholde hændelse 4625 med hændelse 4624 ved hjælp af deres login-ID'er for at finde ud af det. 

Hændelser skal altså analyseres og sammenholdes. Indbyggede værktøjer PowerShell-scripts kræver ekspertise og tid, når de anvendes til dette formål, og derfor er et tredjepartsværktøj virkelig uundværligt.

Ved hjælp af maskinlæring skaber ADAudit Plus et udgangspunkt for normale aktiviteter, der er specifikt for hver bruger, og giver kun sikkerhedspersonalet besked, når der er en afvigelse fra dette udgangspunkt.

For eksempel vil en bruger, der konsekvent får adgang til en kritisk server uden for kontortiden, ikke udløse en falsk positiv underretning, fordi den adfærd er typisk for den pågældende bruger. På den anden side vil ADAudit Plus øjeblikkeligt underrette sikkerhedsteams, når den samme bruger får adgang til serveren på et tidspunkt, hvor de aldrig har haft adgang til den før, selv hvis adgangen er inden for kontortiden.

Hvis du selv vil udforske produktet, kan du downloade den gratis 30-dages prøveversion med alle funktioner.

Hvis du vil have en ekspert til at give dig en personlig rundvisning i produktet, så aftal en demo.

Opdag skadelig Active Directory-loginaktivitet.

ManageEngine ADAudit Plus bruger maskinlæring til at underrette dig, når en bruger med muligvis skadelige hensigter logger på.

 
3 ud af 5 Fortune 500-virksomheder betror ManageEngine deres IT-administration.
Prøv det gratis