Connexion Déconnexion » Événement de connexion et de déconnexion : 4625
ID d'événement 4625 - Un compte n'a pas réussi à se connecter
| ID d'événement | 4625 |
| Catégorie | Connexion/Déconnexion |
| Sous-catégorie | Audit de l'ouverture de session ; Audit du verrouillage du compte |
| Type | Audit d’échec |
| Description | Un compte n'a pas réussi à se connecter. |
L'événement 4625 est généré lorsqu'un utilisateur ne parvient pas à se connecter. Les codes hexadécimaux d'état et de sous-état générés lors de l'enregistrement de l'événement fournissent des informations sur la raison de l'échec de la connexion.
| Codes | Motif des échecs |
| 0xC0000064 | Connexion d'un utilisateur avec un compte d'utilisateur mal orthographié ou erroné |
| 0xC000006A | Connexion d'un utilisateur avec un mot de passe mal orthographié ou erroné |
| 0xC0000234 | Connexion d'un utilisateur avec un compte verrouillé |
| 0xC0000072 | Connexion d'un utilisateur à un compte désactivé par l'administrateur |
| 0xC000006F | Connexion de l'utilisateur en dehors des heures autorisées |
| 0xC0000070 | Connexion d'un utilisateur à partir d’une station de travail non autorisée |
| 0xC0000193 | Connexion d'un utilisateur avec un compte ayant expiré |
| 0xC0000071 | Connexion d'un utilisateur avec un mot de passe ayant expiré |
| 0xC0000133 | Les horloges du contrôleur de domaine et de l'autre ordinateur sont trop désynchronisées |
| 0xC0000224 | L'utilisateur est tenu de modifier son mot de passe lors de sa prochaine connexion |
| 0xC0000225 | Il s'agit manifestement d'un bug dans Windows et non d'un risque |
| 0xc000015B | L'utilisateur ne s'est pas vu accorder le type de connexion demandé (ou droit de connexion) sur cette machine |
Les données de ce journal fournissent les informations suivantes :
- ID de sécurité
- Nom du compte
- Domaine du compte
- ID de connexion
Pourquoi l’ID d'événement 4625 doit-il être surveillé ?
- Pour détecter les attaques par force brute, par dictionnaire et autres attaques par devinette de mot de passe.
- Pour détecter les activités internes anormales et éventuellement malveillantes.
- Pour définir un critère de référence pour la stratégie relative au seuil de verrouillage des comptes.
- Pour assurer la conformité avec les mandats réglementaires
Conseil de pro :
Grâce à des rapports détaillés, des alertes en temps réel et des affichages graphiques, ADAudit Plus assure le suivi des échecs de connexion, en vous aidant à répondre facilement à vos besoins de sécurité, d'exploitation et de conformité.
L'événement 4625 s'applique aux systèmes d'exploitation suivants :
- Windows 2008 R2 et 7
- Windows 2012 R2 et 8.1
- Windows 2016 et 10
Événements correspondants dans Windows 2003 et avant : 529, 530, 531, 532, 533, 534, 535, 536, 537 et 539
Explorer Active Directory auditing et rapport avec ADAudit Plus.
Account Management Auditing
Active Directory Auditing
Windows Server Auditing
- Related Products
- ADManager PlusActive Directory Management & Reporting
- ADAudit PlusReal-time Active Directory Auditing and UBA
- EventLog AnalyzerReal-time Log Analysis & Reporting
- ADSelfService PlusSelf-Service Password Management
- AD360Integrated Identity & Access Management
- Log360 (On-Premise | Cloud) Comprehensive SIEM and UEBA