Gebeurtenis
ADAudit Plus » Gebeurtenis-id 4625

Windows-gebeurtenis-id 4625 - Aanmelden mislukt

Inleiding

Gebeurtenis-id 4625 (weergegeven in Windows Logboeken) documenteert elke mislukte aanmeldingspoging bij een lokale computer. Deze gebeurtenis wordt gegenereerd op de computer vanaf waar is geprobeerd aan te melden.. Een verwante gebeurtenis, Gebeurtenis-id 4624 documenteert gelukte aanmeldingen.

Gebeurtenis 4625 is van toepassing op de volgende besturingssystemen: Windows Server 2008 R2 en Windows 7, Windows Server 2012 R2 en Windows 8.1, en Windows Server 2016 en Windows 10. Overeenkomende gebeurtenissen in Windows Server 2003 en eerder, bevatten 529, 530, 531, 532, 533, 534, 535, 536, 537 en 539 voor mislukte aanmeldingen.

Gebeurtenis-id 4625 ziet er iets anders uit op Windows Server 2008, 2012 en 2016. In de onderstaande schermopnamen zijn de belangrijke velden voor elk van deze versies gemarkeerd.

Gebeurtenis 4625 (Windows 2008)

Gebeurtenis 4625 (Windows 2008)

Gebeurtenis 4625 (Windows 2012)

Event 4625 (Windows 2012)

Gebeurtenis 4625 (Windows 2016)

Gebeurtenis 4625 (Windows 2016)

Beschrijving van gebeurtenisvelden

De belangrijke informatie die kan worden afgeleid van Gebeurtenis 4625 omvat:

  • Aanmeldingstype: Dit veld onthult welke type aanmelding werd geprobeerd. Het toont met andere woorden op welke manier de gebruiker heeft geprobeerd aan te melden. Er zijn in totaal negen verschillende aanmeldingstypes. De vaakst voorkomende aanmeldingstypes zijn: aanmeldingstype 2 (interactief) en aanmeldingstype 3 (netwerk). Elk ander aanmeldingstype dan 5 (dat een start van de service aangeeft) is een rode vlag. Voor een beschrijving van de verschillende aanmeldingstypes, zie Gebeurtenis-id 4624.
  • Account waarvoor de aanmelding is mislukt: Deze sectie toont de Accountnaam van de gebruiker die heeft geprobeerd aan te melden.
  • Foutinformatie: Deze sectie geeft uitleg over redenen voor de aanmeldingsfout. Het veld Reden van fout bevat een korte uitleg, terwijl de velden Status en Substatus hexadecimale codes weergeven. De vaakst voorkomende worden hieronder toegelicht.
Status- en substatuscodes
Description
0xC0000064
The username is misspelled or does not exist.
0xC000006A
The user's password is wrong.
0xC000006D
The username or authentication information is incorrect.
0xC0000234
The user is currently locked out.
0xC0000072
The user account is currently disabled.
0xC000006F
The user tried to log on outside authorized hours.
0xC0000070
The user tried to log on from an unauthorized workstation.
0xC0000193
The user's account has expired.
0xC0000071
The user's password has expired.
0xC0000133
The domain controller and computer's times are out of sync.
0xC0000224
The user is required to change their password at next logon.
0xc000015b
The user has not been granted the requested logon type on that machine.

Overige informatie die kan worden verkregen van Gebeurtenis 4625:

  • De sectie Onderwerp toont de account op het lokale systeem dat de aanmelding heeft gevraagd (niet de gebruiker).
  • De sectie Verwerkingsgegevens toont details rond het proces dat heeft geprobeerd aan te melden.
  • De sectie Netwerkgegevens toont waar de gebruiker was bij de aanmeldingspoging. Als de aanmelding werd gestart vanaf uw huidige computer, zal deze informatie blanco zijn of de naam van het werkstation van die lokale computer en het bronnetwerkadres weergeven.
  • De sectie Gedetailleerde verificatie toont informatie over het verificatiepakket dat wordt gebruikt bij de aanmeldingspoging.

Redenen voor het controle van mislukte aanmeldingen:

  Beveiliging

Voor het detecteren van beveiligings-, woordenboek- en andere aanvallen die wachtwoorden uitproberen, gekenmerkt door een plotse piek in mislukte aanmeldingen.

Om abnormale en mogelijk boosaardige interne activiteit te detecteren, zoals een aanmeldingspoging van een uitgeschakelde account of een onbevoegd werkstation, gebruikers die buiten de normale werkuren aanmelden, enz.

  Operationeel

Voor het bepalen van een benchmark voor de instelling Beleid Drempel voor accountvergrendelingen, die het aantal mislukte aanmeldingspogingen voordat een gebruikersaccount wordt vergrendeld, bepaalt.

  Naleving

Er moet worden voldaan aan de exacte informatie rond mislukte aanmeldingen van regelgevende mandaten.

De behoefte aan een hulpprogramma van derden

In een standaard IT-omgeving kan het aantal gebeurtenissen met id 4625 (mislukte aanmelding) oplopen tot duizenden per dag. Mislukte aanmeldingen zijn nuttig op zich, maar er kunnen diepere inzichten in de netwerkactiviteit worden gevormd door duidelijke verbindingen tussen deze en andere pertinente gebeurtenissen.

Terwijl Gebeurtenis 4625 bijvoorbeeld wordt gegenereerd wanneer de aanmelding mislukt voor een account en Gebeurtenis 4624 wordt gegenereerd voor gelukte aanmeldingen, tonen geen van beide gebeurtenissen of dezelfde account recentelijk beide situaties heeft ervaren. U moet Gebeurtenis 4625 afstemmen met Gebeurtenis 4624 met hun respectieve aanmeldings-id’s om dat uit te zoeken.

Daarom moet dus een gebeurtenissenanalyse en afstemming worden uitgevoerd. Systeemeigen hulpprogramma’s en PowerShell-scripts vereisen vakkennis en tijd wanneer ze hiervoor worden gebruikt. Daarom is een hulpprogramma van derden werkelijk onmisbaar.

Door het toepassen van machine learning, creëert ADAudit Plus een basislijn van normale activiteiten die specifiek zijn voor elke gebruiker en wordt beveiligingspersoneel alleen gewaarschuwd wanneer er een afwijking van deze norm is.

Een gebruiker die bijvoorbeeld consistent buiten kantooruren aanmeldt bij een kritieke server, zal geen fout-positief alarm activeren omdat dit gedrag normaal is voor die gebruiker. Anderzijds zal ADAudit Plus de beveiligingsteams onmiddellijk waarschuwen wanneer diezelfde gebruiker aanmeldt bij de server op een tijdstip waarop hij dat nog nooit heeft gedaan, ook al valt dit binnen de kantooruren.

Als u het product zelf wilt verkennen, download dan de gratis, volledig functionele 30-daagse proefversie.

Als u wilt dat een expert u een rondleiding op maat geeft over het product, plant u een demo.

ADAudit Plus Trusted By