ADAudit Plus
Ana Sayfa » Olay Kimliği 4625

Windows Olay Kimliği 4625 – Başarısız oturum açma

Giriş

Olay Kimliği 4625 (Windows Olay Görüntüleyicisi'nde görüntülenir) yerel bir bilgisayarda oturum açmaya yönelik her başarısız girişimi belgelendirir. Bu olay, oturum açma girişiminin gerçekleştirildiği bilgisayarda oluşturulur. İlgili bir olay olan Olay Kimliği 4624, başarılı oturum açma işlemlerini belgelendirir.

Olay 4625, aşağıdaki işletim sistemleri için geçerlidir: Windows Server 2008 R2 ve Windows 7, Windows Server 2012 R2 ve Windows 8.1 ile Windows Server 2016 ve Windows 10. Windows Server 2003 ve önceki sürümlerde başarısız oturum açma girişimlerine karşılık gelen olaylar 529, 530, 531, 532, 533, 534, 535, 536, 537 ve 539'u içerir.

Olay Kimliği 4625, Windows Server 2008, 2012 ve 2016'da biraz farklı bir biçimde karşımıza çıkmaktadır. Aşağıdaki ekran görüntülerinde, bu sürümlerin her birindeki önemli alanlar vurgulanmıştır. 

Olay 4625 (Windows 2008)

Olay 4625 (Windows 2008)

Olay 4625 (Windows 2012)

Olay 4625 (Windows 2012)

Olay 4625 (Windows 2016)

Olay 4625 (Windows 2016)

Olay Alanlarının Açıklaması

Olay 4625'ten elde edilebilecek önemli bilgiler aşağıdaki gibidir:

  • Oturum Açma Türü:Bu alan, girişimde bulunulan oturum açma işleminin türünü belirtir. Başka deyişle, kullanıcının nasıl oturum açmaya çalıştığını belirtir. Toplamda dokuz farklı oturum açma türü bulunur. En yaygın oturum açma türleri oturum açma türü 2 (etkileşimli) ve oturum açma türü 3'tür (ağ). Tür 5 (bir hizmet başlatmayı belirtir) dışındaki oturum açma türleri bir tehlike işaretidir. Farklı oturum açma türlerinin açıklaması için Olay Kimliği 4624'e bakın.
  • Oturum Açma İşlemi Başarısız Olan Hesap: Bu bölüm, oturum açma girişiminde bulunan kullanıcının Hesap Adını gösterir.
  • Başarısızlık Bilgisi: Bu bölümde, oturum açma başarısızlığının nedenleri açıklanır. Başarısızlık Nedeni alanı kısa bir açıklama içerirken, Durum ve Alt Durum alanları en yaygınlarına dair açıklamaları aşağıda bulabileceğiniz onaltılık kodları listeler.
Durum ve Alt Durum Kodları
Açıklama
0xC0000064
Kullanıcı adı yanlış yazılmış veya mevcut değil.
0xC000006A
Kullanıcının parolası yanlış.
0xC000006D
Kullanıcı adı veya kimlik doğrulama bilgileri yanlıştır.
0xC0000234
Kullanıcı şu anda kilitli.
0xC0000072
Kullanıcı hesabı şu anda devre dışı.
0xC000006F
Kullanıcı yetki verilen saatler dışında oturum açmaya çalıştı.
0xC0000070
Kullanıcı yetkisiz bir iş istasyonundan oturum açma girişiminde bulundu.
0xC0000193
Kullanıcı hesabının süresi doldu.
0xC0000071
Kullanıcının parolasının süresi doldu.
0xC0000133
Etki alanı denetleyicisi ve bilgisayarın saatleri senkronize değil.
0xC0000224
Kullanıcının sonraki oturum açmada parolasını değiştirmesi gerekiyor.
0xc000015b
Kullanıcıya ilgili makinede istenen oturum açma türünü uygulama hakkı verilmedi.

Olay 4625'ten elde edilebilecek diğer bilgiler:

  • Konu bölümü, oturum açma talebinde bulunan yerel sistemdeki hesabı verir (kullanıcıyı değil).
  • Süreç Bilgileri bölümü, oturum açma girişiminde bulunma süreciyle ilgili ayrıntıları ortaya koyar.
  • Ağ Bilgileri bölümü, kullanıcının oturum açma girişiminde bulunduğu sırada nerede olduğunu belirtir. Oturum açma işlemi geçerli bilgisayarınızdan başlatılmışsa, bu bilgiler ya boş olarak belirtilir ya da ilgili yerel bilgisayarın iş istasyonu adını ve kaynak ağ adresini yansıtır.
  • Ayrıntılı Kimlik Doğrulama Bilgileri, oturum açma girişimi sırasında kullanılan kimlik doğrulama paketi hakkında bilgi verir.

Başarısız oturum açma girişimlerini izlemek için nedenler:

  Güvenlik

Başarısız oturum açmalarda ani bir artış ile kendini gösteren deneme yanılma, sözlük ve diğer parola tahmin saldırılarını tespit etmek.

Devre dışı bırakılmış bir hesaptan veya yetkisiz bir iş istasyonundan oturum açma girişimi, kullanıcıların normal çalışma saatleri dışında oturum açması gibi anormal ve kötü amaçlı olabilecek dahili etkinlikleri tespit etmek.

  Operasyonlar ile İlgili

Bir kullanıcı hesabı kilitlenmeden önce gerçekleştirilebilecek başarısız oturum açma girişimi sayısını belirleyen Hesap kilitleme eşiği ilkesi ayarı için bir referans ölçüt oluşturmak.

  Uyumluluk

Düzenleyici kurumların uyguladığı talimatlara uymak için başarısız oturum açma işlemleriyle ilgili kesin bilgilere sahip olunması gerekir.

Bir üçüncü taraf araca yönelik ihtiyaç

Olağan bir BT ortamında, kimliği 4625 olan olayların (başarısız oturum açma girişimleri) sayısı günde binlere ulaşabilir. Başarısız oturum açma girişimlerine dair bilgiler tek başına da faydalı olsa da bunlar ile diğer olaylar arasında net bağlantılar kurularak ağ etkinliği hakkında daha fazla bilgi edinilebilir.

Örneğin, Olay 4625 bir hesap oturum açamadığında ve Olay 4624 bir hesap oturum başarıyla oturum açtığında oluşturuluyor olsa da bu iki olay da yakın zamanda aynı hesapta bu iki olayın da yaşanıp yaşanmadığını göstermez. Bunu anlamak için ilgili Oturum Açma Kimliklerini kullanarak Olay 4625'i Olay 4624 ile ilişkilendirmek gerekir. 

Dolayısıyla, olay analizi ve korelasyonu gereklidir. Yerel araçlar ve PowerShell komut dosyalarının bu amaçla kullanılması uzmanlık sahibi olunmasını ve zaman harcanmasını gerektirir, dolayısıyla üçüncü taraf bir araç kullanılması elzemdir.

ADAudit Plus, makine öğreniminden faydalanarak her kullanıcıya özgü normal faaliyetlere dair bir referans oluşturur ve güvenli personelini ancak bu normdan bir sapma olduğunda bilgilendirir.

Örneğin, kritik bir sunucuya çalışma saatleri dışında sürekli olarak erişim sağlayan bir kullanıcı için bu davranış tipik olarak kabul edildiğinden, bu etkinlik bir hatalı pozitif uyarının tetiklenmesine neden olmaz. Öte yandan, ADAudit Plus, aynı kullanıcı daha önce hiç erişim sağlamadığı bir zamanda ilgili sunucuya eriştiğinde, erişim çalışma saatleri içinde olsa dahi güvenlik ekiplerini anında uyarır.

Ürünü kendiniz keşfetmek istiyorsanız, 30 günlük ücretsiz ve tam işlevsel deneme sürümünü indirebilirsiniz.

Bir uzmanın size ürün hakkında kişiselleştirilmiş bir gösterim sunmasını isterseniz bir tanıtım planlayın.