4625账户登陆失败
0x0事件说明:
对于登录失败,将记录此事件。
它在尝试登录的计算机上生成(例如,如果在用户的工作站上尝试登录,则在此工作站上记录时间)。
此事件在域控制器、成员服务器和工作站上生成。
0x1排查思路
1、确认域账号存在且密码正确
1.1、域账号需在enable可用状态下,disabled的账号不能够登录
1.2、密码正确:检查密码是否过期,AD密码未同步,或者密码忘记、或者密码输入错误
2、保证客户端时间与域控制器时间同步
注意时区的选择
3、保证DNS配置与预控网路畅通
检查DNS配置是否正确,使用ipconfig/all命令
ping域控IP,查看网络是否通畅
ping域名,如果不同,可能是DNS配置问题
4、确认客户端与域没有失去信任关系
如果查看是否客户端和域失去了信任关系
右击我的电脑----管理----查看本地用户和组,查看administrators组中,查看是否存在你所要登录虚拟机的账户,如果账户SID格式出现,像(S-1-5-21----------------------),则表示该计算机与域失去了信任。
为什么客户端和域会失去信任关系呢?
(1)域中存在与该计算机重名的账户
(2)计算机账户被禁用或者被删除
(3)该计算机长时间(30)天没有登陆过域,导致安全通道密码发生变化,需要重置安全通道密码。
5、保证域组策略中配置了域账户有本地登录权限
计算机配置-----windows设置---安全设置---本地策略----用户权限分配----------------------运行本地登录
6、保证域内所有的域控制器数据同步
由于计算机在一个域控上修改了密码,而AD同步有问题,会导致当计算机登录域时,可能会到没有同步数据的AD上验证,导致登录失败!
0x2、主题:
- 安全性 ID [Type = SID]: 报告登录失败信息的帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。
- 帐户名称 [Type = UnicodeString]: 报告登录失败信息的帐户的名称。
- 帐户域 [Type = UnicodeString]: 使用者的域或计算机名称。 下面是一些格式示例:
- 域 NETBIOS 名称示例: CONTOSO
- 小写完整域名: contoso.local
- 大写完整域名:CONTOSO.LOCAL
- 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。
- 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。
- 登录类型 [Type = UInt32]: 执行的登录类型。 “表 11。 Windows 登录类型”包含此字段的可能值列表。
- Windows 登录类型
登陆类型 | 登陆标题 | 描述 |
2 | 交互 | 登录到此计算机的用户 |
3 | 网络 | 从网络登录到此计算机的用户或计算机 |
4 | 批处理 | 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户直接干预 |
5 | 服务 | 服务控制管理器已启动服务 |
6 | 解除锁定 | 已解锁此工作站 |
7 | NetworkCleartext | 从网络登录到此计算机的用户。 用户的密码以未经过哈希处理的形式传递给验证包。 内置的身份验证将所有哈希凭证打包,然后再通过网络发送它们。 凭据不会以纯文本(也称为明文)形式遍历网络 |
8 | NewCredentials | 调用方克隆了其当前令牌并为出站连接指定了新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据 |
9 | RemoteInteractive | 使用终端服务或远程桌面远程登录到此计算机的用户 |
10 | CachedInteractive | 使用存储在计算机上的本地网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据 |
2、登录失败的帐户:
-
安全性 ID [Type = SID]: 登录尝试中指定帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据
-
备注
安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息
- 账户名称 [Type = UnicodeString]: 登录尝试中指定的帐户的名称
- 帐户域 [Type = UnicodeString]: 域或计算机名称。 下面是一些格式示例:
-
-
域 NETBIOS 名称示例: CONTOSO
-
小写完整域名: contoso.local
-
大写完整域名:CONTOSO.LOCAL
-
对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。
-
对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。
-
-
登录 ID \ [Type = HexInt64 ]: 十六进制值,可帮助您将此事件与可能包含相同登录 ID 的最新事件(例如,"4624:帐户已成功登录")相关联。
0x3、失败信息
-
失败原因 [Type = UnicodeString]:****状态字段值的文本说明。 对于此事件,它通常具有“Account locked out”值。
-
状态 [Type = HexInt32]: 登录失败的原因。 对于此事件,它通常具有“0xC0000234”值。 表 12 列出了最常见的状态代码。 Windows 登录状态代码。
windows登录状态码表
4625登陆失败地位与子状态码: |
描述 |
0 xc0000064 |
用户使用拼写错误或错误用户帐户进行登录”。 |
0 xc000006a |
用户使用拼写错误或错误密码进行登陆 |
0 xc0000234 |
用户当前锁定 |
0 xc0000072 |
账户目前禁用 |
0 xc000006f |
用户在授权时间之外登录或时间限制 |
0 xc0000070 |
用户从未授权的工作站登录 |
0 xc0000192 |
尝试登录,但 Netlogon 服务未启动 |
0 xc0000193 |
用户使用过期账号登录 |
0 xc0000071 |
用户使用过期的密码登录 |
0 xc00000dc |
指示 Sam 服务器处于错误状态,无法执行所需操作 |
0 xc0000133 |
DC和其他计算机之间的时钟完全不同步 |
0 xc0000224 |
用户需要在下次登陆时更改密码 |
0 xc00002ee |
失败原因:登录时出错 |
0 xc0000225 |
这是windows中的错误,而非风险 |
0 xc000015b |
没有被授权该用户请求登录类型(登录名正确的)在这台机器(没有登陆权限) |
0 xc000006d |
原因可能是用户名或身份验证信息错误 |
0 x80090325 |
登录期间出错 |
0 xc000005e |
当前没有可用于服务登录请求的登录服务器,此问题通常不是安全问题,但也可能是基础设施或可用性问题 |
0 xc000006e |
指示引用的用户名和身份验证信息有效,但某些用户帐户限制阻止了成功的身份验证(例如时间限制) |
0 xc000018c |
登录请求失败,因为主域和受信任域之间的信任关系失败 |
0 xc0000413 |
登录失败:登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证 |
0x0 |
状态正常 |
0x4、排查
4.1进程排查
打开命令窗口
输入命令cmd
打开命令窗口输入命令:netstat -ano(可查看到本地地址与外部地址与PID)
打开任务管理器,根据访问外部ip多的PID到进程查看对应的PID进程,把相关的进程禁掉或卸载相关程序
4.2事件查看器排查
电脑搜索event并打开
点击安全——筛选当前日志——勾选审核失败
双击4625事件,查看常规进程的详情
4.3排查域组策略中配置了域账户有本地登录权限
打开命令行输入:secpol.msc
查看是否对定义其进行了限制