Содержание
Область применения
Описание события:
Это событие создает ошибку при попытке входа в учетную запись, если учетная запись уже заблокирована. Кроме того, она генерируется при попытке входа в систему после того, как учетная запись была заблокирована.
Она создается на компьютере, на котором была сделана попытка входа, например при попытке входа в систему на рабочей станции пользователя, после чего событие заносится на эту рабочую станцию.
Это событие генерируется на контроллерах домена, рядовых серверах и рабочих станциях.
XML-код события:
Обязательные роли сервера: Ничего.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии событий: до.
Описания полей:
Тема:
- Идентификатор безопасности [Type = SID ]: SID учетной записи, которая сообщила об ошибке входа. Средство просмотра событий автоматически пытается устранить SID и показать имя учетной записи. Если SID не удается разрешить, вы увидите источник данных в событии.
* Примечание . *идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для определения доверенного лица (участника безопасности). У каждой учетной записи есть уникальный SID, выданный центром сертификации (например, контроллер домена Active Directory) и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и поместит его в маркер доступа для этого пользователя. Система использует SID в токене доступа для идентификации пользователя во всех последующих взаимодействиях с безопасностью Windows. Если идентификатор безопасности используется в качестве уникального идентификатора для пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы. Дополнительные сведения об идентификаторах безопасностисм.
Имя учетной записи [тип = уникодестринг ]: имя учетной записи, которая сообщила об ошибке входа.
Домен учетной записи [Введите = уникодестринг ]: домен или имя компьютера субъекта. Форматы различаются и включают следующее:
Пример NETBIOS-имени домена: CONTOSO
Строчное полное доменное имя: contoso. local
Полное доменное имя в верхнем регистре: CONTOSO. НАСТРОЙКИ
Для некоторых известных участников безопасности, таких как локальная служба или анонимный вход, значением этого поля является "NT Authority".
Для локальных учетных записей пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например "Win81".
Тип входа [Введите = UInt32 ]: тип входа, который был выполнен. "Таблица 11. Типы входа в Windows содержат список возможных значений для этого поля.
| Тип входа | Заголовок для входа в систему | Описание |
|---|---|---|
| 2 | Пакет | Пользователь вошел в систему на этом компьютере. |
| Трехконтактный | Сеть | Пользователь или компьютер вошли на этот компьютер из сети. |
| четырехпроцессорном | Партии | Пакетный тип входа используется серверными пакетами, где процесс может выполняться от имени пользователя без непосредственного вмешательства. |
| 5 | Служба | Служба запущена диспетчером управления службами. |
| 5-7 | Разблокировка | Эта Рабочая станция была разблокирована. |
| No8 | Нетворкклеартекст | Пользователь, выполнивший вход на этот компьютер из сети. Пароль пользователя был передан в пакет проверки подлинности в его нехешированной форме. Встроенные пакеты проверки подлинности — все хэш-данные, прежде чем отправлять их по сети. Учетные данные не проходят по сети в виде открытого текста (также называемого открытым текстом). |
| @ | Невкредентиалс | Вызывающий объект клонируется свой текущий маркер и указал новые учетные данные для исходящих подключений. Новый сеанс входа в систему имеет ту же локальную идентификацию, но использует другие учетные данные для других сетевых подключений. |
| 5-10 | Ремотеинтерактиве | Пользователь вошел на этот компьютер удаленно с помощью служб терминалов или удаленного рабочего стола. |
| 11 | Качединтерактиве | Пользователь, выполнивший вход на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Для проверки учетных данных контроллеру домена не удалось связаться с ним. |
Учетная запись, для которой не удалось войти:
- Идентификатор безопасности [Type = SID ]: SID учетной записи, указанной при попытке входа. Средство просмотра событий автоматически пытается устранить SID и показать имя учетной записи. Если SID не удается разрешить, вы увидите источник данных в событии.
* Примечание . *идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для определения доверенного лица (участника безопасности). У каждой учетной записи есть уникальный SID, выданный центром сертификации (например, контроллер домена Active Directory) и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и поместит его в маркер доступа для этого пользователя. Система использует SID в токене доступа для идентификации пользователя во всех последующих взаимодействиях с безопасностью Windows. Если идентификатор безопасности используется в качестве уникального идентификатора для пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы. Дополнительные сведения об идентификаторах безопасностисм.
Имя учетной записи [тип = уникодестринг ]: имя учетной записи, которая была указана при попытке входа.
Домен учетной записи [тип = уникодестринг ]: домен или имя компьютера. Форматы различаются и включают следующее:
Пример NETBIOS-имени домена: CONTOSO
Строчное полное доменное имя: contoso. local
Полное доменное имя в верхнем регистре: CONTOSO. НАСТРОЙКИ
Для некоторых известных участников безопасности, таких как локальная служба или анонимный вход, значением этого поля является "NT Authority".
Для локальных учетных записей пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например "Win81".
Сведения об ошибке:
Причина ошибки [Type = уникодестринг ]: текстовое описание значения поля Status . Для этого события обычно оно имеет значение "учетная запись заблокирована".
Status [Type = HexInt32 ]: причина, по которой произошел сбой входа. Для этого события обычно оно имеет значение "0xC0000234". Наиболее распространенные коды состояния перечислены в разделе "Таблица 12". Коды состояния входа в Windows. "
| Код Статуссуб-статус | Описание |
|---|---|
| 0XC000005E | В настоящее время нет доступных серверов входа для обслуживания запроса на вход. |
| 0xC0000064 | Вход пользователя с ошибками или учетной записью пользователя |
| 0xC000006A | Вход пользователя в систему с ошибкой или неверным паролем |
| 0XC000006D | Это может быть вызвано неверным именем пользователя или сведениями о проверке подлинности |
| 0XC000006E | Неизвестное имя пользователя или неверный пароль. |
| 0xC000006F | Вход пользователя за пределами авторизованного времени |
| 0xC0000070 | Вход пользователя с неавторизованной рабочей станции |
| 0xC0000071 | Вход пользователя с истекшим паролем |
| 0xC0000072 | Вход пользователя в учетную запись отключена администратором |
| 0XC00000DC | Сервер SAM находится в неправильном состоянии, чтобы выполнить требуемую операцию. |
| 0XC0000133 | Часы между контроллером домена и другим компьютером не синхронизованы |
| 0XC000015B | Пользователь не предоставил запрошенный тип входа (правый вход) на этом компьютере. |
| 0XC000018C | Не удалось выполнить запрос на вход, так как не удалось установить отношение доверия между основным доменом и доверенным доменом. |
| 0XC0000192 | Попытка входа в систему, но служба Nетлогон не запущена. |
| 0xC0000193 | Вход пользователя с просроченной учетной записью |
| 0XC0000224 | Пользователь должен сменить пароль при следующем входе в систему |
| 0XC0000225 | Очевидно, что это ошибка в Windows, а не риск |
| 0xC0000234 | Вход пользователя с заблокированной учетной записью |
| 0XC00002EE | Причина ошибки: при входе в систему произошла ошибка |
| 0XC0000413 | Вход невозможен: компьютер, на который осуществляется вход, защищен брандмауэром проверки подлинности. Для указанной учетной записи не разрешена проверка подлинности на компьютере. |
| 0×0 | Состояние ОК. |
Таблица: коды состояния входа в Windows.
**** Примечание чтобы узнать о том, что означают другие коды статуссуб-статус, вы также можете проверить код состояния в файле заголовка в окне NTSTATUS. h в Windows SDK.
- Sub Status [Type = HexInt32 ]: дополнительные сведения об ошибке входа. Наиболее распространенные коды подсостояния, указанные в таблице 12. Коды состояния входа в Windows. ".
Сведения о процессе:
Вызывающий процесс , столбец PID), выполните указанные ниже действия.
Если преобразовать шестнадцатеричное значение в десятичное, его можно сравнить с значениями в диспетчере задач.
Вы также можете сопоставить этот идентификатор процесса с ИДЕНТИФИКАТОРом процесса в других событиях, например "4688: создан новый процесс" Информатионнев Process ID процесса.
Имя вызывающего процесса [тип = уникодестринг ]: полный путь и имя исполняемого файла для процесса.
Сведения о сети:
Имя рабочей станции [Type = уникодестринг ]: имя компьютера, из которого была выполнена попытка входа.
Сетевой адрес источника [Type = уникодестринг ]: IP-адрес компьютера, с которого была выполнена попытка входа.
IPv6-адрес или:: FFFF: IPv4-адрес клиента.
:: 1 или 127.0.0.1 означает localhost.
Исходный порт [Type = уникодестринг ]: исходный порт, который использовался для попытки входа с удаленного компьютера.
Подробные сведения для проверки подлинности:
Вход [Type = уникодестринг ]: имя надежного процесса входа, который использовался при попытке входа. Дополнительные сведения содержатся в описании события "4611: доверенный процесс входа в систему зарегистрирован с помощью локального администратора безопасности".
Пакет проверки подлинности [Type = уникодестринг ]: имя пакета проверки подлинности, который использовался для процесса проверки подлинности при входе. Пакеты по умолчанию, загруженные при запуске LSA, находятся в разделе реестра "Хклмсистемкуррентконтролсетконтроллсаосконфиг". Другие пакеты можно загрузить во время выполнения. При загрузке нового пакета "4610" пакет проверки подлинности загружен локальным администратором безопасности (обычно для NTLM) или "4622": пакет безопасности загружен с помощью локального администратора безопасности (обычно для Kerberos) заносится в журнал, чтобы указать, что новый пакет был загружен вместе с именем пакета. Ниже перечислены наиболее распространенные пакеты проверки подлинности.
**** Проверка подлинности с помощью NTLM — для семейства
Проверка подлинности Kerberos – Kerberos.
Negotiate – для выбора между протоколами Kerberos и NTLM выбирается пакет безопасности Negotiate. Negotiate выберет Kerberos, если он не будет использоваться одной из систем, участвующих в проверке подлинности, или вызывающее приложение не предоставило достаточно сведений для использования Kerberos.
Транзитивные службы [тип = уникодестринг ] [только Kerberos ]: список переданных служб. Переданные службы будут заполнены, если при входе в службу S4U (службе для пользователя) был выполнен вход. S4U — это расширение Microsoft для протокола Kerberos, позволяющее службе приложений получить билет службы Kerberos от имени пользователя, который обычно выполняется на веб-сайте интерфейса для доступа к внутреннему ресурсу от имени пользователя. Дополнительные сведения об S4U можно найти в разделе https://msdn.microsoft.com/library/cc246072.aspx
Имя пакета (только NTLM) [Type = уникодестринг ]: имя подпакета LAN Manager (имя протоколаNTLM-семейства ), которое использовалось при попытке входа. Возможные значения:
Заполняется только в том случае, если "пакет проверки подлинности" = "NTLM".
Key длина [тип = UInt32 ]: длина ключа контроля доступа NTLM сеанса . Обычно имеет 128 бит или 56. Этот параметр всегда равен 0, если "пакет проверки подлинности" = "Kerberos", так как он неприменим к протоколу Kerberos. Это поле также будет иметь значение 0, если Kerberos был согласован с помощью пакета **** проверки подлинности согласования.
Рекомендации по мониторингу безопасности
Для 4625 (F): учетной записи не удалось войти в систему.
Если у вас есть предварительно определенный "имя процесса" для процесса, о котором сообщается в этом событии, наблюдайте за всеми событиями с "именем процесса", не равным заданному значению.
Вы можете следить за тем, чтоимя процессане находится в стандартной папке (например, не в папках system32 и Program Files) или находится в папке с ограниченным доступом (например, временные файлы Интернета).
Если у вас есть предварительно определенный список ограниченных подстрок или слов в именах процессов (например, "мимикатз" или "Каин. exe"), проверьте эти подстроки в "имя процесса".
Если имя субжектаккаунт является именем учетной записи службы или учетной записи пользователя, может быть полезно проверить, разрешена ли эта учетная запись (или ожидается) для входа в учетную запись, для которой идентификатор фаиледсекурити входа.
Для отслеживания несоответствия между типом входа и учетной записью, использующей ее (например, если тип входа 4 — пакет или 5-служба используется членом группы администрирования домена), наблюдайте за входом в **** это событие.
Если у вас есть домен или локальная учетная запись, для которой необходимо отслеживать все блокировки, проследите за всеми событиями 4625 с помощью идентификатора субжектсекурити , соответствующего учетной записи.
Мы рекомендуем наблюдать за всеми событиями 4625 для локальных учетных записей, так как эти учетные записи обычно не следует блокировать. Это особенно важно для важных серверов, рабочих станций и других больших ценных ресурсов.
Мы рекомендуем отслеживать все события 4625 для учетных записей служб, так как эти учетные записи не должны быть заблокированы или не могут работать. Это особенно важно для важных серверов, рабочих станций и других больших ценных ресурсов.
Если ваша организация ограничивает возможности входа в систему следующими способами, вы можете использовать это событие для наблюдения.
Если "учетная запись, для которой не удалось войти в СЕКУРИТИ ID , никогда не будет использоваться для входа в сеть с указанным именем информатионворкстатион сети.
Если определенную учетную запись (например, учетную запись службы) следует использовать только из вашего списка внутреннего IP-адреса (или другого списка IP-адресов). В этом случае вы можете следить за сетевым адресом информатионсаурце и сравнить сетевой адрес со списком IP-адресов.
Если в вашей организации всегда используется определенная версия NTLM. В этом случае вы можете использовать это событие для наблюдения за именем пакета (только NTLM), например для поиска событий, в которых имя пакета (только NTLM) не равно NTLM v2.
Если в вашей организации не используется NTLM, или не следует использовать определенную учетную запись (новый идентификатор логонсекурити). В этом случае Отслеживайте все события, для которых пакет проверки подлинности — NTLM.
Если пакет проверки подлинности — NTLM. В этом случае контроль за длиной ключа не равен 128, так как все операционные системы Windows, начиная с Windows 2000, поддерживают длину ключа 128-bit.
Если процесс входа не входит в список надежных процессов входа в систему.
Проследите за всеми событиями, которые имеют поля и значения в приведенной ниже таблице.
Мы используем в общей сложности 7 Windows Server (2008/2012) R2 Standard Edition для среды разработки и производства. В прошлом месяце наши серверы были скомпрометированы, и мы обнаружили много неудачных журналов ошибок в средстве просмотра событий Windows. Мы пытались использовать IDDS в киберпреступлениях, но раньше это не помогло.
Теперь мы повторно отобразили все наши серверы и переименовали учетные записи администратора / гостя. И после настройки серверов снова мы используем этот idds для обнаружения и блокировки нежелательных ip-адресов.
IDDS работает хорошо, но все же мы получаем 4625 событий в средстве просмотра событий без какого-либо исходного ip-адреса. Как заблокировать эти запросы от анонимных IP-адресов?
ОБНОВЛЕНИЕ: После проверки журналов брандмауэра я думаю, что эти 4625 событий не связаны с Rdp, но могут быть SSH или любые другие попытки, которые я не знаком с
4 ответа
IP-адрес для неудачных попыток RDP регистрируется здесь даже с включенным NLA (никаких настроек не требуется) (проверен на сервере 2012 R2, не уверен в других версиях)
Журналы приложений и сервисов > Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational (Идентификатор события 140)
По данным статьи Рэнди Франклина Смита (CISA, SSCP, Security MVP). В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита.
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание
528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему