Zdarzenie Windows o identyfikatorze 4625 — nieudane logowanie

• Wprowadzenie

Wprowadzenie

Zdarzenie o identyfikatorze 4625 (widoczne w programie podglądzie zdarzeń Windows) dokumentuje każdą nieudaną próbę zalogowania się do lokalnego komputera. Zdarzenie to jest generowane na komputerze, z którego dokonano próby logowania. Zdarzenie pokrewne, zdarzenie o identyfikatorze 4624 dokumentuje udane logowanie.

Zdarzenie 4625 dotyczy następujących systemów operacyjnych: Windows Server 2008 R2 i Windows 7, Windows Server 2012 R2 i Windows 8.1 oraz Windows Server 2016 i Windows 10. Odpowiednie zdarzenia w systemie Windows Server 2003 i wcześniejszych obejmowały 529, 530, 531, 532, 533, 534, 535, 536, 537 i 539 dla nieudanych logowań.

Zdarzenie o identyfikatorze 4625 wygląda nieco inaczej w systemach Windows Server 2008, 2012 i 2016. Na poniższych zrzutach ekranu są wyróżnione ważne pola w przypadku każdej z tych wersji.

Zdarzenie 4625 (Windows 2008)

Zdarzenie 4625 (Windows 2012)

Zdarzenie 4625 (Windows 2016)

Opis pól zdarzeń

Obszar ważnych informacji, które można uzyskać ze zdarzenia 4625 obejmuje:

• Typ logowania:to pole zawiera informacje o rodzaju logowania, które było realizowane. Innymi słowy, zawiera informacje o tym, how the user tried logging on. W sumie istnieje dziewięć różnych typów logowania. Najczęściej spotykane typy logowania to: logowanie typu 2 (interaktywne) i logowanie typu 3 (sieciowe). Każdy typ logowania inny niż 5 (oznaczający uruchomienie usługi) jest czerwoną flagą. Opis różnych typów logowania można przeczytać w części dotyczącej zdarzenia o identyfikatorze 4624.
•Konto, na które nie udało się zalogować: Ten obszar obejmuje Account Name użytkownika, który próbował się zalogować.
• Informacja o niepowodzeniu: w tym obszarze wyjaśniono reasons for the logon failure. The Failure Reason. Pole Przyczyna niepowodzenia zawiera krótkie wyjaśnienie, natomiast pola Status i Status podrzędny zawierają kody szesnastkowe, z których najczęstsze są wyjaśnione poniżej.

Kody stanu i stanu podrzędnego

Opis

0xC0000064

The username is misspelled or does not exist.

0xC000006A

The user's password is wrong.

0xC000006D

The username or authentication information is incorrect.

0xC0000234

The user is currently locked out.

0xC0000072

The user account is currently disabled.

0xC000006F

The user tried to log on outside authorized hours.

0xC0000070

The user tried to log on from an unauthorized workstation.

0xC0000193

The user's account has expired.

0xC0000071

The user's password has expired.

0xC0000133

The domain controller and computer's times are out of sync.

0xC0000224

The user is required to change their password at next logon.

0xc000015b

The user has not been granted the requested logon type on that machine.

Inne informacje, które można uzyskać w ramach zdarzenia 4625:

• Obszar Temat zawiera informacje o koncie w systemie lokalnym, które zażądało logowania (nie użytkownika).
• Obszar Informacje o procesie zawiera szczegóły dotyczące procesu, który był zaangażowany w logowanie.
• Obszar Informacje o sieci zawiera informacje o tym, gdzie był użytkownik, gdy próbował się zalogować. Jeśli logowanie zostało zainicjowane z bieżącego komputera, informacje będą puste lub będą zawierać nazwę stacji roboczej i adres sieci źródłowej tego komputera.
• Obszar Uwierzytelnianie szczegółowe zawiera informacje o pakiecie uwierzytelniania użytym podczas próby logowania.

Przyczyna monitorowania nieudanych logowań:

Zabezpieczenia

Wykrywanie ataku siłowego, słownikowego i innych ataków polegających na odgadywaniu hasła, które charakteryzują się nagłym wzrostem liczby nieudanych logowań.

Wykrywanie nienormalnej i prawdopodobnie złośliwej aktywności wewnętrznej, takiej jak próba logowania z wyłączonego konta lub nieautoryzowanej stacji roboczej lub użytkowników logujących się poza normalnymi godzinami pracy.

Działanie

Przygotowywanie testu porównawczego ustawienia Account lockout threshold policy, który określa liczbę nieudanych prób logowania, zanim konto użytkownika zostanie zablokowane.

Zgodność

Spełnianie wymogów prawnych, niezbędne są dokładne informacje dotyczące nieudanych logowań.

Potrzeba użycia narzędzia zewnętrznego

W typowym środowisku IT liczba zdarzeń o identyfikatorze 4625 (nieudane logowanie) może sięgać tysięcy dziennie. Informacje o nieudanych logowaniach są przydatne same w sobie, ale większy wgląd w aktywność sieciową można uzyskać na podstawie wyraźnych połączeń między nimi a innymi istotnymi zdarzeniami.

Przykładowo podczas gdy zdarzenie 4625 jest generowane w przypadku niepowodzenia logowania konta, a zdarzenie 4624 jest generowane dla udanych logowań, żadne z tych zdarzeń nie ujawnia, czy to samo konto było ostatnio związane z oboma zdarzeniami. Aby to ustalić, trzeba skorelować zdarzenie 4625 ze zdarzeniem 4624 przy użyciu ich odpowiednich identyfikatorów logowania.

W związku z tym należy przeanalizować zdarzenia i skorelować je. Natywne narzędzia i skrypty PowerShell wymagają wiedzy i czasu, gdy są wykorzystywane w tym celu, więc narzędzie innej firmy jest naprawdę niezbędne.

ADAudit Plus z zastosowaniem uczenia maszynowego pozwala utworzyć podstawowe lub normalne aktywności, które są normalne dla każdego użytkownika. Zespół ds. zabezpieczeń otrzymuje powiadomienie tylko w przypadku odstępstw od tej normy.

Przykładowo użytkownik, który często uzyskuje dostęp do krytycznego serwera poza godzinami pracy, nie wyzwoli fałszywego alarmu, ponieważ takie zachowanie jest typowe dla niego. Z drugiej strony, oprogramowanie ADAudit Plus natychmiast wysyłałoby alert do zespołów ds. zabezpieczeń, gdy ten sam użytkownik uzyskałby dostęp do tego serwera w czasie, w którym nigdy wcześniej nie uzyskiwał do niego dostępu, nawet jeśli ten dostęp przypada w godzinach pracy.

Zdarzenie Windows o identyfikatorze 4625 — nieudane logowanie

Wprowadzenie

Opis pól zdarzeń

Przyczyna monitorowania nieudanych logowań:

Potrzeba użycia narzędzia zewnętrznego

Spełnij wszystkie potrzeby związane z audytem i bezpieczeństwem IT dzięki ADAudit Plus.