- Код события 4625 windows server 2012 r2
- Answered by:
- Question
- Answers
- Событие с ИДЕНТИФИКАТОРом 4625 регистрируется каждые 5 минут при использовании пакета управления Exchange 2010 в Operations Manager
- Симптомы
- Причина
- Решение
- Код события 4625 windows server 2012 r2
- Answered by:
- Question
- Answers
- 10 критически важных event ID для мониторинга
- Контроллеры доменов
- Вход и выход из системы (Logon/Logoff)
- Типы входов в систему (Logon Types)
- Коды отказов Kerberos
- Коды ошибок NTLM
- Код события 4625 windows server 2012 r2
- Общие обсуждения
- Все ответы
Код события 4625 windows server 2012 r2
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
The following gets logged in blocks of 10 — 15 entries at 3 minutes to the hour in the windows security log.
The times coincide with the software protecton service running so I assume there is a connection between the 2.
I cant find an account called FS1$ but all services are logging on and running correctly. I would be most grateful for any assistance.
An account failed to log on.
Security ID: SYSTEM
Account Name: FS1$
Account Domain: MG
Account For Which Logon Failed:
Security ID: NULL SID
Failure Reason: Unknown user name or bad password.
Sub Status: 0xC0000064
Caller Process ID: 0x2d0
Caller Process Name: C:\Windows\System32\lsass.exe
Workstation Name: FS1
Source Network Address: —
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Package Name (NTLM only): —
Answers
According to the event, logon type is 3, which indicates Network Logon.
I suggest you use Network Monitor to catch network traffic so we can determine that which process from which machine is sending bad password attempts.
More information for you:
How to setup and collect network capture using Network Monitor tool
In addition, here is a related article below describes possible causes for multiple failed logon audit events.
Troubleshooting Account Lockout
Событие с ИДЕНТИФИКАТОРом 4625 регистрируется каждые 5 минут при использовании пакета управления Exchange 2010 в Operations Manager
В этой статье описывается поведение по проекту с ИДЕНТИФИКАТОРом 4625 каждые 5 минут при использовании пакета управления Microsoft Exchange 2010 в System Center Operations Manager.
Исходная версия продукта: System Center 2012 Operations Manager
Исходный номер статьи базы знаний: 2591305
Симптомы
При использовании пакета управления Exchange 2010 в System Center Operations Manager можно получить событие ошибки аудита безопасности в журнале событий безопасности каждые 5 минут. Ниже приведен пример события.
Имя журнала: Security
Источник: Microsoft $ Windows — безопасность — аудит
Будущ
Идентификатор события: 4625
Категория задачи: вход в систему
Уровень: сведения
Ключевые слова: сбой аудита
Пользователь: N/A
Компьютер: имя_компьютера
Описание:
Не удалось выполнить вход в учетную запись.
Тема:
Идентификатор безопасности: NULL SID
Имя учетной записи: —
Домен учетной записи: —
Идентификатор входа: 0x0
Учетная запись, для которой не удалось выполнить вход:
Идентификатор безопасности: NULL SID
Имя учетной записи: Aextest_
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Дочернее состояние: 0xC0000064
Сведения о процессе:
Идентификатор процесса звонящего: 0x0
Имя процесса вызывающего абонента: —
Сведения о сети:
Имя рабочей станции: воркстатионнаме
Сетевой адрес источника: саурценетворкаддресс
Исходный порт: 30956
Подробные сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Транзитные службы: —
Имя пакета (только NTLM):-
Длина ключа: 0
Имя учетной записи будет иметь формат Aextest_ .
Причина
Используемая учетная запись почтовых ящиков Exchange extest_ . Этот дополнительный метод A передается таким образом, чтобы тестовая учетная запись не блокировалась.
Решение
Это событие можно игнорировать по мере его создания.
Код события 4625 windows server 2012 r2
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
The following gets logged in blocks of 10 — 15 entries at 3 minutes to the hour in the windows security log.
The times coincide with the software protecton service running so I assume there is a connection between the 2.
I cant find an account called FS1$ but all services are logging on and running correctly. I would be most grateful for any assistance.
An account failed to log on.
Security ID: SYSTEM
Account Name: FS1$
Account Domain: MG
Account For Which Logon Failed:
Security ID: NULL SID
Failure Reason: Unknown user name or bad password.
Sub Status: 0xC0000064
Caller Process ID: 0x2d0
Caller Process Name: C:\Windows\System32\lsass.exe
Workstation Name: FS1
Source Network Address: —
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Package Name (NTLM only): —
Answers
According to the event, logon type is 3, which indicates Network Logon.
I suggest you use Network Monitor to catch network traffic so we can determine that which process from which machine is sending bad password attempts.
More information for you:
How to setup and collect network capture using Network Monitor tool
In addition, here is a related article below describes possible causes for multiple failed logon audit events.
Troubleshooting Account Lockout
10 критически важных event ID для мониторинга
Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.
О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.
Контроллеры доменов
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание
528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему
Код события 4625 windows server 2012 r2
Общие обсуждения
- Изменен тип Petko Krushev Microsoft contingent staff, Moderator 27 февраля 2018 г. 8:52
Все ответы
Посмотрите статью внизу:
А также и видео:
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.
В журнале безопасности есть события 4625, но без ip адреса. тут RemoteDesktopServices-RDPCoreTS/Operational» и тут TerminalServices->RemoteConnectionManager тоже ничего нет. где взять адрес, или что сделать чтоб он появился в событии 4625?
IP адрес есть в событии 4624. Можно сделать анализ входа по RDP с помощью Powershell:
