4625(F): учетная запись не смогла войти в систему. 4625(F): An account failed to log on.
Относится к: Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Описание события: Event Description:
Это событие создает, если попытка логотипа учетной записи не удалась, когда учетная запись уже заблокирована. Он также создает для попытки логотипа, после которой учетная запись была заблокирована. This event generates if an account logon attempt failed when the account was already locked out. It also generates for a logon attempt after which the account was locked out.
Он создается на компьютере, на котором была предпринята попытка логона, например, если попытка логона была предпринята на рабочей станции пользователя, то событие будет в журнале на этой рабочей станции. It generates on the computer where logon attempt was made, for example, if logon attempt was made on user’s workstation, then event will be logged on this workstation.
Это событие создается на контроллерах доменов, серверах членов и рабочих станциях. This event generates on domain controllers, member servers, and workstations.
Рекомендации см. в рекомендациях по мониторингу безопасности для этого события. For recommendations, see Security Monitoring Recommendations for this event.
XML события: Event XML:
Необходимые роли сервера: нет. Required Server Roles: None.
Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.
Версии события: 0. Event Versions: 0.
Описания полей: Field Descriptions:
Тема: Subject:
Security ID [Type = SID]: SID учетной записи, сообщаемой о сбое логотипа. Security ID [Type = SID]: SID of account that reported information about logon failure. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая сообщила сведения о сбое логотипа. Account Name [Type = UnicodeString]: the name of the account that reported information about logon failure.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Account Domain [Type = UnicodeString]: subject’s domain or computer name. Вот несколько примеров форматов: Here are some examples of formats:
Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO
Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.
Тип logon [Type = UInt32]— тип выполненного логотипа. Logon Type [Type = UInt32]: the type of logon that was performed. «Таблица 11. “Table 11. Типы логотипов Windows» содержит список возможных значений для этого поля. Windows Logon Types” contains the list of possible values for this field.
Таблица 11. Типы логотипов Windows Table 11: Windows Logon Types
| Тип входа в систему Logon Type | Название типа входа Logon Title | Описание Description |
|---|---|---|
| 2 2 | Interactive (Интерактивные) Interactive | Пользователь успешно вошел в систему на данном компьютере. A user logged on to this computer. |
| 3 3 | Network Network | Пользователь или компьютер вошли в систему на данном компьютере через сеть. A user or computer logged on to this computer from the network. |
| 4 4 | Batch Batch | Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства. Batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention. |
| 5 5 | Обслуживание Service | Служба была запущена диспетчером служб. A service was started by the Service Control Manager. |
| 7 7 | Unlock Unlock | Эта рабочая станция была разблокирована. This workstation was unlocked. |
| 8 8 | NetworkClearText NetworkCleartext | Пользователь вошел в систему на данном компьютере через сеть. A user logged on to this computer from the network. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. The user’s password was passed to the authentication package in its unhashed form. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. The built-in authentication packages all hash credentials before sending them across the network. Учетные данные не передаются через сеть открытым текстом. The credentials do not traverse the network in plaintext (also called cleartext). |
| 9 9 | NewCredentials NewCredentials | Инициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. A caller cloned its current token and specified new credentials for outbound connections. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений. The new logon session has the same local identity, but uses different credentials for other network connections. |
| 10 10 | RemoteInteractive RemoteInteractive | Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола. A user logged on to this computer remotely using Terminal Services or Remote Desktop. |
| 11 11 | CachedInteractive CachedInteractive | Пользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. A user logged on to this computer with network credentials that were stored locally on the computer. Контроллер домена не использовался для проверки учетных данных. The domain controller was not contacted to verify the credentials. |
Учетная запись, для которой не удалось использовать logon: Account For Which Logon Failed:
Security ID [Type = SID]: SID учетной записи, указанной в попытке логотипа. Security ID [Type = SID]: SID of the account that was specified in the logon attempt. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, указанной в попытке логотипа. Account Name [Type = UnicodeString]: the name of the account that was specified in the logon attempt.
Домен учетной записи [Type = UnicodeString]: домен или имя компьютера. Account Domain [Type = UnicodeString]: domain or computer name. Вот несколько примеров форматов: Here are some examples of formats:
Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO
Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.” Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”
Сведения о сбоях: Failure Information:
Причина отказа [Type = UnicodeString]: текстовое объяснение значения поля Status. Failure Reason [Type = UnicodeString]: textual explanation of Status field value. Для этого события обычно используется значение «Учетная записьзаблокирована». For this event, it typically has “Account locked out” value.
Состояние [Type = HexInt32]: причина сбой logon. Status [Type = HexInt32]: the reason why logon failed. Для этого события обычно используетсязначение «0xC0000234». For this event, it typically has “0xC0000234” value. Наиболее распространенные коды состояния перечислены в таблице 12. The most common status codes are listed in Table 12. Коды состояния логотипа Windows. Windows logon status codes.
Таблица 12. Коды состояния логотипа Windows. Table 12: Windows logon status codes.
| Код состояния\sub-status Status\Sub-Status Code | Описание Description |
|---|---|
| 0XC000005E 0XC000005E | В настоящее время нет серверов с логотипами, доступных для обслуживания запроса на логотип. There are currently no logon servers available to service the logon request. |
| 0xC0000064 0xC0000064 | Логотип пользователя с ошибкой или плохой учетной записью пользователя User logon with misspelled or bad user account |
| 0xC000006A 0xC000006A | Логотип пользователя с ошибкой или плохим паролем User logon with misspelled or bad password |
| 0XC000006D 0XC000006D | Причиной является либо плохое имя пользователя, либо сведения о проверке подлинности The cause is either a bad username or authentication information |
| 0XC000006E 0XC000006E | Указывает, что указанные имена пользователей и сведения о проверке подлинности допустимы, но некоторые ограничения учетных записей пользователей препятствуют успешной проверке подлинности (например, ограничения по времени). Indicates a referenced user name and authentication information are valid, but some user account restriction has prevented successful authentication (such as time-of-day restrictions). |
| 0xC000006F 0xC000006F | Логотип пользователя за пределами разрешенных часов User logon outside authorized hours |
| 0xC0000070 0xC0000070 | Логотип пользователя с несанкционированной рабочей станции User logon from unauthorized workstation |
| 0xC0000071 0xC0000071 | Логос пользователя с истекшим паролем User logon with expired password |
| 0xC0000072 0xC0000072 | Логотип пользователя для учетной записи, отключенной администратором User logon to account disabled by administrator |
| 0XC00000DC 0XC00000DC | Указывает, что сервер Sam Server оказался в неправильном состоянии для выполнения нужной операции. Indicates the Sam Server was in the wrong state to perform the desired operation. |
| 0XC0000133 0XC0000133 | Слишком далеко не синхронизируются часы между DC и другим компьютером Clocks between DC and other computer too far out of sync |
| 0XC000015B 0XC000015B | Пользователю не был предоставлен запрашиваемого типа логотипа (также называемого правойэмблемой) на этом компьютере The user has not been granted the requested logon type (also called the logon right) at this machine |
| 0XC000018C 0XC000018C | Запрос logon не удалось, так как связь доверия между основным доменом и доверенным доменом не удалось. The logon request failed because the trust relationship between the primary domain and the trusted domain failed. |
| 0XC0000192 0XC0000192 | Была предпринята попытка логотипа, но служба Netlogon не была запущена. An attempt was made to logon, but the Netlogon service was not started. |
| 0xC0000193 0xC0000193 | Логотип пользователя с просроченной учетной записью User logon with expired account |
| 0XC0000224 0XC0000224 | Пользователь должен изменить пароль в следующем логотипе User is required to change password at next logon |
| 0XC0000225 0XC0000225 | Очевидно, ошибка в Windows, а не риск Evidently a bug in Windows and not a risk |
| 0xC0000234 0xC0000234 | Логотип пользователя с заблокированной учетной записью User logon with account locked |
| 0XC00002EE 0XC00002EE | Причина отказа: ошибка произошла во время Logon Failure Reason: An Error occurred during Logon |
| 0XC0000413 0XC0000413 | Отказ от логона. Компьютер, на который вы вошел, защищен брандмауэром проверки подлинности. Logon Failure: The machine you are logging on to is protected by an authentication firewall. Указанной учетной записи не разрешается проверка подлинности на компьютере. The specified account is not allowed to authenticate to the machine. |
| 0x0 0x0 | Состояние ОК. Status OK. |
Чтобы увидеть значение других кодов состояния или подштатных кодов, можно также проверить код состояния в файле ntstatus.h главы окна в Windows SDK. To see the meaning of other status or substatus codes, you might also check for status code in the Window header file ntstatus.h in Windows SDK.
- Sub Status [Type = HexInt32]: дополнительные сведения о сбое логотипа. Sub Status [Type = HexInt32]: additional information about logon failure. Наиболее распространенные коды подштатных кодов, перечисленные в таблице «Таблица 12. The most common substatus codes listed in the “Table 12. Коды состояния с логотипом Windows.». Windows logon status codes.”.
Сведения о процессе: Process Information:
Caller Process ID [Type = Pointer]: hexadecimal Process ID of the process that attempted the logon. Caller Process ID [Type = Pointer]: hexadecimal Process ID of the process that attempted the logon. ИД процесса (PID)— это число, которое операционная система использует для идентификации активного процесса уникальным образом. Process ID (PID) is a number used by the operating system to uniquely identify an active process. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка «Подробности», столбец «ИД процесса»): To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):
Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач. If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.
Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии «4688: создан процесс» Информация о процессе\ ИД нового процесса. You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process Information\New Process ID.
Имя процесса вызова [Тип = UnicodeString]: полный путь и имя исполняемого для процесса. Caller Process Name [Type = UnicodeString]: full path and the name of the executable for the process.
Сведения о сети: Network Information:
Имя рабочей станции [Type = UnicodeString]: имя машины, с которого была выполнена попытка логотипа. Workstation Name [Type = UnicodeString]: machine name from which logon attempt was performed.
Исходный сетевой адрес [Type = UnicodeString]: IP-адрес компьютера, с которого была выполнена попытка логотипа. Source Network Address [Type = UnicodeString]: IP address of machine from which logon attempt was performed.
Адрес IPv6 или ::ffff:IPv4 адреса клиента. IPv6 address or ::ffff:IPv4 address of a client.
::1 или 127.0.0.1 означает localhost. ::1 or 127.0.0.1 means localhost.
Исходный порт [Type = UnicodeString]: исходный порт, который использовался для попытки логотипа с удаленного компьютера. Source Port [Type = UnicodeString]: source port that was used for logon attempt from remote machine.
- 0 для интерактивных логотипов. 0 for interactive logons.
Подробные сведения о проверке подлинности: Detailed Authentication Information:
Logon Process [Type = UnicodeString]: имя доверенного процесса логотипа, который использовался для попытки логотипа. Logon Process [Type = UnicodeString]: the name of the trusted logon process that was used for the logon attempt. Дополнительные сведения см. в описании события»4611:доверенный процесс логона, зарегистрированный в локальном органе безопасности». See event “4611: A trusted logon process has been registered with the Local Security Authority” description for more information.
Пакет проверки подлинности [Type = UnicodeString]: имя пакета проверки подлинности, который использовался для процесса проверки подлинности логотипа. Authentication Package [Type = UnicodeString]: The name of the authentication package that was used for the logon authentication process. Пакеты по умолчанию, загруженные на запуск LSA, расположены в ключе реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig. Default packages loaded on LSA startup are located in “HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig” registry key. Другие пакеты можно загрузить во время запуска. Other packages can be loaded at runtime. При загрузке нового пакета регистрируется событие»4610:пакет проверки подлинности, загруженный местным органом безопасности» (как правило, для NTLM) или»4622:пакет безопасности был загружен местным органом безопасности» (обычно для Kerberos), чтобы указать, что новый пакет был загружен вместе с именем пакета. When a new package is loaded a “4610: An authentication package has been loaded by the Local Security Authority” (typically for NTLM) or “4622: A security package has been loaded by the Local Security Authority” (typically for Kerberos) event is logged to indicate that a new package has been loaded along with the package name. Наиболее распространенные пакеты проверки подлинности: The most common authentication packages are:
NTLM — проверка подлинности семейства NTLM NTLM – NTLM-family Authentication
Kerberos — проверка подлинности Kerberos. Kerberos – Kerberos authentication.
Согласование — пакет безопасности Negotiate выбирает между протоколами Kerberos и NTLM. Negotiate – the Negotiate security package selects between Kerberos and NTLM protocols. Согласование выбирает Kerberos, если она не может быть использована одной из систем, участвующих в проверке подлинности или вызываемого приложения не предоставили достаточно информации для использования Kerberos. Negotiate selects Kerberos unless it cannot be used by one of the systems involved in the authentication or the calling application did not provide sufficient information to use Kerberos.
Transited Services [Type = UnicodeString] [Kerberos-only]: список передаваемых служб. Transited Services [Type = UnicodeString] [Kerberos-only]: the list of transmitted services. Передаваемые службы заполняются, если логотип был результатом процесса логотипа S4U (Service For User). Transmitted services are populated if the logon was a result of a S4U (Service For User) logon process. S4U — это расширение Майкрософт до протокола Kerberos, позволяя службе приложений получать билет на службу Kerberos от имени пользователя — чаще всего это делается на интерфейсной веб-сайте для доступа к внутреннему ресурсу от имени пользователя. S4U is a Microsoft extension to the Kerberos Protocol to allow an application service to obtain a Kerberos service ticket on behalf of a user – most commonly done by a front-end website to access an internal resource on behalf of a user. Дополнительные сведения о S4U см. в For more information about S4U, see https://msdn.microsoft.com/library/cc246072.aspx
Имя пакета (только для NTLM) [Type = UnicodeString]: имя подпакета lan Manager (имя протоколасемейства NTLM), которое использовалось во время попытки логотипа. Package Name (NTLM only) [Type = UnicodeString]: The name of the LAN Manager subpackage (NTLM-family protocol name) that was used during the logon attempt. Возможные значения: Possible values are:
«NTLM V1» “NTLM V1”
«NTLM V2» “NTLM V2”
Заполняется только в том случае, если «Пакет проверки подлинности» = «NTLM». Only populated if “Authentication Package” = “NTLM”.
Длина ключа [Тип = UInt32]: длина ключа безопасности сеанса NTLM. Key Length [Type = UInt32]: the length of NTLM Session Security key. Как правило, она имеет длину 128 битов или 56 битов. Typically, it has a length of 128 bits or 56 bits. Этот параметр всегда 0, если «Пакет проверки подлинности» = «Kerberos», так как он не применим к протоколу Kerberos. This parameter is always 0 if «Authentication Package» = «Kerberos», because it is not applicable for Kerberos protocol. Это поле также будет иметь значение «0», если kerberos был согласован с помощью пакета проверки подлинности Negotiate. This field will also have “0” value if Kerberos was negotiated using Negotiate authentication package.
Рекомендации по контролю безопасности Security Monitoring Recommendations
Для 4625 (F): учетная запись не смогла войти в систему. For 4625(F): An account failed to log on.
В этом событии также см. рекомендации по мониторингу безопасности для многих событий аудита. For this event, also see Appendix A: Security monitoring recommendations for many audit events.
Если у вас есть заранее определенное «Имяпроцесса» для процесса, о чем сообщалось в этом событии, отслеживайте все события с помощью «Имяпроцесса», не равного вашему определенному значению. If you have a pre-defined “Process Name” for the process reported in this event, monitor all events with “Process Name” not equal to your defined value.
Вы можете отслеживать, не находится ли «Имяпроцесса» в стандартной папке (например, не в System32 или Program Files) или в ограниченной папке (например, **** Временные файлы Интернета). You can monitor to see if “Process Name” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).
Если у вас есть заранее определенный список ограниченных подстройок или слов в именах процессов (например,«mimikatz» или** «cain.exe»), **проверьте эти подстройки в «Имяпроцесса». If you have a pre-defined list of restricted substrings or words in process names (for example, “mimikatz” or “cain.exe”), check for these substrings in “Process Name.”
Если Subject\Account Name — это имя учетной записи службы или учетной записи пользователя, может быть полезно узнать, разрешена ли эта учетная запись (или ожидается) запрашивать логос для учетной записи, для которой не удалось использовать logon\Security ID. If Subject\Account Name is a name of service account or user account, it may be useful to investigate whether that account is allowed (or expected) to request logon for Account For Which Logon Failed\Security ID.
Чтобы отслеживать несоответствие между типом логотипа и используемой учетной записью (например, если тип Logon 4-Batch или 5-Service используется членом административной группы домена), в этом событии отслеживайте тип Logon Type. To monitor for a mismatch between the logon type and the account that uses it (for example, if Logon Type 4-Batch or 5-Service is used by a member of a domain administrative group), monitor Logon Type in this event.
Если у вас есть домен высокой стоимости или локализованная учетная запись, для которой необходимо отслеживать каждую блокировку, отслеживайте все события 4625 с помощью «Subject\Security ID», соответствующего учетной записи. If you have a high-value domain or local account for which you need to monitor every lockout, monitor all 4625 events with the “Subject\Security ID” that corresponds to the account.
Рекомендуется следить за всеми событиями 4625 для локальных учетных записей, так как эти учетные записи обычно не должны быть заблокированы. Мониторинг особенно важен для критически важных серверов, административных рабочих станций и других ценных активов. We recommend monitoring all 4625 events for local accounts, because these accounts typically should not be locked out. Monitoring is especially relevant for critical servers, administrative workstations, and other high-value assets.
Рекомендуется следить за всеми событиями 4625 для учетных записей служб, так как эти учетные записи не должны быть заблокированы или не должны функционировать. We recommend monitoring all 4625 events for service accounts, because these accounts should not be locked out or prevented from functioning. Мониторинг особенно актуален для критически важных серверов, административных рабочих станций и других ценных активов. Monitoring is especially relevant for critical servers, administrative workstations, and other high value assets.
Если ваша организация ограничивает логотипы следующими способами, вы можете использовать это событие для мониторинга соответствующим образом: If your organization restricts logons in the following ways, you can use this event to monitor accordingly:
Если «Account For Which Logon failed \Security ID» никогда не следует использовать для входа из определенного имени Network Information\Workstation. If the “Account For Which Logon Failed \Security ID” should never be used to log on from the specific Network Information\Workstation Name.
Если определенная учетная запись, например учетная запись службы, должна использоваться только из внутреннего списка IP-адресов (или другого списка IP-адресов). If a specific account, such as a service account, should only be used from your internal IP address list (or some other list of IP addresses). В этом случае можно отслеживать сетевой сетевой адрес и сравнивать сетевой адрес со списком IP-адресов. In this case, you can monitor for Network Information\Source Network Address and compare the network address with your list of IP addresses.
Если в организации всегда используется определенная версия NTLM. If a particular version of NTLM is always used in your organization. В этом случае вы можете использовать это событие для мониторинга имени пакета (только для NTLM), например для поиска событий, в которых только имя пакета (только NTLM) не равно NTLM V2. In this case, you can use this event to monitor Package Name (NTLM only), for example, to find events where Package Name (NTLM only) does not equal NTLM V2.
Если NTLM не используется в организации или не должна использоваться определенной учетной записью (New Logon\Security ID). If NTLM is not used in your organization, or should not be used by a specific account (New Logon\Security ID). В этом случае отслеживайте все события, в которых пакет проверки подлинности является NTLM. In this case, monitor for all events where Authentication Package is NTLM.
Если пакет проверки подлинности — это NTLM. If the Authentication Package is NTLM. В этом случае монитор для длины ключей не равен 128, так как все операционные системы Windows, начиная с Windows 2000, поддерживают 128-битную длину ключей. In this case, monitor for Key Length not equal to 128, because all Windows operating systems starting with Windows 2000 support 128-bit Key Length.
Если Logon Process не из списка доверенных процессов логона. If Logon Process is not from a trusted logon processes list.
Мониторинг всех событий с полями и значениями в следующей таблице: Monitor for all events with the fields and values in the following table:
