4625账户登陆失败 |
您所在的位置:网站首页 › b站账号登录失败 › 4625账户登陆失败 |
0x0事件说明: 对于登录失败,将记录此事件。 它在尝试登录的计算机上生成(例如,如果在用户的工作站上尝试登录,则在此工作站上记录时间)。 此事件在域控制器、成员服务器和工作站上生成。
0x1排查思路 1、确认域账号存在且密码正确 1.1、域账号需在enable可用状态下,disabled的账号不能够登录 1.2、密码正确:检查密码是否过期,AD密码未同步,或者密码忘记、或者密码输入错误 2、保证客户端时间与域控制器时间同步 注意时区的选择 3、保证DNS配置与预控网路畅通 检查DNS配置是否正确,使用ipconfig/all命令 ping域控IP,查看网络是否通畅 ping域名,如果不同,可能是DNS配置问题 4、确认客户端与域没有失去信任关系 如果查看是否客户端和域失去了信任关系 右击我的电脑----管理----查看本地用户和组,查看administrators组中,查看是否存在你所要登录虚拟机的账户,如果账户SID格式出现,像(S-1-5-21----------------------),则表示该计算机与域失去了信任。 为什么客户端和域会失去信任关系呢? (1)域中存在与该计算机重名的账户 (2)计算机账户被禁用或者被删除 (3)该计算机长时间(30)天没有登陆过域,导致安全通道密码发生变化,需要重置安全通道密码。 5、保证域组策略中配置了域账户有本地登录权限 计算机配置-----windows设置---安全设置---本地策略----用户权限分配----------------------运行本地登录 6、保证域内所有的域控制器数据同步 由于计算机在一个域控上修改了密码,而AD同步有问题,会导致当计算机登录域时,可能会到没有同步数据的AD上验证,导致登录失败!
0x2、主题: 安全性 ID [Type = SID]: 报告登录失败信息的帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。 帐户名称 [Type = UnicodeString]: 报告登录失败信息的帐户的名称。 帐户域 [Type = UnicodeString]: 使用者的域或计算机名称。 下面是一些格式示例: 域 NETBIOS 名称示例: CONTOSO 小写完整域名: contoso.local 大写完整域名:CONTOSO.LOCAL 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。 登录类型 [Type = UInt32]: 执行的登录类型。 “表 11。 Windows 登录类型”包含此字段的可能值列表。 Windows 登录类型 登陆类型 登陆标题 描述 2 交互 登录到此计算机的用户 3 网络 从网络登录到此计算机的用户或计算机 4 批处理 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户直接干预 5 服务 服务控制管理器已启动服务 6 解除锁定 已解锁此工作站 7 NetworkCleartext 从网络登录到此计算机的用户。 用户的密码以未经过哈希处理的形式传递给验证包。 内置的身份验证将所有哈希凭证打包,然后再通过网络发送它们。 凭据不会以纯文本(也称为明文)形式遍历网络 8 NewCredentials 调用方克隆了其当前令牌并为出站连接指定了新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据 9 RemoteInteractive 使用终端服务或远程桌面远程登录到此计算机的用户 10 CachedInteractive 使用存储在计算机上的本地网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据
2、登录失败的帐户: 安全性 ID [Type = SID]: 登录尝试中指定帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据 备注 安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息 账户名称 [Type = UnicodeString]: 登录尝试中指定的帐户的名称 帐户域 [Type = UnicodeString]: 域或计算机名称。 下面是一些格式示例:域 NETBIOS 名称示例: CONTOSO 小写完整域名: contoso.local 大写完整域名:CONTOSO.LOCAL 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。 登录 ID \ [Type = HexInt64 ]: 十六进制值,可帮助您将此事件与可能包含相同登录 ID 的最新事件(例如,"4624:帐户已成功登录")相关联。
0x3、失败信息 失败原因 [Type = UnicodeString]:****状态字段值的文本说明。 对于此事件,它通常具有“Account locked out”值。 状态 [Type = HexInt32]: 登录失败的原因。 对于此事件,它通常具有“0xC0000234”值。 表 12 列出了最常见的状态代码。 Windows 登录状态代码。 windows登录状态码表 4625登陆失败地位与子状态码: 描述 0 xc0000064 用户使用拼写错误或错误用户帐户进行登录”。 尤其是如果连续发生多个此类事件,这可能是用户枚举攻击的迹象 0 xc000006a 用户使用拼写错误或错误密码进行登陆 0 xc0000234 用户当前锁定 0 xc0000072 账户目前禁用 0 xc000006f 用户在授权时间之外登录或时间限制 0 xc0000070 用户从未授权的工作站登录 0 xc0000192 尝试登录,但 Netlogon 服务未启动 0 xc0000193 用户使用过期账号登录 0 xc0000071 用户使用过期的密码登录 0 xc00000dc 指示 Sam 服务器处于错误状态,无法执行所需操作 0 xc0000133 DC和其他计算机之间的时钟完全不同步 0 xc0000224 用户需要在下次登陆时更改密码 0 xc00002ee 失败原因:登录时出错 0 xc0000225 这是windows中的错误,而非风险 0 xc000015b 没有被授权该用户请求登录类型(登录名正确的)在这台机器(没有登陆权限) 0 xc000006d 原因可能是用户名或身份验证信息错误 0 x80090325 登录期间出错 0 xc000005e 当前没有可用于服务登录请求的登录服务器,此问题通常不是安全问题,但也可能是基础设施或可用性问题 0 xc000006e 指示引用的用户名和身份验证信息有效,但某些用户帐户限制阻止了成功的身份验证(例如时间限制) 0 xc000018c 登录请求失败,因为主域和受信任域之间的信任关系失败 0 xc0000413 登录失败:登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证 0x0 状态正常
0x4、排查 4.1进程排查 打开命令窗口 输入命令cmd 打开命令窗口输入命令:netstat -ano(可查看到本地地址与外部地址与PID)
打开任务管理器,根据访问外部ip多的PID到进程查看对应的PID进程,把相关的进程禁掉或卸载相关程序
4.2事件查看器排查 电脑搜索event并打开 点击安全——筛选当前日志——勾选审核失败 双击4625事件,查看常规进程的详情
4.3排查域组策略中配置了域账户有本地登录权限 打开命令行输入:secpol.msc 查看是否对定义其进行了限制
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |