0x0事件说明：

对于登录失败，将记录此事件。

它在尝试登录的计算机上生成（例如，如果在用户的工作站上尝试登录，则在此工作站上记录时间）。

此事件在域控制器、成员服务器和工作站上生成。

0x1排查思路

1、确认域账号存在且密码正确

1.1、域账号需在enable可用状态下，disabled的账号不能够登录

1.2、密码正确：检查密码是否过期，AD密码未同步，或者密码忘记、或者密码输入错误

2、保证客户端时间与域控制器时间同步

注意时区的选择

3、保证DNS配置与预控网路畅通

检查DNS配置是否正确，使用ipconfig/all命令

ping域控IP，查看网络是否通畅

ping域名，如果不同，可能是DNS配置问题

4、确认客户端与域没有失去信任关系

如果查看是否客户端和域失去了信任关系

右击我的电脑----管理----查看本地用户和组，查看administrators组中，查看是否存在你所要登录虚拟机的账户，如果账户SID格式出现，像（S-1-5-21----------------------),则表示该计算机与域失去了信任。

为什么客户端和域会失去信任关系呢？

（1）域中存在与该计算机重名的账户

（2）计算机账户被禁用或者被删除

（3）该计算机长时间（30）天没有登陆过域，导致安全通道密码发生变化，需要重置安全通道密码。

5、保证域组策略中配置了域账户有本地登录权限

计算机配置-----windows设置---安全设置---本地策略----用户权限分配----------------------运行本地登录

6、保证域内所有的域控制器数据同步

由于计算机在一个域控上修改了密码，而AD同步有问题，会导致当计算机登录域时，可能会到没有同步数据的AD上验证，导致登录失败！

0x2、主题：

2、登录失败的帐户：

安全性 ID [Type = SID]： 登录尝试中指定帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID，将在事件中看到源数据

备注

安全标识符 (SID) 是用于识别受信者（安全主体）的可变长度的唯一值。 每个帐户都有一个由权威机构（例如 Active Directory 域控制器）颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时，系统都会从数据库中检索该用户的 SID，并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后，不能再次用于识别其他用户或组。 有关 SID 的更多信息

域 NETBIOS 名称示例： CONTOSO

小写完整域名： contoso.local

大写完整域名：CONTOSO.LOCAL

对于某些众所周知的安全主体，例如 LOCAL SERVICE 或 ANONYMOUS LOGON，此字段的值为 “NT AUTHORITY”。

对于本地用户帐户，此字段将包含此帐户所属的计算机或设备的名称，例如：“Win81”。

登录 ID \ [Type = HexInt64 ]： 十六进制值，可帮助您将此事件与可能包含相同登录 ID 的最新事件（例如，"4624：帐户已成功登录"）相关联。

0x3、失败信息

失败原因 [Type = UnicodeString]：****状态字段值的文本说明。 对于此事件，它通常具有“Account locked out”值。

状态 [Type = HexInt32]： 登录失败的原因。 对于此事件，它通常具有“0xC0000234”值。 表 12 列出了最常见的状态代码。 Windows 登录状态代码。

windows登录状态码表 

4625登陆失败地位与子状态码：

描述

0 xc0000064

用户使用拼写错误或错误用户帐户进行登录”。 尤其是如果连续发生多个此类事件，这可能是用户枚举攻击的迹象

0 xc000006a

用户使用拼写错误或错误密码进行登陆

0 xc0000234

用户当前锁定

0 xc0000072

账户目前禁用

0 xc000006f

用户在授权时间之外登录或时间限制

0 xc0000070

用户从未授权的工作站登录

0 xc0000192

尝试登录，但 Netlogon 服务未启动

0 xc0000193

用户使用过期账号登录

0 xc0000071

用户使用过期的密码登录

0 xc00000dc

指示 Sam 服务器处于错误状态，无法执行所需操作

0 xc0000133

DC和其他计算机之间的时钟完全不同步

0 xc0000224

用户需要在下次登陆时更改密码

0 xc00002ee

失败原因：登录时出错

0 xc0000225

这是windows中的错误，而非风险

0 xc000015b

没有被授权该用户请求登录类型（登录名正确的）在这台机器（没有登陆权限）

0 xc000006d

原因可能是用户名或身份验证信息错误

0 x80090325

登录期间出错

0 xc000005e

当前没有可用于服务登录请求的登录服务器，此问题通常不是安全问题，但也可能是基础设施或可用性问题

0 xc000006e

指示引用的用户名和身份验证信息有效，但某些用户帐户限制阻止了成功的身份验证（例如时间限制）

0 xc000018c

登录请求失败，因为主域和受信任域之间的信任关系失败

0 xc0000413

登录失败：登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证

0x0

状态正常

 0x4、排查

4.1进程排查

打开命令窗口

输入命令cmd

打开命令窗口输入命令：netstat -ano（可查看到本地地址与外部地址与PID）

打开任务管理器，根据访问外部ip多的PID到进程查看对应的PID进程，把相关的进程禁掉或卸载相关程序

4.2事件查看器排查

电脑搜索event并打开

点击安全——筛选当前日志——勾选审核失败

双击4625事件，查看常规进程的详情

 4.3排查域组策略中配置了域账户有本地登录权限

打开命令行输入：secpol.msc

查看是否对定义其进行了限制