Windows 4625日志类别解析:未成功的账户登录事件
什么是Windows 4625日志?
Windows 4625日志属于安全日志(Security Log) 的一部分,记录系统中未成功的账户登录尝试(Failed Logon)。它是追踪非法登录尝试、暴力破解攻击的关键日志之一,可帮助管理员识别潜在的安全威胁。
4625日志的核心类别与字段解析
4625日志按登录类型(Logon Type)、失败原因和登录场景可分为以下主要类别,每个类别包含不同的关键字段:
一、按登录类型分类(重点场景)
登录类型反映了用户尝试登录的方式,常见类型及对应的4625日志场景如下:
| 登录类型 | 场景描述 | 典型失败原因 |
|---|---|---|
| 2(交互式登录) | 用户在本地计算机或通过远程桌面(RDP)直接登录。 | 密码错误、账户被锁定、账户不存在。 |
| 3(网络登录) | 通过网络访问共享资源(如访问文件服务器、SMB协议连接)。 | 权限不足、账户未授权访问共享目录。 |
| 5(服务登录) | 系统服务或应用程序以特定账户身份启动(如SQL Server服务、Windows服务)。 | 服务账户密码错误、账户权限不足。 |
| 10(远程交互登录) | 通过RDP、远程Shell(如PowerShell Remoting)等远程交互方式登录。 | 远程连接配置错误、网络策略阻止访问。 |
| 11(批处理登录) | 系统自动执行批处理任务或计划任务时的登录(如定时备份脚本)。 | 任务账户密码过期、账户被禁用。 |
二、按失败原因分类
4625日志通过状态码(Status) 和失败信息描述登录失败的具体原因,常见类别包括:
| 失败类别 | 状态码(示例) | 日志关键信息 |
|---|---|---|
| 账户不存在 | 0xC000006D | Account Name: 未知账户名 Status: 0xC000006D (ERROR_LOGON_FAILURE) |
| 密码错误 | 0xC000006A | Account Name: 有效账户名 Status: 0xC000006A (ERROR_LOGON_CREDENTIALS_INVALID) |
| 账户被锁定 | 0xC0000234 | Status: 0xC0000234 (ERROR_ACCOUNT_LOCKED_OUT) Substatus: 0x0 |
| 账户已过期 | 0xC0000071 | Status: 0xC0000071 (ERROR_ACCOUNT_EXPIRED) |
| 权限不足(如域策略限制) | 0xC000006E | Status: 0xC000006E (ERROR_LOGON_USER_MIGHT_NOT_EXIST) Subject Domain: 域控制器名称 |
| 登录时间限制 | 0xC0000072 | Status: 0xC0000072 (ERROR_ACCOUNT logon time restriction) |
三、按登录来源分类
4625日志记录了登录尝试的来源设备和网络信息,可分为以下场景:
| 来源类别 | 日志关键字段 | 典型场景 |
|---|---|---|
| 本地登录(Local) | Workstation Name: localhost Source Network Address: 127.0.0.1 | 用户在本地计算机按Ctrl+Alt+Del登录。 |
| 远程桌面(RDP) | Workstation Name: 远程计算机名 Source Network Address: 公网IP | 攻击者通过公网IP尝试RDP暴力破解。 |
| 域内网络登录 | Workstation Name: 域内计算机名 Source Network Address: 192.168.1.10 | 域内用户尝试访问共享资源失败。 |
| 外部网络登录 | Source Network Address: 43.248.XXX.XXX(非内网IP) Source Port: 随机端口 | 攻击者通过外部网络尝试入侵。 |
四、4625日志的关键字段(必看)
分析4625日志时,需重点关注以下字段以定位失败原因:
- 事件ID:固定为4625。
- 账户信息:
Account Name:尝试登录的账户名(可能是用户名或服务账户)。Account Domain:账户所属域(如WORKGROUP或域名)。
- 登录类型:如2(本地)、10(远程交互)。
- 失败状态码:如
0xC000006A(密码错误)。 - 登录来源:
Workstation Name:登录的设备名。Source Network Address:来源IP(远程登录时)。
- 失败子状态(Substatus):如
0x0(常规失败)、0xC0000235(账户锁定)。
如何利用4625日志检测安全威胁?
- 暴力破解攻击检测:
- 监控同一IP在短时间内(如5分钟)多次尝试不同账户或密码的4625日志(阈值可设为5次/5分钟)。
- 异常登录位置检测:
- 对比
Source Network Address是否为账户常用登录区域(如突然出现海外IP登录)。
- 对比
- 账户锁定排查:
- 若大量4625日志显示
Status: 0xC0000234,可能是暴力破解导致账户锁定,需定位来源IP。
- 若大量4625日志显示
- 服务账户异常检测:
- 监控登录类型为5(服务登录)的4625日志,若频繁失败可能导致服务无法启动(如SQL Server服务)。
实战示例:分析一次RDP暴力破解攻击的4625日志
事件ID: 4625
账户名: Administrator
账户域: CONTOSO
登录类型: 10 (远程交互登录)
失败状态: 0xC000006A (密码错误)
来源IP: 117.182.XXX.XXX
来源端口: 54321
工作站名: WIN-RDP01
失败子状态: 0x0
分析:外部IP(117.182.XXX.XXX)尝试以Administrator账户远程登录域控服务器,因密码错误失败,需立即封禁该IP并加强RDP安全(如启用MFA、修改默认端口)。
总结
Windows 4625日志是系统安全的“警报器”,通过分类解析其登录类型、失败原因和来源信息,管理员可快速识别非法登录尝试并采取防御措施。建议结合SIEM工具(如Splunk、Azure Sentinel)对4625日志进行实时监控和自动化告警,提升安全响应效率。
![[Android]ANR的线程](http://pic.xiahunao.cn/[Android]ANR的线程)
)
)
)
操作)
