Преводач

7/09/2016

Заключване на потребителски акаунт - Lockout event 4740, 4767, 4624, 4625

Тук ще разгледаме няколко интересни ивента при заклюване на потребителски акаунт поради грешна парола или неуспешно логване. 
Този вид проблеми са често срещани и са доста трудни за проследяване и откриване на главния проблем, тъй като може да са свързани с няколко неща от типа на запазаени стари потребителски данни, дали на телефон или смартфон, дали в Outlook или друга програма и след смяната им, дадената програма се опитва да се логне със старото потребителско име и парола.

Event 4740

Това известие от Eventviwer ни уведомява, когaто даден потребителски акаунт е заключен поради повтаряеми неуспешни опити за логване или сгрешена парола. Както знаете в домейн среда...а и не само, в зависимост от груповата политика, която е прилогена, при няколко грешни изписвания на паролата акаунта се заключва. Често срещаната настройка е при три грешни опита на паролата. След което акаунта трябва да бъде отключен от администратора
Изглежда по следния начин и ни предоставя следната информация.

A user account was locked out.

Subject:

Security ID: SYSTEM
Account Name: WIN-R9H529RIO4Y$
Account Domain: WORKGROUP
Logon ID: 0x3e7

Account That Was Locked Out:

Security ID: WIN-R9H529RIO4Y\John
Account Name: John

Additional Information:

Caller Computer Name: WIN-R9H529RIO4Y

Event 4767

Това е известиe за отключен акунт в активната директория, когато натиснете "чавката' Unlock Аccount в таба акаунт на потребителски профил.




A user account was unlocked.

Subject:

Security ID: WIN-R9H529RIO4Y\Administrator
Account Name: Administrator
Account Domain: WIN-R9H529RIO4Y
Logon ID: 0x192a4

Target Account:

Security ID: WIN-R9H529RIO4Y\John
Account Name: John

Event 4624

Това събитие е много ценно, тъй като документира всеки успешен опит за влизане на локалния компютър, независимо от типа влизане, местоположение на потребителя, или вида на акаунта. Можете да свръжете с ивенти  Logoff 4634 и 4647 с помощта на Logon ID.

Потребителят, който току-що е влезнал в системата се идентифицира с името на акаунта и домейн акаунта. Може да се определи дали акаунта е локален или от домейна чрез сравняване на домейн профила на името на компютъра. Ако те съвпадат, акаунта е локален в тази система, в противен случай е на домейн.


Examples of 4624
Windows 10 and 2016

An account was successfully logged on.

Subject:
Security ID: SYSTEM
Account Name: DESKTOP-LLHJ389$
Account Domain: WORKGROUP
Logon ID: 0x3E7

Logon Information:
Logon Type: 7
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No

Impersonation Level: Impersonation

New Logon:
Security ID: AzureAD\RandyFranklinSmith
Account Name: rsmith@montereytechgroup.com
Account Domain: AzureAD
Logon ID: 0xFD5113F
Linked Logon ID: 0xFD5112A
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 0x30c
Process Name: C:\Windows\System32\lsass.exe

Network Information:
Workstation Name: DESKTOP-LLHJ389
Source Network Address: -
Source Port: -

Detailed Authentication Information:
Logon Process: Negotiat
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Win2008

An account was successfully logged on.

Subject:
Security ID: SYSTEM
Account Name: WIN-R9H529RIO4Y$
Account Domain: WORKGROUP
Logon ID: 0x3e7
Logon Type:10
New Logon:
Security ID: WIN-R9H529RIO4Y\Administrator
Account Name: Administrator
Account Domain: WIN-R9H529RIO4Y
Logon ID: 0x19f4c
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x4c0
Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: WIN-R9H529RIO4Y
Source Network Address: 10.42.42.211
Source Port: 1181
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

Event 4625

Това е полезно събитие, защото документира всеки неуспешен опит за влизане на локалния компютър, независимо от типа влизане, местоположение на потребителя, или вида на акаунта.

Идентифицира акаунта, която е поискал вписване - НЕ на потребителя, който току-що се опитал да влезе в сайта.

Таблицата съдържа информация, защо логването е било  неуспешно и съответните кодове.

Status and Sub Status CodesDescription (not checked against "Failure Reason:") 
0xC0000064user name does not exist
0xC000006Auser name is correct but the password is wrong
0xC0000234user is currently locked out
0xC0000072account is currently disabled
0xC000006Fuser tried to logon outside his day of week or time of day restrictions
0xC0000070workstation restriction
0xC0000193account expiration
0xC0000071expired password
0xC0000133clocks between DC and other computer too far out of sync
0xC0000224user is required to change password at next logon
0xC0000225evidently a bug in Windows and not a risk
0xc000015bThe user has not been granted the requested logon type (aka logon right) at this machine

An account failed to log on.
Subject:
   
Security ID:  NULL SID
   Account Name:  -
   Account Domain:  -
   Logon ID:  0x0
Logon Type:  3
Account For Which Logon Failed:
   Security ID:  NULL SID
   Account Name:  asdf
   Account Domain:  
Failure Information:
   Failure Reason:  Unknown user name or bad password.
   Status:   0xc000006d
   Sub Status:  0xc0000064

Process Information:
   Caller Process ID: 0x0
   Caller Process Name: -

Network Information:
   
Workstation Name: WIN-R9H529RIO4Y
   Source Network Address: 10.42.42.201
   Source Port:  53176

Detailed Authentication Information:
      Logon Process:  NtLmSsp
   Authentication Package: NTLM
   Transited Services: -
   Package Name (NTLM only): -
   Key Length:  0
This event is 

Няма коментари:

Публикуване на коментар