Windows 事件檢視器 安全性事件 Event ID 4625 (Eventvwr)
2021-07-31
最近在 Windows 的事件檢視器中發現 4625 稽核失敗的事件,主要是關於「登入失敗。嘗試以不明的使用者名稱,或已知使用者名稱或錯誤密碼登入。」行為的稽核紀錄。特別以實驗環境模擬如何產生出 4625 事件,已增加對於此類事件的認識。
說明
遠端登入失敗
指使用 MSTSC 的方式連線到遠端伺服器,但驗證失敗的行為。
SMB 登入失敗
指使用檔案總管並經由 SMB 協定去存取遠端伺服器共享資料夾,但驗證失敗的行為。
UDL 資料庫連線失敗
指經由 UDL 副檔名的方式去連線資料庫伺服器,但驗證失敗的行為,另可以使用 SQL Server Management Studio 達成一樣的連線效果。特別的是這邊的失敗是指與 Domain Controller 驗證使用者的失敗,如果僅是使用者不存在於資料庫授權的失敗,並不會產生 4625,而是會產生失敗紀錄於 SQL Server 的 Logs 當中。
IIS Windows 驗證失敗
指使用瀏覽器向遠端伺服器連線,但站台有啟用 Windows 驗證,但驗證失敗的行為。
小結
上述的各種方式都會產生 4625 事件,來源是從使用者端,目的則是被嘗試登入的伺服器端。加入網域的伺服器,預設此登入失敗事件僅只有伺服器本身可以由事件檢視器查詢,如果想要讓 Domain Controller 的事件檢視器也記錄網域中各伺服器的登入失敗行為,必須額外進行設定:
可以歸結所有需要使用 Windows 驗證的行為,都屬於對於伺服器的登入行為。如果驗證失敗,則會產生稽核失敗的 4625 事件,此外也無從光從區別究竟是 MSTSC、SMB、UDL 或者 IIS 所產生的 Windows 驗證失敗。