Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

Características

Id. De evento de Windows 4625: inicio de sesión fallido

Introducción

El Id. De evento 4625 (visto en el Visor de eventos de Windows) documenta todos los intentos fallidos de iniciar sesión en una computadora local . Este evento se genera en la computadora desde donde se intentó iniciar sesión. Un evento relacionado, el ID de evento 4624 documenta los inicios de sesión correctos.

El evento 4625 se aplica a los siguientes sistemas operativos: Windows Server 2008 R2 y Windows 7, Windows Server 2012 R2 y Windows 8.1, y Windows Server 2016 y Windows 10. Los eventos correspondientes en Windows Server 2003 y versiones anteriores incluyeron 529, 530, 531, 532, 533, 534, 535, 536, 537 y 539 para inicios de sesión fallidos.

El Id. De evento 4625 se ve un poco diferente en Windows Server 2008, 2012 y 2016. En las capturas de pantalla siguientes se destacan los campos importantes de cada una de estas versiones. 

Evento 4625 (Windows 2008)

Evento 4625 (Windows 2008)

Evento 4625 (Windows 2012)

Evento 4625 (Windows 2012)

Evento 4625 (Windows 2016)

Evento 4625 (Windows 2016)

Descripción de los campos de eventos

La  información importante que se puede derivar del evento 4625 incluye:

  • Tipo de inicio de sesión: este campo revela el tipo de inicio de sesión que se intentó. En otras palabras, señala  cómo el usuario intentó iniciar sesión . Hay un total de nueve tipos diferentes de inicios de sesión. Los tipos de inicio de sesión más comunes son: tipo de inicio de sesión 2 (interactivo) y tipo de inicio de sesión 3 (red). Cualquier tipo de inicio de sesión que no sea 5 (que denota un inicio de servicio) es una señal de alerta. Para obtener una descripción de los diferentes tipos de inicio de sesión, consulte  Id . De evento 4624 .
  • Cuenta para la que falló el inicio de sesión: esta sección revela el  nombre de cuenta del usuario que intentó iniciar sesión.
  • Información de falla: esta sección explica las  razones de la falla de inicio de sesión . El campo Motivo de la falla incluye una breve explicación, mientras que los campos Estado y Subestado enumeran códigos hexadecimales, los más comunes de los cuales se explican a continuación.
0xC0000064
El nombre de usuario está mal escrito o no existe.
0xC000006A
La contraseña del usuario es incorrecta.
0xC000006D
El nombre de usuario o la información de autenticación son incorrectos.
0xC0000234
El usuario está actualmente bloqueado.
0xC0000072
La cuenta de usuario está actualmente deshabilitada.
0xC000006F
El usuario intentó iniciar sesión fuera del horario autorizado.
0xC0000070
El usuario intentó iniciar sesión desde una estación de trabajo no autorizada.
0xC0000193
La cuenta del usuario ha caducado.
0xC0000071
La contraseña del usuario ha caducado.
0xC0000133
Los tiempos del controlador de dominio y de la computadora no están sincronizados.
0xC0000224
El usuario debe cambiar su contraseña en el próximo inicio de sesión.
0xc000015b
Al usuario no se le ha otorgado el tipo de inicio de sesión solicitado en esa máquina.

Otra información que se puede obtener del Evento 4625:

  • La sección Asunto revela la cuenta en el sistema local que solicitó el inicio de sesión (no el usuario).
  • La sección Información del proceso revela detalles relacionados con el proceso que intentó iniciar sesión.
  • La sección Información de red revela dónde estaba el usuario cuando intentó iniciar sesión. Si el inicio de sesión se inició desde su computadora actual, esta información estará en blanco o reflejará el nombre de la estación de trabajo y la dirección de red de origen de esa computadora local.
  • La sección Autenticación detallada revela información sobre el paquete de autenticación utilizado al intentar iniciar sesión.

Razones para monitorear inicios de sesión fallidos:

  Seguridad

Para detectar  ataques de fuerza bruta , diccionario y otros ataques de adivinación de contraseñas, que se caracterizan por un aumento repentino en los inicios de sesión fallidos.

Para detectar actividad interna anormal y posiblemente  maliciosa , como un intento de inicio de sesión desde una cuenta deshabilitada o una estación de trabajo no autorizada, usuarios que inician sesión fuera del horario laboral normal, etc.

  Operacional

Para llegar a un punto de referencia para la configuración de la política de umbral de bloqueo de la  cuenta , que determina el número de intentos fallidos de inicio de sesión antes de que se bloquee una cuenta de usuario.

  Cumplimiento

Para cumplir con los mandatos regulatorios, es necesaria información precisa sobre los inicios de sesión fallidos.

La necesidad de una herramienta de terceros

En un entorno de TI típico, la cantidad de eventos con ID 4625 (inicio de sesión fallido) puede llegar a miles cada día. Los inicios de sesión fallidos son útiles por sí mismos, pero se pueden obtener más conocimientos sobre la actividad de la red a partir de conexiones claras entre ellos y otros eventos pertinentes.

Por ejemplo, mientras que el Evento 4625 se genera cuando una cuenta no puede iniciar sesión y el Evento 4624 se genera para inicios de sesión exitosos, ninguno de estos eventos revela si la misma cuenta ha experimentado ambos recientemente. Debe correlacionar el Evento 4625 con el Evento 4624 utilizando sus respectivos ID de inicio de sesión para averiguarlo. 

Por lo tanto, es necesario realizar el  análisis y la correlación de eventos . Las herramientas nativas y los scripts de PowerShell exigen experiencia y tiempo cuando se emplean con este fin, por lo que una herramienta de terceros es verdaderamente indispensable.

Al aplicar el aprendizaje automático, ADAudit Plus crea una línea base de actividades normales específicas para cada usuario y solo notifica al personal de seguridad cuando hay una desviación de esta norma.

Por ejemplo, un usuario que accede de manera constante a un servidor crítico fuera del horario comercial no desencadenaría una alerta de falso positivo porque ese comportamiento es típico de ese usuario. Por otro lado, ADAudit Plus alertaría instantáneamente a los equipos de seguridad cuando ese mismo usuario acceda a ese servidor durante un tiempo en el que nunca antes había accedido, aunque el acceso se encuentre dentro del horario comercial.

Si desea explorar el producto usted mismo, descargue la versión de prueba gratuita y completamente funcional de 30 días.

Si desea que un experto lo lleve a través de un recorrido personalizado del producto, programe una demostración.

Detecta actividad malintencionada de inicio de sesión de Active Directory.

ManageEngine ADAudit Plus emplea el aprendizaje automático para alertarle cada vez que un usuario con posible intención malintencionada inicia sesión.

 
3 de cada 5 empresas de Fortune 500 confían en ManageEngine para administrar su TI.
 
 
 
 

Los 8 eventos de seguridad de Windows más críticos que debe monitorear.

 

¡Gracias por su interés!

Hemos enviado la guía a su bandeja de entrada.

Gracias por su visita.

Antes de irse, consulte nuestra guía sobre los 8 eventos de seguridad de Windows más críticos que debe monitorear.

Ingrese la dirección de correo electrónico comercial
  •  
  • Al hacer clic en ' Obtener la guía gratuita ', acepta el procesamiento de datos personales de acuerdo con la Política de privacidad .

ADAudit Plus cuenta con la confianza de