none
服务器里面安全日志事件ID4625 RRS feed

  • 问题

  • 查服务器里面安全日志,发现有审核失败事件id 4625

    帐户登录失败。

    使用者:
    安全 ID: NULL SID
    帐户名: -
    帐户域: -
    登录 ID: 0x0

    登录类型: 3

    登录失败的帐户:
    安全 ID: NULL SID
    帐户名: ADMINISTRATOR
    帐户域:

    失败信息:
    失败原因: 未知用户名或密码错误。
    状态: 0xC000006D
    子状态: 0xC000006A

    进程信息:
    调用方进程 ID: 0x0
    调用方进程名: -

    网络信息:
    工作站名:
    源网络地址: -
    源端口: -

    详细身份验证信息:
    登录进程: NtLmSsp 
    身份验证数据包: NTLM
    传递服务: -
    数据包名(仅限 NTLM): -
    密钥长度: 0

    登录请求失败时在尝试访问的计算机上生成此事件。

    “使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

    “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

    “进程信息”字段表明系统上的哪个帐户和进程请求了登录。

    “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

    “身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

    2019年10月17日 13:55

全部回复

  • 您好,

    感谢您在Technet论坛发帖。

    事件ID 4652表示计算机用户登录失败。 如果您的安全日志中有大量的事件ID 4652,我认为可能是以下原因:

    可能是病毒导致,建议您更新您的防病毒软件完全扫描客户端系统。

    如果没有病毒,请您检查“计划任务,客户端上运行的服务”,可能会存储旧的用户密码。

    如果我的回复对你有帮助,请点击下面的“标记为答复以让更多同类问题的人能快速找到答案。谢谢你对社区做出的贡献。

    此致


    2019年10月17日 16:05
  • 您好,

     

    请您查看提供的信息是否有帮助。

    如果您需要进一步的帮助请及时告知。

    如果我的回复对您有帮助,请点击下方的“标记为答复”,以帮助更多人。谢谢您的支持!

     

    此致

    2019年10月21日 15:34
  • 您好

     

    您的问题解决了吗?

     

    如果您使用我们的解决方案解决了此问题, 请将其标记为 "答复 " 以帮助其他社区成员快速找到有用的答复。

    如果您使用自己的解决方案解决此问题, 请在此共享您的经验和解决方案。对其他有类似问题的社区成员来说, 这将是非常有益的。

    如果没有, 请回复并告诉我们目前的情况, 以便提供进一步的帮助。

     

    此致


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处 或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

    2019年10月30日 17:31