O que é o ID do Evento 4625: Uma Conta Falhou ao Fazer Login

Tutoriais

O que é o ID do Evento 4625: Uma Conta Falhou ao Fazer Login. Você está vendo muitos ID de evento 4625 (Uma conta falhou ao fazer login) nos registros de segurança do seu Controlador de Domínio e não tem certeza do que significa ou como resolver isso? Bem, neste artigo, explicamos tudo o que você precisa saber sobre este evento de segurança do Active Directory e como corrigir o problema que o aciona.Primeiro, discutimos as causas e várias propriedades do ID do Evento 4625. Este registro de evento de segurança fornece informações sobre o tipo de tentativa de login, informações da conta do usuário, processo de login, motivo da falha, endereço do cliente e códigos de status e sub-status do evento.

Primeiro, discutimos as causas e várias propriedades do Evento ID 4625. Este log de segurança fornece informações sobre o tipo de tentativa de logon, informações da conta de usuário, processo de logon, motivo da falha, endereço do cliente e códigos de status e sub-status do evento.

Em seguida, explicamos como interpretar essas propriedades e usá-las para determinar a causa raiz do erro que acionou o log de eventos. Isso envolve verificar o nome de usuário e a senha, status da conta, pertencimento a grupos, conectividade de rede e eventos de segurança relacionados.

Uma vez que você tenha identificado o problema, também fornecemos alguns passos gerais para corrigir o ID de evento 4625. Isso pode envolver redefinir senhas, reabilitar contas desabilitadas, ajustar políticas de grupo, solucionar problemas de conectividade de rede ou escanear para malware.

Então, se você está vendo muitos ID de evento 4625 em seu Controlador de Domínio Segurança logs e deseja corrigir o problema, continue lendo para descobrir como!

Leia também Exibir Logs de Eventos do Active Directory (AD) e o que eles rastreiam

Causas Potenciais do ID de Evento 4625: Uma Conta Falhou ao Fazer Login

O primeiro passo para solucionar problemas e corrigir a causa do ID de evento 4625 é entender as possíveis coisas que poderiam impedir que um usuário, serviço ou conta de computador falhe ao fazer login. Aqui estão as principais razões que podem gerar o ID de evento 46225:

  1. Nome de usuário ou senha incorretos: se um usuário inserir uma senha incorreta, a conta não pode fazer login. Isso faz com que o computador em que o usuário tenta fazer login registre o evento ID 4625.

    Além disso, se a senha em uma conta de serviço estiver incorreta, ela falha quando a conta de serviço tenta autenticar no AD, e o Controlador de Domínio também registra este log de eventos.

  2. A conta de usuário expirou: quando um administrador cria uma conta AD, eles a configuram para expirar em uma data específica.

    Se um usuário do Active Directory tentar usar uma conta expirada para fazer login no AD, o usuário é negado acesso. Então, o Controlador de Domínio registra um ID de evento 4625.

  3. A conta que tentou fazer login foi desabilitada.
  4. O usuário está restrito de fazer login em um computador: você sabia que como administrador, você usa política de grupo para impedir que um usuário ou grupo faça login em um computador?

    Isso é feito usando a política “Deny log on locally”. Se essa política for aplicada a um usuário e eles tentarem fazer login no computador, eles são negados acesso.

    Quando isso acontece, o computador registra o ID de evento 4625 em seu log de eventos de segurança local quando um usuário é negado acesso devido à política.

Leia também O que é o ID de Log do Windows 4740? – Uma Conta de Usuário Foi Bloqueado

Entendendo as Propriedades do ID de Evento 4625: Uma Conta Falhou ao Fazer Login

Quando esse evento é registrado no log de eventos de segurança, geralmente inclui informações sobre a conta de usuário que não conseguiu fazer login, o tipo de tentativa de login e a razão da falha. Essas informações ajudam a solucionar o problema e a determinar a ação apropriada para corrigi-lo.

No entanto, para usar as informações no log de eventos, você precisa entender as propriedades relevantes do ID de evento e o que elas significam.

Note que esse evento possui inúmeras propriedades, mas discutimos as propriedades que você deve aprender para consertar por que uma conta falhou em fazer login no domínio.

Tipo de Login do ID de Evento 4625

O tipo de evento é o ponto de partida para determinar por que o AD negou acesso de usuário ou de serviço login (mais informações sobre como usar essa informação na próxima seção).

Obtenha o tipo de logon do evento analisando os detalhes do log do evento.

Infelizmente, como mostrado na parte destacada da captura de tela acima, o log do Windows Event registra os tipos de logon como um valor numérico. Portanto, para que essa informação seja útil para solução de problemas, você deve descobrir o que os números significam.

Felizmente, a Microsoft tem uma página para esse log de eventos – 4625(F): Uma conta falhou ao tentar fazer login – que explica os tipos de logon e seu significado.

Por exemplo, minha tela acima mostra que o Tipo de Logon 5 disparou o ID de evento 4625. A partir da página da Microsoft, isso significa que uma conta de serviço iniciou o logon que disparou o evento.

Leia também Como encontrar a última vez de logon de usuários do Active Directory (usando o ADUC)

ID do Evento 4625 Informações da Conta de Usuário

Depois de identificar o Tipo de Logon do evento que acionou o ID do Evento 4625, a próxima informação crucial no log de eventos é a informação do usuário. Localize essas informações na seção “Conta para a qual o logon falhou:” do log de eventos.

Nesta seção, você encontra 3 peças de informação, mas a mais importante é a Nome da Conta. Se você estiver gerenciando uma floresta de AD de vários domínios, também é essencial anotar o Domínio da Conta. Anotando esses detalhes, você estará melhor equipado para solucionar problemas de tentativas de logon falhadas.

Leia também O que é ID do Evento 4624: Uma Conta foi Logada com Sucesso

ID do Evento 4625 Informações de Falha

A propriedade de informações de falha do evento ID 4625 possui 3 subpropriedades: Motivo da Falha, Código de Status e Código de Substatus. Enquanto o “Motivo da Falha” fornece informações superficiais, por exemplo, “Nome de usuário desconhecido ou senha incorreta”, o código de status fornece um motivo específico para a falha.

Essa informação é essencial porque “Nome de usuário desconhecido ou senha incorreta” pode não significar necessariamente que o usuário inseriu um nome de usuário ou senha incorretos.

No entanto, como mostra a parte destacada na captura de tela acima, o código de status é um código que você deve interpretar antes de usá-lo. Para aprender sobre os códigos de status e seus significados, visite o link códigos de status do evento ID 4625.

Com base nas informações da Microsoft no link anterior, o código de status na minha captura de tela – 0xC000006D – significa “O logon tentado é inválido. Isso se deve a um nome de usuário ruim ou a informações de autenticação incorretas”.

Essa informação ainda é ambígua. Para obter um motivo mais específico para a falha no logon, verifique o significado do código de substatus do evento ID.

Leia sobre os códigos de substatus no mesmo link que forneci anteriormente – event ID 4625 status codes. Quando pesquisei o código de substatus mostrado no meu evento 4625, ele diz “A conta especificada não existe.”

Muito melhor!

Aí está a minha resposta, a conta que o usuário tentou fazer login não existe no Active Directory.

Leia também O que é 0xc000006a – Senha de Logon Errada ou Errada

Como Solucionar e Corrigir o ID de Evento 4625

Para resolver o problema, você precisa adotar uma abordagem sistemática para solucionar a causa raiz das tentativas de logon falhadas.

Siga as diretrizes gerais abaixo para solucionar e corrigir o ID de evento 4625: Uma Conta Falhou no Logon.

Passo 1: Revise as Informações no Log de Eventos

Seguindo os 3 passos que discuti na última seção, obtenha as seguintes informações do log de eventos:

Tipo de Logon, A Conta Para a Qual O Logon Falhou, Motivo da Falha, Status e Códigos de Substatus e seu significado.

No meu caso, registramos o seguinte:

Tipo de Logon: 5 – uma conta de serviço iniciou o logon que disparou o evento.
A Conta Para A Qual O Logon Falhou: ADSyncMSA817b9$
Motivo da Falha: Nome de usuário desconhecido ou senha incorreta.
Status e Significado: 0xC000006D – O logon tentado é inválido. Isso se deve a um mau nome de usuário ou informação de autenticação.
Substatus e Significado: 0xC0000064 – A conta especificada não existe.

Leia Também O que é o Event ID 4771: Falha na Pré-Autenticação Kerberos

Passo 2: Tome Medidas Apropriadas para Resolver a Causa do Event ID 4625

Agora que você identificou a conta que fez com que o DC registrasse o Event ID 4625, é hora de agir e resolver o problema. Por exemplo, no caso em que uma conta de serviço, como ADSyncMSA817b9$, está tentando se autenticar no domínio do AD, mas a conta não existe, existem vários passos para corrigir o problema.

Primeiro, identifique o serviço que usa esta conta e, em seguida, crie a conta ausente no AD. Depois de criar a conta, insira os detalhes necessários no aplicativo que está fazendo a solicitação de autenticação. Isso permite que o serviço se autentique no domínio AD sem problemas.

Leia também Verificar logs de auditoria do Azure AD para entradas de usuários (sucesso e falhas)

Diretrizes gerais para corrigir o ID de evento 4625

Aqui estão algumas situações específicas que poderiam acionar o Event ID 4625, juntamente com algumas ações recomendadas para corrigir o problema:

1. O log de eventos 4625 indica que a tentativa de logon falhou devido a um nome de usuário ou senha incorretos: você deve verificar o nome de usuário usado para fazer o login. Se o nome de usuário estiver correto, tente redefinir a senha do usuário e tentar fazer login novamente.

2. O log de eventos indica que a conta de usuário está desabilitada ou expirada: verifique o status da conta no Active Directory Usuários e Computadores ou use outra ferramenta adequada do AD. Se a conta estiver desabilitada, habilite-a novamente.

Se a conta estiver expirada, estenda a data de expiração ou crie uma nova conta para o usuário.

3. O log de eventos 4625 mostra que o usuário não tem permissão para fazer login em um computador: primeiro, remova-os desse grupo.

Alternativamente, ajuste a política de grupo para permitir o acesso de login ao grupo. 

4. O log de eventos indica que a tentativa de login falhou devido a problemas de conectividade de rede: solucione quaisquer problemas de conectividade de rede (firewalls ou problemas de roteamento de rede).

5. Verifique os logs de eventos para eventos relacionados, como falhas de autenticação ou eventos de segurança, que possam fornecer informações adicionais sobre a tentativa falha de login.

6. Se houver múltiplas tentativas de login falhas a partir da mesma conta de usuário, isso pode ser um sinal de uma tentativa de hacking ou infecção por malware. Realize uma varredura completa de malware e investigue mais a fundo.

Leia também Boas práticas de segurança do Active Directory: Proteja seu ambiente

O que é Event ID 4625: Uma Conta Falhou ao Fazer Login – Conclusão

Em geral, corrigir o ID do Evento 4625 requer uma análise cuidadosa das informações fornecidas no registro de eventos e uma abordagem sistemática para solucionar o problema. Seguindo as etapas discutidas neste artigo, você deve ser capaz de solucionar com sucesso e corrigir os problemas do registro de eventos “4625: Falha de uma Conta ao Fazer Logon”.

Ao fazer isso, você melhora a segurança da sua infraestrutura do Active Directory e evita novas tentativas de logon falhado.

Source:
https://infrasos.com/what-is-event-id-4625-an-account-failed-to-log-on/