O Que é o ID de Evento 4625: Uma Conta Falhou ao Fazer Login

Tutoriais

O que é o Evento ID 4625: Uma Conta Não Conseguiu Fazer Login. Você está vendo muitos IDs de evento 4625 (Uma conta não conseguiu fazer login) em seus Logs de Segurança do Controlador de Domínio e não tem certeza do que isso significa ou como resolvê-lo? Bem, neste artigo, explicamos tudo o que você precisa saber sobre este log de segurança do Active Directory e como corrigir o problema que o dispara. Primeiro, discutimos as causas e várias propriedades do Evento ID 4625. Este log de segurança fornece informações sobre o tipo de tentativa de login, informações da conta de usuário, processo de login, motivo da falha, endereço do cliente e códigos de status e sub-status do evento.

Primeiro, discutimos as causas e várias propriedades do Event ID 4625. Este segurança log de eventos fornece informações sobre o tipo de logon tentativa, informações da conta de usuário, processo de logon, razão do fracasso, endereço do cliente e códigos de status e substatus do evento.

Em seguida, explicamos como interpretar essas propriedades e usá-las para determinar a causa raiz do erro que acionou o log de eventos. Isso envolve verificar o nome de usuário e senha, status da conta, associação de grupo, conexão de rede e eventos de segurança relacionados.

Uma vez que você tenha identificado o problema, também fornecemos alguns passos gerais para corrigir o ID de evento 4625. Isso pode envolver redefinir senhas, reabilitar contas desabilitadas, ajustar políticas de grupo, solucionar problemas de conectividade de rede ou escanear para malware.

Então, se você está vendo muitos IDs de evento 4625 em seu Controlador de Domínio Segurança logs e deseja corrigir o problema, continue lendo para descobrir como!

Leia também Visualizar Logs de Eventos do Active Directory (AD) e o que eles rastreiam

Causas Potenciais do ID de Evento 4625: Uma Conta Falhou ao Fazer Login

O primeiro passo para solucionar problemas e corrigir a causa do evento ID 4625 é entender as possíveis coisas que poderiam impedir que um usuário, serviço ou conta de computador falhasse ao fazer login. Aqui estão as principais razões que podem gerar o evento ID 46225:

  1. Nome de usuário ou senha incorretos: se um usuário inserir uma senha incorreta, a conta não poderá fazer login. Isso faz com que o computador em que o usuário está tentando fazer login registre o evento ID 4625.

    Além disso, se a senha em uma conta de serviço estiver incorreta, ela falhará quando a conta de serviço tentar autenticar no AD, e o Controlador de Domínio também registrará esse log de eventos.

  2. A conta de usuário expirou: quando um administrador cria uma conta AD, ele a configura para expirar em uma data específica.

    Se um usuário do Active Directory tentar usar uma conta expirada para fazer login no AD, o usuário é negado o acesso. Então, o Controlador de Domínio registra um ID de evento 4625.

  3. A conta que tentou fazer login foi desabilitada.
  4. O usuário está proibido de fazer login em um computador: você sabia que como administrador, você usa política de grupo para impedir que um usuário ou grupo faça login em um computador?

    Isso é feito usando a política “Negar logon localmente”. Se essa política for aplicada a um usuário e eles tentarem fazer login no computador, eles serão negados acesso.

    Quando isso acontece, o computador registra o ID de evento 4625 em seu log de eventos de segurança local quando um usuário é negado acesso devido à política.

Leia também O que é o ID de Log do Windows 4740? – Uma Conta de Usuário Foi Bloqueado

Entendendo as Propriedades do ID de Evento 4625: Uma Conta Falhou ao Fazer Login

Quando esse evento é registrado no log de eventos de segurança, geralmente inclui informações sobre a conta de usuário que não conseguiu fazer login, o tipo de tentativa de login e a razão da falha. Essas informações ajudam a solucionar o problema e determinar a ação apropriada para corrigi-lo.

No entanto, para usar as informações no log de eventos, você precisa entender as propriedades relevantes do ID de evento e o que elas significam. 

Note que esse evento tem inúmeras propriedades, mas discutimos as propriedades que você deve aprender para corrigir por que uma conta não conseguiu fazer login no domínio. 

Tipo de Login do ID de Evento 4625

O tipo de evento é o ponto de partida para determinar por que o AD negou acesso de usuário ou serviço login (mais informações sobre como usar essa informação na próxima seção).

Obtenha o tipo de Logon do Evento analisando os detalhes do log de eventos.

Infelizmente, como mostrado na parte destacada da captura de tela acima, o log de eventos do Windows registra os tipos de Logon como um valor numérico. Portanto, para que essa informação seja útil para solução de problemas, você deve descobrir o que os números significam.

Felizmente, a Microsoft tem uma página para esse log de eventos – 4625(F): Uma conta falhou ao fazer login – que explica os tipos de logon e seu significado.

Por exemplo, minha tela acima mostra que o Tipo de Logon 5 disparou o ID de evento 4625. A partir da página da Microsoft, isso significa que uma conta de serviço iniciou o logon que disparou o evento.

Leia também Como Encontrar a Última Hora de Login de Usuários no Active Directory (Usando o ADUC)

ID de Evento 4625 Informações da Conta de Usuário

Depois de identificar o Tipo de Login do evento que acionou o ID de Evento 4625, a próxima informação crucial no log de eventos é a informação do usuário. Localize essas informações na seção “Conta para a qual o login falhou:” do log de eventos.

Nesta seção, você encontra 3 informações, mas a mais importante é o Nome da Conta. Se você estiver administrando uma Floresta de Domínios Múltiplos no AD, também é essencial anotar o Domínio da Conta. Anotando esses detalhes, você estará melhor equipado para solucionar problemas de tentativas de login falhadas.

Leia também O que é ID de Evento 4624: Uma Conta Foi Logada com Sucesso

ID de Evento 4625 Informações de Falha

A propriedade “Informação de Falha” do evento ID 4625 possui 3 subpropriedades: Motivo da Falha, Código de Status e Código de Substatus. Embora o “Motivo da Falha” forneça informações superficiais, por exemplo, “Nome de usuário desconhecido ou senha incorreta”, o código de status fornece um motivo específico para a falha.

Esta informação é essencial porque “nome de usuário desconhecido ou senha incorreta” pode não significar necessariamente que o usuário inseriu um nome de usuário ou senha incorreto.

No entanto, como mostrado na parte destacada da captura de tela acima, o código de status é um código que você deve interpretar antes de usá-lo. Para aprender sobre os códigos de status e seu significado, visite o link códigos de status do evento ID 4625.

Com base nas informações da Microsoft no link anterior, o código de status na minha captura de tela – 0xC000006D – significa “A tentativa de logon é inválida. Isso se deve a um nome de usuário ruim ou informações de autenticação incorretas.”

Esta informação ainda é ambígua. Para um motivo mais específico da falha de logon, verifique o significado do código de substatus do evento ID.

Leia sobre os códigos de substatus no mesmo link que forneci anteriormente – códigos de status do evento ID 4625. Quando pesquisei o código de substatus mostrado no meu evento 4625, ele diz “A conta especificada não existe.”

Muito melhor!

Aí está a minha resposta, a conta que o usuário tentou fazer login não existe no Active Directory.

Leia também O que é 0xc000006a – Senha digitada errada ou incorreta do usuário

Como solucionar e corrigir o ID do evento 4625

Para resolver o problema, você precisa adotar uma abordagem sistemática para solucionar a causa raiz das tentativas de login falho.

Siga as diretrizes gerais abaixo para solucionar e corrigir o ID do evento 4625: Uma Conta Falhou no Login.

Passo 1: Revise as Informações no Log de Eventos

Seguindo os 3 passos que discuti na seção anterior, obtenha as seguintes informações do log de eventos:

Tipo de Login, A Conta para a qual o Login Falhou, Motivo do Fracasso, Status e Códigos de Substatus e seu significado.

No meu caso, registramos o seguinte:

Tipo de Logon: 5 – uma conta de serviço iniciou o logon que acionou o evento.
A Conta Para a Qual O Logon Falhou: ADSyncMSA817b9$
Motivo da Falha: Nome de usuário desconhecido ou senha incorreta.
Status e Significado: 0xC000006D – A tentativa de logon é inválida. Isso se deve a um mau nome de usuário ou informação de autenticação.
Sub Status e Significado: 0xC0000064 – A conta especificada não existe.

Leia Também O que é Event ID 4771: Falha na Preautenticação Kerberos

Passo 2: Tomar Medidas Apropriadas para Resolver a Causa do Event ID 4625

Agora que você identificou a conta que fez com que o DC registrasse o Event ID 4625, é hora de agir e resolver o problema. Por exemplo, no caso em que uma conta de serviço, como ADSyncMSA817b9$, está tentando se autenticar no domínio do AD mas a conta não existe, existem vários passos para resolver o problema.

Primeiramente, identifique o serviço que utiliza esta conta e, em seguida, crie a conta ausente no AD. Após criar a conta, insira os detalhes necessários no aplicativo que está fazendo a solicitação de autenticação. Isso permite que o serviço se autentique no domínio do AD sem problemas.

Leia também Verifique os logs de auditoria do Azure AD para assinaturas de usuários (sucesso e falhas)

Diretrizes gerais para corrigir o Event ID 4625

Aqui estão algumas situações específicas que podem acionar o Event ID 4625, juntamente com algumas ações recomendadas para corrigir o problema:

1. O log de eventos 4625 indica que a tentativa de login falhou devido a um nome de usuário ou senha incorretos: você deve verificar o nome de usuário utilizado para o login. Se o nome de usuário estiver correto, tente redefinir a senha do usuário e tentar fazer login novamente.

2. O log de eventos indica que a conta de usuário está desabilitada ou expirada: verifique o status da conta no Active Directory Usuários e Computadores ou use outra ferramenta adequada do AD. Se a conta estiver desabilitada, habilite-a novamente.

Se a conta estiver expirada, estenda a data de expiração ou crie uma nova conta para o usuário.

3. O log de eventos 4625 mostra que o usuário não tem permissão para fazer login em um computador: primeiro, remova-os desse grupo.

Alternativamente, ajuste o grupo de políticas para permitir o acesso de login ao grupo. 

4. O log de eventos indica que a tentativa de login falhou devido a problemas de conectividade de rede: solucione quaisquer problemas de conectividade de rede (firewalls ou problemas de roteamento de rede).

5. Verifique os logs de eventos para eventos relacionados, como falhas de autenticação ou eventos de segurança, que possam fornecer informações adicionais sobre a tentativa falha de logon.

6. Se houver múltiplas tentativas de logon falhas da mesma conta de usuário, isso pode ser um sinal de uma tentativa de hackeamento ou infecção por malware. Realize uma varredura completa de malware e investigue ainda mais.

Leia também Boas Práticas de Segurança do Active Directory: Proteja seu Ambiente

O que é Event ID 4625: Uma Conta Falhou ao Fazer Login Conclusão

Em geral, corrigir o ID do Evento 4625 requer uma análise cuidadosa das informações fornecidas no log de eventos e uma abordagem sistemática para solucionar o problema. Seguindo os passos discutidos neste artigo, você deve ser capaz de solucionar e corrigir com sucesso os problemas de log de eventos “4625: Falha ao Fazer Logon”.

Ao fazer isso, você melhora a segurança da sua infraestrutura do Active Directory e evita novas tentativas de logon malsucedidas.

Source:
https://infrasos.com/what-is-event-id-4625-an-account-failed-to-log-on/