概述
当用户在Windows系统中尝试登录但失败时,系统会将相关事件记录到“安全日志”中。这些日志由Windows事件查看器(Event Viewer)管理,并通过特定的事件ID(Event ID)标识。
了解这些事件ID有助于快速诊断账户锁定、密码错误、网络攻击等问题。
常见登录失败事件ID
| 事件ID | 说明 | 常见原因 |
|---|---|---|
| 4625 | 账户登录失败 | 密码错误、账户不存在、账户被禁用或锁定 |
| 4771 | Kerberos预身份验证失败 | 通常出现在域环境中,密码错误或时间不同步 |
| 4740 | 账户被锁定 | 多次登录失败触发账户锁定策略 |
| 4648 | 显式凭据登录尝试(如使用“runas”) | 可能正常操作,也可能为可疑行为 |
如何查看这些日志?
- 按
Win + R,输入eventvwr.msc并回车。 - 展开“Windows 日志” → “安全”。
- 在右侧点击“筛选当前日志...”。
- 在“事件ID”框中输入如
4625,4771,4740,点击确定。
示例:事件ID 4625 日志内容
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2025/12/5 14:23:10
事件ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: WIN-PC.local
描述:
账户登录失败。
使用者:
安全ID: NULL SID
帐户名: -
帐户域: -
登录ID: 0x0
登录类型: 3
帐户登录信息:
登录帐户: user01
源域: DOMAIN
登录GUID: {00000000-0000-0000-0000-000000000000}
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xC000006D
子状态: 0xC000006A
进程信息:
调用方进程ID: 0x0
调用方进程名: -
网络信息:
工作站名: WIN-CLIENT
源网络地址: 192.168.1.105
源端口: 54321
排查建议
- 检查是否为合法用户输错密码,还是暴力破解尝试。
- 结合源IP地址判断是否来自内部或外部。
- 若频繁出现4625或4771,考虑加强账户策略或启用多因素认证。
- 确保域控制器时间同步,避免Kerberos认证失败。