日志名称:Security

来源:  Microsoft-Windows-Security-Auditing

日期:  2023/8/30 20:57:40

事件 ID:4625

任务类别:登录

级别:  信息

关键字: 审核失败

用户:  暂缺

计算机: WIN-QBJ3ORTR0CF

描述:

帐户登录失败。

主题:

    安全 ID:NULL SID

    帐户名:-

    帐户域:-

    登录 ID:0x0

登录类型:3

登录失败的帐户:

    安全 ID:NULL SID

    帐户名:ADMINISTRATOR

    帐户域:

失败信息:

    失败原因:未知用户名或密码错误。

    状态:0xc000006d

    子状态:0xc000006a

进程信息:

    调用方进程 ID:0x0

    调用方进程名:-

网络信息:

    工作站名:    

    源网络地址:    -

    源端口:-

详细身份验证信息:

    登录进程:NtLmSsp 

    身份验证数据包:    NTLM

    传递服务:    -

    数据包名(仅限 NTLM):    -

    密钥长度:0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。

    -“传递服务”指明哪些直接服务参与了此登录请求。

    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。

    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥，则此字段为 0。

事件 Xml:

 

   

    4625

    0

    0

    12544

    0

    0x8010000000000000

   

    60611276

   

   

    Security

    WIN-QBJ3ORTR0CF

   

 

 

    S-1-0-0

    -

    -

    0x0

    S-1-0-0

    ADMINISTRATOR

   

   

    0xc000006d

    %%2313

    0xc000006a

    3

    NtLmSsp

    NTLM

   

   

    -

    -

    0

    0x0

    -

    -

    -

 

解决方案：

警告，如果未进行如下设置，设置【网络安全：限制 NTLM：传入 NTLM 流量 - 拒绝所有帐户】后，有可能无法登录远程桌面，参考：阻止 NTLM后无法登录远程桌面的原因_子蛟的博客-CSDN博客