ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying Event ID 4625 authentication failure logs on a security monitoring dashboard
Event ID 4625InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les tentatives d'accès non autorisées, les attaques par force brute et résoudre les problèmes d'authentification sur les comptes de domaine et locaux.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4625Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4625 représente l'un des événements d'audit de sécurité les plus critiques dans les environnements Windows. Généré par le fournisseur Microsoft-Windows-Security-Auditing, cet événement crée un enregistrement permanent chaque fois qu'une tentative d'authentification échoue, que l'échec provienne d'une activité malveillante ou d'erreurs d'utilisateur légitimes.

La structure de l'événement inclut des détails complets : le nom du compte cible, le poste de travail source ou l'adresse IP, le type de connexion (interactive, réseau, service, etc.), le package d'authentification utilisé, et surtout, la raison spécifique de l'échec encodée sous forme de code de statut et de sous-statut. Ces codes différencient les scénarios tels que les mauvais mots de passe, les comptes désactivés, les identifiants expirés ou les violations de politique.

Windows génère des événements 4625 dans plusieurs scénarios d'authentification. Les connexions locales aux postes de travail, l'authentification de domaine via Active Directory, l'authentification de compte de service et les tentatives d'accès à distance déclenchent tous cet événement lorsqu'ils échouent. Le champ du type de connexion identifie spécifiquement la méthode d'authentification tentée, permettant une analyse ciblée.

D'un point de vue sécurité, les schémas d'événements 4625 révèlent souvent des tentatives d'attaque. De multiples échecs provenant de la même adresse IP source, des tentatives systématiques contre différents noms d'utilisateur, ou des échecs en dehors des heures normales de travail indiquent fréquemment une activité malveillante. À l'inverse, des événements 4625 isolés aident les administrateurs à résoudre les problèmes d'accès utilisateur légitime en fournissant des raisons précises d'échec.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Nom d'utilisateur ou mot de passe incorrect saisi lors des tentatives de connexion
  • Compte désactivé, verrouillé ou expiré dans Active Directory ou la base de données SAM locale
  • Mot de passe expiré et utilisateur tentant de se connecter sans changer les identifiants
  • Restrictions de temps de connexion empêchant l'accès en dehors des heures autorisées
  • Restrictions de poste de travail bloquant la connexion depuis des ordinateurs non autorisés
  • Droits utilisateur insuffisants pour le type de connexion demandé (service, batch, interactif)
  • Échecs de package d'authentification ou problèmes de ticket Kerberos dans les environnements de domaine
  • Problèmes de connectivité réseau empêchant la communication avec le contrôleur de domaine
  • Attaques par force brute ou tentatives de pulvérisation de mot de passe contre les comptes utilisateur
  • Changements d'identifiants de compte de service non mis à jour dans les services dépendants
  • Échecs d'authentification par carte à puce en raison de problèmes de certificat ou de lecteur
  • Échecs d'authentification à deux facteurs dans les environnements avec exigences MFA
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement 4625 pour comprendre la raison de l'échec et le contexte.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez par ID d'événement 4625 ou recherchez les échecs récents
  3. Double-cliquez sur l'événement pour voir les propriétés détaillées
  4. Notez le Nom du compte, le Nom de la station de travail et l'Adresse réseau source
  5. Vérifiez le champ Type de connexion pour comprendre la méthode d'authentification :
    • Type 2 : Interactive (connexion console locale)
    • Type 3 : Réseau (partages de fichiers, lecteurs mappés)
    • Type 4 : Batch (tâches planifiées)
    • Type 5 : Service (services Windows)
    • Type 10 : RemoteInteractive (RDP, Services Terminal)
  6. Examinez les codes de Raison de l'échec et Statut/Sous-statut :
    • 0xC000006A : Mauvais mot de passe
    • 0xC0000072 : Compte désactivé
    • 0xC000006F : Connexion en dehors du temps autorisé
    • 0xC0000070 : Restriction de station de travail
    • 0xC0000193 : Compte expiré
    • 0xC0000071 : Mot de passe expiré
Astuce pro : Le code de sous-statut fournit souvent des détails d'échec plus spécifiques que le code de statut principal. Vérifiez toujours les deux valeurs pour un diagnostic complet.
02

Interroger les échecs de connexion avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement plusieurs événements 4625 pour des motifs ou des comptes spécifiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les échecs de connexion récents avec un filtrage de base :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName
  3. Extraire des informations détaillées à partir d'événements spécifiques :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 100
$Events | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Account = $Event.Event.EventData.Data[5].'#text'
        Workstation = $Event.Event.EventData.Data[13].'#text'
        SourceIP = $Event.Event.EventData.Data[19].'#text'
        LogonType = $Event.Event.EventData.Data[10].'#text'
        Status = $Event.Event.EventData.Data[7].'#text'
        SubStatus = $Event.Event.EventData.Data[9].'#text'
    }
} | Format-Table -AutoSize
  4. Filtrer pour des comptes ou des plages horaires spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like "*username*"}
  5. Compter les échecs par IP source pour identifier les attaques potentielles :
    $FailureEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 1000
$FailureEvents | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $Event.Event.EventData.Data[19].'#text'
} | Group-Object | Sort-Object Count -Descending | Select-Object Name, Count
Avertissement : Les journaux de sécurité volumineux peuvent ralentir les requêtes PowerShell. Utilisez le paramètre -MaxEvents et les filtres de temps pour limiter les résultats pour de meilleures performances.
03

Vérifier le statut du compte et les politiques

Enquêter sur le statut actuel du compte cible et les politiques applicables qui pourraient causer des échecs d'authentification.

  1. Pour les comptes de domaine, ouvrez Utilisateurs et ordinateurs Active Directory
  2. Localisez le compte défaillant et vérifiez ses propriétés:
    • Onglet Compte : Vérifiez que le compte n'est pas désactivé ou verrouillé
    • Onglet Compte : Vérifiez la date d'expiration du compte
    • Onglet Compte : Examinez les restrictions d'heures de connexion
    • Onglet Compte : Examinez les restrictions "Se connecter à" des postes de travail
  3. Pour les comptes locaux, utilisez PowerShell pour vérifier le statut:
    Get-LocalUser -Name "username" | Select-Object Name, Enabled, AccountExpires, PasswordExpired, LastLogon
  4. Vérifiez le statut de verrouillage du compte dans les environnements de domaine:
    Search-ADAccount -LockedOut | Select-Object Name, LockedOut, LastLogonDate
  5. Examinez les paramètres de politique de mot de passe affectant le compte:
    Get-ADDefaultDomainPasswordPolicy
  6. Pour les comptes de service, vérifiez la configuration du service:
    Get-Service | Where-Object {$_.StartType -eq "Automatic"} | ForEach-Object {
    $Service = Get-WmiObject -Class Win32_Service -Filter "Name='$($_.Name)'"
    if ($Service.StartName -like "*username*") {
        [PSCustomObject]@{
            ServiceName = $Service.Name
            StartName = $Service.StartName
            State = $Service.State
        }
    }
}
Astuce pro : Les verrouillages de compte se propagent souvent à travers plusieurs systèmes. Vérifiez les journaux du contrôleur de domaine et utilisez lockoutstatus.exe de Microsoft pour identifier la source du verrouillage.
04

Analyser les problèmes d'authentification réseau

Enquêter sur les échecs d'authentification liés au réseau, en particulier pour les environnements de domaine et les scénarios d'accès à distance.

  1. Vérifiez la connectivité du contrôleur de domaine depuis le poste de travail défaillant :
    Test-ComputerSecureChannel -Verbose
  2. Vérifiez la résolution DNS pour les contrôleurs de domaine :
    nslookup -type=SRV _ldap._tcp.dc._msdcs.domain.com
  3. Testez spécifiquement l'authentification Kerberos :
    klist purge
klist tgt
  4. Pour les échecs RDP (Type de connexion 10), vérifiez la configuration des services Terminal Server :
    • Ouvrez Gestion des stratégies de groupe
    • Accédez à Configuration de l'ordinateurModèles d'administrationComposants WindowsServices Bureau à distance
    • Examinez "Limiter le nombre de connexions" et "Définir la limite de temps pour les sessions déconnectées"
  5. Examinez les événements d'authentification réseau sur les contrôleurs de domaine :
    Get-WinEvent -ComputerName "DC01" -FilterHashtable @{LogName='Security'; Id=4625,4771,4776} -MaxEvents 100 | Where-Object {$_.Message -like "*username*"}
  6. Vérifiez les problèmes de synchronisation temporelle qui affectent Kerberos :
    w32tm /query /status
  7. Examinez les journaux de pare-feu pour le trafic d'authentification bloqué :
    Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Firewall With Advanced Security/Firewall'; Id=5152,5157} -MaxEvents 50
Avertissement : L'authentification Kerberos nécessite une synchronisation temporelle dans les 5 minutes entre le client et le contrôleur de domaine. Un décalage temporel cause souvent des échecs d'authentification.
05

Mettre en œuvre une surveillance avancée et une corrélation

Configurez une surveillance complète pour détecter les schémas d'attaque et automatiser la réponse aux échecs d'authentification suspects.

  1. Créez des filtres personnalisés dans le Visualiseur d'événements pour la surveillance de la sécurité:
    • Ouvrez Visualiseur d'événementsVues personnaliséesCréer une vue personnalisée
    • Sélectionnez Par journalSécurité
    • Incluez les ID d'événement : 4625, 4624, 4648, 4771, 4776
    • Enregistrez sous "Surveillance d'authentification"
  2. Configurez un script de surveillance PowerShell avancé:
    $ScriptBlock = {
    $Threshold = 5  # Seuil de tentatives échouées
    $TimeWindow = 300  # 5 minutes en secondes
    
    $FailedLogons = Get-WinEvent -FilterHashtable @{
        LogName='Security'
        Id=4625
        StartTime=(Get-Date).AddSeconds(-$TimeWindow)
    } | ForEach-Object {
        $Event = [xml]$_.ToXml()
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            SourceIP = $Event.Event.EventData.Data[19].'#text'
            Account = $Event.Event.EventData.Data[5].'#text'
        }
    }
    
    $SuspiciousIPs = $FailedLogons | Group-Object SourceIP | Where-Object {$_.Count -ge $Threshold}
    
    if ($SuspiciousIPs) {
        $SuspiciousIPs | ForEach-Object {
            Write-EventLog -LogName "Application" -Source "Security Monitor" -EventId 1001 -EntryType Warning -Message "Attaque par force brute potentielle détectée depuis l'IP : $($_.Name) avec $($_.Count) tentatives échouées"
        }
    }
}

# Enregistrer comme tâche planifiée
Register-ScheduledTask -TaskName "AuthFailureMonitor" -Trigger (New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -Once -At (Get-Date)) -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-WindowStyle Hidden -Command $ScriptBlock")
  3. Configurez le transfert d'événements Windows pour la journalisation centralisée:
    • Configurez les ordinateurs sources : winrm quickconfig
    • Sur le serveur collecteur, exécutez : wecutil qc
    • Créez un abonnement : wecutil cs subscription.xml
  4. Mettez en œuvre une réponse automatisée de verrouillage de compte:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-ADUser -Filter {LockedOut -eq $true} | Unlock-ADAccount"
$Trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -TaskName "AutoUnlock" -Action $Action -Trigger $Trigger
  5. Configurez l'intégration SIEM en utilisant le transfert d'événements Windows ou Syslog:
    # Exemple : Transférer vers le serveur Syslog
$SyslogServer = "192.168.1.100"
$Port = 514

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 1 | ForEach-Object {
    $Message = "$($_.TimeCreated) $($env:COMPUTERNAME) Security: $($_.Message)"
    $Bytes = [System.Text.Encoding]::UTF8.GetBytes($Message)
    $UdpClient = New-Object System.Net.Sockets.UdpClient
    $UdpClient.Send($Bytes, $Bytes.Length, $SyslogServer, $Port)
    $UdpClient.Close()
}
Conseil pro : Combinez les événements 4625 avec les événements de connexion réussie (4624) pour identifier les attaques réussies après plusieurs échecs. Ce schéma indique souvent un bourrage d'identifiants ou des tentatives de force brute réussies.

Aperçu

L'ID d'événement 4625 se déclenche chaque fois qu'une tentative de connexion échoue sur un système Windows. Cet événement d'audit de sécurité capture des informations détaillées sur les tentatives d'authentification infructueuses, y compris le nom du compte, le poste de travail, le type de connexion et la raison de l'échec. L'événement apparaît dans le journal de sécurité et nécessite une configuration de la politique d'audit pour être généré.

Cet événement a un double objectif : la surveillance de la sécurité pour détecter les attaques potentielles et le dépannage des problèmes d'authentification légitimes. Chaque événement 4625 contient des codes d'échec spécifiques qui indiquent pourquoi l'authentification a échoué, allant des mots de passe incorrects aux comptes désactivés ou aux identifiants expirés.

L'événement se déclenche pour divers types de connexion, y compris les connexions interactives sur le bureau, l'authentification réseau, les connexions de comptes de service et les connexions de bureau à distance. Les équipes de sécurité s'appuient fortement sur les modèles 4625 pour identifier les attaques par force brute, tandis que les administrateurs informatiques utilisent des événements individuels pour diagnostiquer les problèmes d'accès des utilisateurs.

Les systèmes Windows modernes génèrent des milliers de ces événements quotidiennement dans les environnements d'entreprise. Des outils de filtrage et d'analyse appropriés deviennent essentiels pour extraire des informations exploitables du volume de données d'authentification capturées dans les journaux de sécurité.

Questions Fréquentes

Que signifie l'ID d'événement 4625 et pourquoi est-il important ?+
L'ID d'événement 4625 indique une tentative de connexion échouée sur un système Windows. Il est généré par le fournisseur Microsoft-Windows-Security-Auditing chaque fois que l'authentification échoue, quelle qu'en soit la raison. Cet événement est crucial pour la surveillance de la sécurité car il aide à détecter les tentatives d'accès non autorisées, les attaques par force brute et le bourrage d'identifiants. Il aide également les administrateurs informatiques à résoudre les problèmes d'accès des utilisateurs légitimes en fournissant des codes d'échec spécifiques qui identifient pourquoi l'authentification a échoué, tels que des mots de passe incorrects, des comptes désactivés ou des violations de politique.
Comment puis-je distinguer entre les attaques malveillantes et les erreurs d'utilisateur légitimes dans les événements 4625 ?+
Plusieurs schémas aident à différencier les attaques des erreurs utilisateur. L'activité malveillante montre généralement plusieurs échecs rapides à partir de la même adresse IP source, des tentatives systématiques contre différents noms d'utilisateur, des échecs survenant en dehors des heures de bureau, ou des tentatives de connexion géographiquement impossibles. Les erreurs légitimes impliquent généralement des utilisateurs uniques avec des échecs occasionnels, des tentatives pendant les heures de travail normales, et des échecs à partir de postes de travail connus. Utilisez PowerShell pour analyser les schémas : regroupez les événements par adresse IP source et comptez les occurrences, vérifiez les schémas temporels, et corrélez avec les connexions réussies (ID d'événement 4624) pour identifier si les attaques ont finalement réussi.
Que signifient les différents codes de statut et de sous-statut dans l'ID d'événement 4625 ?+
Les codes de statut et de sous-statut fournissent des raisons spécifiques d'échec. Les codes courants incluent : 0xC000006A (mot de passe incorrect), 0xC0000072 (compte désactivé), 0xC000006F (connexion en dehors du temps autorisé), 0xC0000070 (restriction de poste de travail), 0xC0000193 (compte expiré), 0xC0000071 (mot de passe expiré), 0xC000006D (nom d'utilisateur ou informations d'authentification incorrects), et 0xC000006E (restriction de compte). Le code de sous-statut fournit souvent des détails plus précis que le code de statut principal. Ces codes aident les administrateurs à identifier rapidement si le problème nécessite une réinitialisation de mot de passe, l'activation du compte, un ajustement de politique ou une enquête de sécurité.
Comment configurer la surveillance pour l'ID d'événement 4625 afin de détecter les menaces potentielles de sécurité ?+
Mettre en œuvre une surveillance à plusieurs niveaux en utilisant des vues personnalisées de l'Observateur d'événements, des scripts PowerShell et des alertes automatisées. Créer des vues personnalisées filtrant les événements d'authentification (4625, 4624, 4648, 4771, 4776). Utiliser PowerShell pour analyser les modèles, en comptant les échecs par IP source et période pour identifier les seuils indiquant des attaques. Configurer des tâches planifiées pour exécuter des scripts de surveillance toutes les 5 à 10 minutes, générant automatiquement des alertes lorsque des modèles suspects émergent. Configurer le transfert d'événements Windows pour centraliser les journaux de plusieurs systèmes. Pour les environnements d'entreprise, intégrer avec des solutions SIEM en utilisant le transfert syslog ou le transfert d'événements Windows pour corréler les événements à travers l'infrastructure et permettre des flux de travail de réponse automatisés.
Pourquoi est-ce que je vois l'ID d'événement 4625 pour les comptes de service et comment puis-je le résoudre ?+
Les événements de compte de service 4625 se produisent généralement lorsque les informations d'identification du service deviennent obsolètes après des changements de mot de passe, lorsque des services tentent de démarrer avec des informations d'identification incorrectes, ou lorsque les politiques de compte restreignent les droits de connexion au service. Tout d'abord, identifiez quels services utilisent le compte défaillant en vérifiant les configurations de service avec Get-Service et Get-WmiObject. Vérifiez que le compte dispose des droits 'Se connecter en tant que service' dans la Stratégie de sécurité locale ou la Stratégie de groupe. Vérifiez si le mot de passe a été récemment changé et mettez à jour les configurations de service en conséquence. Pour les comptes de service de domaine, envisagez d'utiliser des Comptes de Service Gérés (MSA) ou des Comptes de Service Gérés de Groupe (gMSA) qui gèrent automatiquement la rotation des mots de passe. Surveillez l'ID d'événement 7038 et 7000 dans le journal Système pour les échecs de démarrage de service liés qui accompagnent souvent les problèmes d'authentification.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including Event ID 4625 configuration and analysishttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Logon Types ReferenceOfficial documentation explaining different Windows logon types that appear in authentication eventshttps://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/reference-tools-logon-types
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-security#event-id-4625#authentication-failures

Événements Windows associés

Windows security monitoring dashboard displaying credential access events and audit logs
Event 5615
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 5615 – Sécurité : Accès au coffre-fort du gestionnaire d'informations d'identification

L'ID d'événement 5615 enregistre lorsqu'un utilisateur ou un processus accède au coffre du Gestionnaire d'informations d'identification Windows pour récupérer des informations d'identification, des mots de passe ou des certificats stockés à des fins d'authentification.

18 mars12 min
Windows domain controller monitoring dashboard showing Active Directory authentication events and security logs
Event 4776
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4776 – Microsoft-Windows-Security-Auditing : Authentification du compte d'ordinateur

L'ID d'événement 4776 enregistre les tentatives d'authentification des comptes d'ordinateur dans les environnements Active Directory, suivant la validation par le contrôleur de domaine des informations d'identification de l'ordinateur lors des processus de connexion.

18 mars9 min
ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos
Event 4771
Microsoft-Windows-Security-Auditing
Windows EventWarning

ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos

L'ID d'événement 4771 indique un échec de pré-authentification Kerberos, généralement causé par des mots de passe incorrects, des comptes expirés ou des problèmes de synchronisation temporelle entre le client et le contrôleur de domaine.

18 mars12 min
Windows Security Event Viewer displaying authentication events on a SOC monitoring dashboard
Event 4648
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...