Der Sensor Hack-Alarmierung gibt als Ausgabe eine ID aus, die auf ein bestimmtes Ereignis im Security Eventlog verweist.

Die Bedeutung der ID's ist im Sensor leider nicht erkennbar, daher haben wir Euch eine Liste der IDs mit der Erklärung des Ereignisses erstellt.


Die Ereignisse können im Windows Log unter "Sicherheit" nachvollzogen werden. Einfach nach "Anmeldung fehlgeschlagen" filtern oder nach einer der folgenden Event-IDs:



EreignisGrund
529Unbekannter Benutzer oder Passwort
530Ereignis das auf einem Domain Controller auftritt bei falschem Login
531Account ist aktuell deaktiviert, Event das auf Workstations oder Servern auftritt und einen fehlerhaften Login darstellt. Mehr Informationen im Event 528 (wenn User lokal)
532Der Benutzer ist abgelaufen
533
Benutzer ist nicht berechtigt für eine Anmeldung auf dieser Maschine
534
Der Benutzer darf sich mit dem ausgewählten Anmeldetyp nicht auf eine Maschine verbinden (RDP, Konsole, etc.)
535
Das Passwort ist abgelaufen
536Die NetLogon Komponente ist nicht aktiv
537Der Loginversuch ist wegen unbekannten Gründen fehlgeschlagen
539Account wurde ausgeschlossen 
644
Benutzeraccount wurde ausgeschlossen
672
Ticket gewährt, Fehler aufgetreten http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675 
676
Ticketanforderung fehlerhaft
680
Anmeldung für Login fehlerhaft 
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=680 
681
Loginversuch ist fehlgeschlagen auf Workstation
4625
Wie 529, nur ab Windows 2008/7 
4740
Wie 644, Benutzerkonto ausgeschlossen 
4768
Kerberos Ticket fehlerhaft, wie 672 
4772
Wie 4768
4776
Der Domaincontroller hat die Zugangsdaten validiert, Fehler, siehe 680 
5461PAStore Engine konnte lokale IPSec Richtlinie nicht anwenden, siehe 534