Der Sensor Hack-Alarmierung gibt als Ausgabe eine ID aus, die auf ein bestimmtes Ereignis im Security Eventlog verweist.
Die Bedeutung der ID's ist im Sensor leider nicht erkennbar, daher haben wir Euch eine Liste der IDs mit der Erklärung des Ereignisses erstellt.
Die Ereignisse können im Windows Log unter "Sicherheit" nachvollzogen werden. Einfach nach "Anmeldung fehlgeschlagen" filtern oder nach einer der folgenden Event-IDs:
Ereignis | Grund |
529 | Unbekannter Benutzer oder Passwort |
530 | Ereignis das auf einem Domain Controller auftritt bei falschem Login |
531 | Account ist aktuell deaktiviert, Event das auf Workstations oder Servern auftritt und einen fehlerhaften Login darstellt. Mehr Informationen im Event 528 (wenn User lokal) |
532 | Der Benutzer ist abgelaufen |
533 | Benutzer ist nicht berechtigt für eine Anmeldung auf dieser Maschine |
534 | Der Benutzer darf sich mit dem ausgewählten Anmeldetyp nicht auf eine Maschine verbinden (RDP, Konsole, etc.) |
535 | Das Passwort ist abgelaufen |
536 | Die NetLogon Komponente ist nicht aktiv |
537 | Der Loginversuch ist wegen unbekannten Gründen fehlgeschlagen |
539 | Account wurde ausgeschlossen |
644 | Benutzeraccount wurde ausgeschlossen |
672 | Ticket gewährt, Fehler aufgetreten http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675 |
676 | Ticketanforderung fehlerhaft |
680 | Anmeldung für Login fehlerhaft http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=680 |
681 | Loginversuch ist fehlgeschlagen auf Workstation |
4625 | Wie 529, nur ab Windows 2008/7 |
4740 | Wie 644, Benutzerkonto ausgeschlossen |
4768 | Kerberos Ticket fehlerhaft, wie 672 |
4772 | Wie 4768 |
4776 | Der Domaincontroller hat die Zugangsdaten validiert, Fehler, siehe 680 |
5461 | PAStore Engine konnte lokale IPSec Richtlinie nicht anwenden, siehe 534 |