什么是安全事件

Windows 中发生的安全事件通常有两种严重类型。{BANNED}中国第一种是威胁网络完整性的隔离事件，例如意外被授予敏感权限的终端用户。另一个涉及多次失败的登录尝试，这表明可能存在危险的活动。

安全事件是指可能破坏实体敏感数据并{BANNED}最佳终破坏其网络完整性的事件。一些广为人知的攻击包括恶意软件、社会工程攻击、网络钓鱼诈骗、DDoS攻击、内部威胁攻击和密码攻击等。越来越明显的是，企业需要耗费更多的资源检测此类事件并对抗其安全能力。

与安全事件相关的事件 ID 及其含义

本部分探讨了表示安全事件的关键 Windows 事件 ID，并提供了有关其影响以及如何解决这些事件的见解。

帐户登录失败 - 事件ID 4625

每当登录请求失败时，此事件都会记录在Windows中。

发生此类事件的可能原因包括：

• 用户名或密码输入错误：这是登录失败的{BANNED}最佳常见原因。当用户输入错误的用户名或密码时将被拒绝登录，并记录为事件日志。
• 帐户因多次登录失败而被阻止：管理员为组织量身定制了各种策略，以减轻安全威胁，其中一个策略可能会限制用户的访问权限，因为他们多次尝试登录，但每次都失败了。
• 用户名或密码已过期：安全措施更加严格，保持网络免受威胁的要求需要一致的、更严格的指导方针和规范。因此，每个用户帐户都有一个使用期限，一旦帐户接近其到期日期，则必须更改用户凭证才能再次运行。
• 网络通信故障：当网络中的某个组件出现故障时，总是会遇到登录失败的情况。VPN 设置配置错误、网络设备出现问题、ISP 停机以及 SSL 等安全协议在空状态下运行，都是导致网络无法成功建立用户身份验证的一些情况。

修复Windows事件ID 4625的方法

在Windows环境中，有一些本地方法可以绕过事件ID 4625.尝试下面描述的解决方案来尝试修复错误。

清除过期的凭据：

• 使用凭据管理器，可以通过命令提示符访问存储的用户名和密码。
• 通过提示 cmdkey /list 命令，将显示已存储凭据的用户名列表。
• 然后运行 rundll32 keyngr.dll KRShowKeyMgr 命令，将给出相应的密码列表。
• 从服务器中清除失效的凭据并重新启动 PC。

重新加入域：

• 打开 run 命令。
• 在对话框中输入 regedit。在 Windows 注册表编辑器中导航到指定的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa。
• 在注册表编辑器的右窗格中，右键单击空白处，从菜单中选择“新建”，然后选择DWORD(32位)值将其重命名为“LmCompatibilityLevel”。
• 双击刚刚创建的LmCompatibilityLevel DWORD，并在Value data字段中输入1.
• 保存更改。

避开 NTLM 协议：

Microsoft 宣布，他们正在慢慢准备从进一步的推出中取消 NTLM，因为它被视为过时的协议。它容易受到暴力攻击，因为它的哈希算法很容易知道，而且没有加盐的密码也使它管理您的身份验证过程存在风险。因此，可以通过运行 secpol.msc 命令来拒绝所有传入的 NTLM 流量。

尝试使用显式凭据登录 - 事件ID 4648

当用户通过显式提供与相关帐户关联的凭据来尝试帐户登录时，将触发此事件。此事件日志可帮助您更大程度地授权人员访问并保护高价值账户。

使用 Windows 防范事件 ID 4648

采取措施避免此事件的发生至关重要，因为有人试图使用不同或新的凭据入侵您的系统。您可以尝试以下提到的技术之一来找到解决此问题的方法：

清除伪装成合法用户的账户凭证：

• 通过在Windows搜索栏上搜索打开事件查看器，通过展开显示在菜单左侧的Windows日志来选择“Security(安全)”。
• 在日志列表中查找事件ID 4648.并记录导致错误的帐户名。
• 打开“控制面板”，确保对话框中的“按条目查看”选项设置为“大图标”。
• 从对话框中显示的无数选项中选择用户帐户，打开窗口左侧的“管理凭据”，然后选择“Windows凭据”。
• 从显示的用户帐户列表中，选择要从网络中删除的帐户。

关闭远程访问：

• 可以使用设置应用程序立即禁用系统上的远程访问功能。
• 打开“设置”并导航到“系统”部分。
• 进入“远程桌面”选项。
• 然后，单击“远程桌面”选项旁边的开关来禁用它。

分配给新登录的特权 - 事件ID 4672

当具有管理员级别权限的用户登录到系统时，将注册此事件。此事件日志是通知具有敏感权限的用户登录，并增加对网络内发生的事情的警惕性。

以下是特权用户帐户的列表：

使用本地解决方案修复事件ID 4672

• 禁用系统上的防病毒软件。
• 关闭电脑上运行的所有后台应用程序。
• 在安全模式下重新启动 Windows。

在使用以下故障排除方法之前，请尝试遵循上述步骤。

更新 BIOS：

更新BIOS有助于在整个生命周期中保持系统的兼容性，BIOS升级是由制造商推出的，目的是消除高级安全威胁。

卸载{BANNED}最佳近的 Windows 更新：

• 打开 Settings(设置)。
• 进入 Windows 更新并选择更新历史记录。
• 然后，单击 卸载更新 按钮并选择{BANNED}最佳新更新。
• 然后选择{BANNED}最佳新的更新，单击“卸载更新”。
• 点击“卸载”并确认。

更新 GPU 驱动程序：

及时更新驱动程序将修复影响它们的错误，并安装{BANNED}最佳新功能以提高系统性能。在Windows中手动检查更新驱动程序以获得演练。

Kerberos身份验证事件 - 事件ID 4768

每当密钥分发中心尝试验证凭据时，事件ID 4768就会记录在域控制器上。如果认为凭证有效，就会发放授予 TGT，从而记录一个成功的Kerberos身份验证事件。如果发现凭据无效，将记录一个事件4768.类型为失败。

安全事故呈上升趋势，而克服缓解这些事故的有效手段是当务之急，合规性要求促使企业采用急需的实践和技术。在这一点上，监控事件的所有内容可以帮助查明异常情况和滥用特权的企图。

使用本地方案解析事件ID 4768

在开始解决问题之前，请确保您已经尝试了下面提到的步骤：

• 检查Windows服务器是否为{BANNED}最佳新版本。
• 服务器时间必须始终正确。
• 网络连接没有问题。

如果在执行步骤后仍然遇到错误，请尝试下面的方法尝试解决问题：

启用 VPN：

为系统中的其他用户启用VPN连接是解决此事件的一种方法。当用户尝试访问系统时，他们必须使用VPN访问本地网络。因此，Kerberos身份验证可以验证凭据，而不会出现任何其他问题，并且不会存储事件ID 4768.

卸载有问题的更新：

• 打开控制面板。
• 转到卸载或更改程序，然后单击查看已安装的更新。
• 卸载导致问题的更新。

部署防火墙：

• 打开控制面板，选择“系统和安全”。
• 导航到 Windows Defender 防火墙。
• 进入高级设置。
• 配置入站和出站规则。

使用防火墙可能是阻止任何未经请求的请求进入的{BANNED}最佳佳选择。Windows还提供了在服务器上配置入站和出站规则的选项，可以根据您的需要进行定制。

已发出Kerberos服务票证请求 - 事件ID 4769

该事件在请求Kerberos服务票证时生成，它包含与请求者、来源和安全标识符相关的所有信息。通过记录服务票证请求，可以评估网络中用户和设备之间的关键交互。

通过记录此事件，可以对敏感帐户(如管理员及其对应帐户)的活动保持警惕，并在发生安全漏洞时检测到安全漏洞。

使用 Windows 解决方法解决事件ID 4768 问题

启用登录失败的审核：

• 打开Windows PowerShell，单击“以管理员身份运行”。
• 在“PowerShell”窗口中运行 auditpol/set /subcategory：“logon”/failure:enable 命令。
• 启用后，系统将开始记录与登录失败相关的事件，这有助于识别未经授权的访问尝试。

重置Kerberos密码：

Kerberoasting是一种特定类型的攻击，攻击者利用Kerberos协议获取Active Directory用户帐户的密码散列。

要解决此问题，必须在Active Directory用户和计算机中重置用户的密码。这些是管理员独有的特权，因此需要与获得授权的相关人员取得联系，并请求重置密码。

加强身份验证级别：

• 打开 Run 命令。
• 在对话框中输入"gpedit.msc"，然后按 Enter 键打开组策略编辑器。
• 导航到以下位置：计算机配置/Windows 设置/安全设置/本地策略/安全选项。
• 通过定位“网络安全：配置Kerberos允许的加密类型”的策略来配置Kerberos加密类型。双击此策略以打开其属性。
• 在“本地安全设置”中选择“AES256_HMAC_SHA1”。
• 单击“应用”，然后保存更改。