Os analistas de segurança e do SOC analisam regularmente os registros de eventos do Windows para identificar possíveis ameaças. Um dos alertas mais comuns — e frequentemente mal interpretado — é a tentativa de login malsucedida, conhecida como ID de evento 4625 do Windows. Com tantas formas de autenticação disponíveis atualmente para usuários, serviços e sistemas, identificar a causa raiz pode ser um desafio tanto para os profissionais de TI em geral quanto para as equipes de segurança.
Por que você deve se preocupar com tentativas de login malsucedidas
Os eventos de falha no login podem parecer rotineiros, mas muitas vezes indicam problemas subjacentes de segurança, operacionais ou de conformidade. Monitorar e classificar esses eventos é importante por várias razões fundamentais:
- Segurança – Paradetectar ataques de força bruta e ataques relacionados a senhas, bem como atividades maliciosas internas.
- Higiene de TI – A limpezade dispositivos que não conseguem se autenticar deve ser realizada, pois contas administrativas inativas ou usuários com senhas vencidas podem representar riscos à segurança.
- Conformidade – A maioriadas regulamentações do setor exige o monitoramento de registros e a auditoria de tentativas de login malsucedidas.
Tipos de logon
Ao analisar um evento de falha no logon, uma das primeiras questões a ser respondida é como ocorreu a tentativa de autenticação. O Windows atribui um tipo específico de logon a cada tentativa de autenticação, fornecendo informações importantes sobre se a atividade foi interativa, baseada em rede, orientada por serviço ou automatizada. Compreender esses tipos de logon ajuda a restringir a investigação e a priorizar as medidas de resposta.
A tabela abaixo apresenta os tipos de logon do Windows mais comuns que você encontrará ao investigar o ID de evento 4625:
| Tipo de login | Título de login | Descrição |
| 2 | Interativo | Um usuário tentou fazer login no teclado e na tela locais de um computador Windows. A causa mais comum é o erro humano, especificamente, a digitação incorreta do nome de usuário e/ou da senha. |
| 3 | Rede | Um usuário ou computador efetuou login neste computador a partir da rede. Esse tipo de login ocorre principalmente quando você acessa compartilhamentos de arquivos ou impressoras remotas. Se o IIS estiver em uso, as tentativas do Internet Information Server também são registradas como um login de rede. |
| 4 | Lote | O tipo de logon em lote é utilizado por servidores de lote, nos quais os processos podem ser executados em nome de um usuário sem sua intervenção direta. O evento de falha mais comum nesse contexto são as tarefas agendadas. |
| 5 | Serviço | Um serviço foi iniciado pelo Gerenciador de Controle de Serviços. O evento de falha mais comum ocorre quando os serviços e as contas de serviço tentam fazer logon para iniciar um serviço. |
| 7 | Desbloquear | Esta estação de trabalho foi desbloqueada. Isso ocorre quando você tenta desbloquear o sistema Windows. |
| 8 | Texto em claro na rede | Um usuário efetuou login neste computador a partir da rede, e sua senha foi enviada ao pacote de autenticação em formato não criptografado (em texto simples). A maioria das tentativas de login malsucedidas ocorre nessa situação, quando um usuário utiliza a autenticação básica para se autenticar em um servidor IIS. |
| 9 | Novas credenciais | Um usuário clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas utiliza credenciais diferentes para outras conexões de rede. Os eventos de falha aqui são causados principalmente quando um usuário inicia um programa com RunAs /netonly. |
| 10 | RemoteInteractive | Um usuário fez login neste computador remotamente usando os Serviços de Terminal ou a Área de Trabalho Remota. |
| 11 | Em cacheInterativo | Um usuário efetuou login neste computador usando credenciais de rede armazenadas localmente no computador. O controlador de domínio não foi consultado para verificar as credenciais. |
Com base nas observações da equipeRocketCyber , a maioria dos eventos de falha de login em pequenas e médias empresas (PMEs) se enquadra nos tipos de login 2, 3, 4 e 5. Em muitos casos, esses eventos não são maliciosos — mas ainda assim podem representar um risco à segurança se não forem resolvidos.
Após investigar inúmeras tentativas de login malsucedidas originadas de dentro da rede, as causas mais comuns incluem:
- Erros de digitação (digitação incorreta da senha ou do nome de usuário)
- Credenciais desatualizadas armazenadas em cache que acessam unidades mapeadas
- Tarefas agendadas com credenciais desatualizadas
- Arquivos em lote com contas expiradas
Falhas no login são inevitáveis, mas nunca devem ser ignoradas. O monitoramento e a triagem consistentes são essenciais para distinguir erros inofensivos do usuário de ameaças reais à segurança. Os tipos de login podem ajudar a priorizar as medidas corretivas, especialmente ao determinar se a atividade teve origem dentro ou fora da rede. Embora as tentativas externas geralmente recebam atenção imediata, as falhas de login internas são frequentemente ignoradas — mesmo que possam indicar configurações incorretas, credenciais desatualizadas ou atividades maliciosas.
Descrições dos campos do evento
Para entender melhor como as tentativas de login malsucedidas se apresentam na prática, vamos examinar um exemplo real de uma entrada com o ID de evento 4625 do Windows. A captura de tela abaixo destaca os principais campos que os analistas analisam durante a triagem.
Além do tipo de login, vários campos de evento adicionais fornecem um contexto essencial ao investigar uma tentativa de login malsucedida. Esses detalhes ajudam os analistas a determinar quem iniciou a tentativa, de onde ela se originou e por que falhou.
Assunto/nome da conta– Identifica a conta que solicitou o logon. Essa conta não é necessariamente a mesma que acabou falhando na autenticação.
Conta cujo logon falhou (nome da conta e domínio)– Identifica a conta que tentou se autenticar e falhou. Na maioria dos casos, isso inclui tanto o nome de usuário quanto o domínio associado (ou o nome do computador, se for uma conta local).
Informações de rede– Indicam de onde partiu a tentativa de login. Se a tentativa tiver sido iniciada a partir do mesmo sistema, esta seção pode estar em branco ou indicar a máquina local. Quando preenchida, o nome da estação de trabalho e o endereço de rede de origem são especialmente úteis para a triagem. A porta de origem também é listada, mas geralmente é menos útil, já que a maioria das portas de origem é atribuída dinamicamente.
Informações sobre falhas– Explica por que a tentativa de logon falhou. Isso inclui uma descrição textual do motivo da falha, juntamente com códigos de status e substatus (em formato hexadecimal), que fornecem uma visão mais detalhada da causa da falha.
Informações do processo– Quando disponíveis, essas informações podem ser particularmente úteis. Elas incluem o ID do processo (PID) do aplicativo que iniciou a tentativa de login. Os analistas podem cruzar o PID com o Gerenciador de Tarefas para identificar o processo associado. Observe que o Windows registra o PID no formato hexadecimal, que deve ser convertido para decimal antes de realizar a pesquisa.
Os 10 principais códigos de status / substatus
A tabela abaixo serve como referência para os códigos de status e substatus mais frequentes observados pela equipeRocketCyber :
| Código de status / substatus | Descrição |
| 0xC000006A | O nome de usuário está correto, mas a senha está errada |
| 0000064 | O nome de usuário não existe |
| 0XC000006D | Isso se deve a um nome de usuário incorreto ou a informações de autenticação incorretas |
| 0XC000006E | Nome de usuário desconhecido ou senha incorreta |
| 0000193 | A conta expirou |
| 0000070 | Tentativa de login a partir de uma estação de trabalho não autorizada |
| 0000071 | Senha expirada |
| 0000072 | Tentativa de login na conta desativada pelo administrador |
| 0xc000015b | O usuário não possui direitos de login para se autenticar neste computador |
| 0000234 | Tentativa de login com a conta bloqueada |
Resumo da análise do evento 4625 do Log de Eventos do Windows (falha no logon)
Embora esta visão geral não abranja todos os detalhes possíveis de telemetria, ela serve como uma base prática para profissionais de TI e segurança cibernética que investigam eventos de falha no logon. O monitoramento do ID de evento 4625 contribui para uma supervisão de segurança mais rigorosa, melhores práticas de TI e conformidade regulatória.
Para provedores de serviços gerenciados que prestam suporte a pequenas e médias empresas, o monitoramento e a triagem consistentes de tentativas de login malsucedidas — juntamente com outros eventos críticos de segurança — podem fortalecer significativamente a postura geral de segurança. As organizações que não dispõem das ferramentas, do conhecimento especializado ou dos recursos necessários para monitorar e responder efetivamente a esses eventos devem considerar a avaliação de soluções de segurança modernas, projetadas para oferecer visibilidade contínua, detecção de ameaças e resposta.
Para saber como o portfólio de segurança da Kaseya pode ajudar a aprimorar os recursos de monitoramento, detecção e resposta,solicite uma demonstração com um especialista em segurança.
