Security analyst monitoring Windows Event ID 4625 logon failures on multiple security dashboards

Event ID 4625InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Cet événement de sécurité critique aide les administrateurs à suivre les tentatives d'accès non autorisées, les attaques par force brute et les problèmes d'authentification sur les comptes de domaine et locaux.

Emanuel DE ALMEIDA

18 mars 202612 min de lecture 0

Event ID 4625Microsoft-Windows-Security-Auditing 5 méthodes 12 min

Référence événement

Signification de cet événement

L'ID d'événement Windows 4625 représente l'un des événements d'audit de sécurité les plus importants dans l'écosystème Windows. Généré par le fournisseur Microsoft-Windows-Security-Auditing, cet événement crée un enregistrement détaillé chaque fois qu'une tentative d'authentification échoue sur le système. L'événement contient des données médico-légales complètes, y compris le compte cible, le poste de travail source, le package d'authentification utilisé, le processus de connexion et, surtout, le code de raison spécifique de l'échec.

La structure de l'événement inclut des champs critiques tels que Sujet (le compte demandant l'authentification), Informations sur le compte (détails du compte cible), Informations de connexion (type de connexion et package d'authentification), Informations réseau (IP source et port), et Informations d'authentification détaillées (codes d'échec et sous-statuts). Ces données granulaires permettent aux analystes de sécurité de distinguer entre les erreurs d'utilisateur légitimes et les tentatives d'attaque malveillantes.

Dans les environnements de domaine, les événements 4625 sont générés à la fois sur les contrôleurs de domaine et les systèmes membres en fonction de l'endroit où l'authentification se produit. Les échecs de compte local apparaissent sur la machine cible, tandis que les échecs d'authentification de domaine génèrent généralement des événements sur les contrôleurs de domaine. La raison de l'échec de l'événement et les codes de sous-statuts fournissent des informations de diagnostic précises - des erreurs de mot de passe simples aux violations de politique complexes comme les restrictions de temps ou les limitations de poste de travail.

Les systèmes de gestion des informations et des événements de sécurité (SIEM) surveillent largement les événements 4625 pour détecter des schémas d'attaque tels que le bourrage d'identifiants, le pulvérisation de mots de passe et les tentatives de force brute. Les métadonnées riches de l'événement permettent des règles de corrélation sophistiquées qui peuvent identifier des attaques distribuées à travers plusieurs systèmes et fenêtres temporelles.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Nom d'utilisateur ou mot de passe incorrect saisi lors de la tentative de connexion
Compte verrouillé en raison de trop nombreuses tentatives échouées
Compte utilisateur désactivé ou expiré dans Active Directory
Mot de passe expiré et utilisateur tentant de se connecter avec d'anciennes informations d'identification
Restrictions de temps de connexion empêchant l'accès en dehors des heures autorisées
Restrictions de poste de travail bloquant la connexion depuis des ordinateurs non autorisés
Échecs de connexion réseau en raison de problèmes de relation de confiance
Échecs d'authentification de compte de service avec des mots de passe expirés
Attaques par force brute ou par dictionnaire contre les comptes utilisateurs
Attaques de bourrage d'informations d'identification utilisant des listes de mots de passe compromis
Échecs d'authentification Kerberos dans les environnements de domaine
Problèmes d'authentification par carte à puce ou problèmes de certificat
Échecs d'authentification à deux facteurs ou problèmes de synchronisation de jeton

Méthodes de résolution

Étapes de dépannage

Analyser les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'échec dans le Visualiseur d'événements pour comprendre le contexte de l'échec d'authentification.

Ouvrez Visualiseur d'événements → Journaux Windows → Sécurité
Filtrez pour l'ID d'événement 4625 en utilisant Filtrer le journal actuel → IDs d'événements : 4625
Double-cliquez sur un événement 4625 récent pour voir les informations détaillées
Concentrez-vous sur ces champs critiques :
- Nom du compte : Le compte qui a échoué à l'authentification
- Raison de l'échec : Code d'erreur spécifique (0xC000006A = mauvais mot de passe, 0xC0000072 = compte désactivé)
- Type de connexion : Méthode d'authentification (2=Interactive, 3=Réseau, 10=RemoteInteractive)
- Adresse réseau source : Adresse IP de la tentative d'authentification
- Nom de la station de travail : Nom de l'ordinateur d'où provient la tentative
Recoupez le code de sous-état avec la documentation Microsoft pour des raisons précises d'échec
Notez le modèle de timestamp pour identifier les séquences d'attaque potentielles

Conseil pro : Le sous-état 0xC0000064 indique que le compte n'existe pas, tandis que 0xC000006A signifie mauvais mot de passe - crucial pour distinguer les erreurs utilisateur des tentatives de reconnaissance.

Analyse PowerShell et Détection de Motifs

Utilisez PowerShell pour analyser les événements 4625 de manière programmatique et identifier les schémas suspects ou les échecs fréquents.

Interroger les échecs de connexion récents avec des informations détaillées :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 100 | 
Select-Object TimeCreated, @{Name='Account';Expression={$_.Properties[5].Value}}, 
@{Name='SourceIP';Expression={$_.Properties[19].Value}}, 
@{Name='FailureReason';Expression={$_.Properties[8].Value}} | 
Format-Table -AutoSize

Identifier les comptes avec plusieurs échecs au cours des dernières 24 heures :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)}
$FailuresByAccount = $Events | Group-Object {$_.Properties[5].Value} | 
Sort-Object Count -Descending
$FailuresByAccount | Select-Object Name, Count | Format-Table

Analyser les adresses IP sources pour identifier les sources potentielles d'attaque :

$Events | Group-Object {$_.Properties[19].Value} | 
Where-Object {$_.Count -gt 10} | 
Sort-Object Count -Descending | 
Select-Object Name, Count

Exporter l'analyse détaillée des échecs en CSV pour une enquête plus approfondie :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddHours(-4)} | 
ForEach-Object {
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Account = $_.Properties[5].Value
        Domain = $_.Properties[6].Value
        SourceIP = $_.Properties[19].Value
        Workstation = $_.Properties[13].Value
        LogonType = $_.Properties[10].Value
        FailureReason = $_.Properties[8].Value
        SubStatus = $_.Properties[9].Value
    }
} | Export-Csv -Path "C:\Temp\LogonFailures.csv" -NoTypeInformation

Avertissement : Des volumes élevés d'événements 4625 peuvent affecter les performances de PowerShell. Utilisez des filtres temporels et le paramètre -MaxEvents pour limiter la portée de la requête.

Configurer les politiques d'audit avancées et la surveillance

Optimisez les paramètres de la politique d'audit et mettez en œuvre une surveillance automatisée pour la détection proactive des incidents de sécurité.

Vérifiez la configuration actuelle de la politique d'audit :
```
auditpol /get /category:"Logon/Logoff"
```

Activez l'audit détaillé des connexions si ce n'est pas déjà configuré :

auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable

Configurez la taille du journal de sécurité pour gérer l'augmentation du volume d'événements :
- Ouvrez Observateur d'événements → Journaux Windows → Sécurité
- Cliquez avec le bouton droit sur Sécurité → Propriétés
- Définissez la Taille maximale du journal à au moins 100 Mo pour les systèmes occupés
- Configurez Archiver le journal lorsqu'il est plein pour la rétention

Créez une tâche planifiée pour la surveillance automatisée des échecs :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorLogonFailures.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "06:00"
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "Monitor Logon Failures" -Action $Action -Trigger $Trigger -Principal $Principal

Mettez en œuvre une surveillance en temps réel avec Windows Event Forwarding (WEF) pour une collecte centralisée
Configurez des vues personnalisées dans l'Observateur d'événements pour une analyse rapide des échecs :
- Créez Vues personnalisées → Créer une vue personnalisée
- Filtrez par ID d'événement 4625 avec des codes de raison d'échec spécifiques
- Enregistrez les vues pour différents types d'échecs (force brute, problèmes de compte, etc.)

Enquêter sur le verrouillage de compte et les incidents de sécurité

Effectuer une enquête complète sur les incidents de sécurité lorsque les événements 4625 indiquent des attaques potentielles ou une compromission de compte.

Corréler les événements 4625 avec les événements de verrouillage de compte (4740):

$StartTime = (Get-Date).AddHours(-2)
$LockoutEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740; StartTime=$StartTime}
$FailureEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=$StartTime}

foreach ($Lockout in $LockoutEvents) {
    $Account = $Lockout.Properties[0].Value
    $RelatedFailures = $FailureEvents | Where-Object {$_.Properties[5].Value -eq $Account}
    Write-Host "Account $Account locked at $($Lockout.TimeCreated)"
    Write-Host "Related failures: $($RelatedFailures.Count)"
}

Analyser les schémas d'authentification pour le compte affecté:

$TargetAccount = "username"
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=(Get-Date).AddDays(-7)} | 
Where-Object {($_.Id -eq 4624 -or $_.Id -eq 4625) -and $_.Properties[5].Value -eq $TargetAccount}

$Events | Select-Object Id, TimeCreated, @{Name='Result';Expression={if($_.Id -eq 4624){"Success"}else{"Failure"}}}, 
@{Name='SourceIP';Expression={$_.Properties[18].Value}} | 
Sort-Object TimeCreated | Format-Table

Vérifier les connexions réussies immédiatement après les échecs (compromission potentielle):

$Failures = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddHours(-1)}
$Successes = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=(Get-Date).AddHours(-1)}

foreach ($Failure in $Failures) {
    $Account = $Failure.Properties[5].Value
    $FailureTime = $Failure.TimeCreated
    $SubsequentSuccess = $Successes | Where-Object {
        $_.Properties[5].Value -eq $Account -and 
        $_.TimeCreated -gt $FailureTime -and 
        $_.TimeCreated -lt $FailureTime.AddMinutes(10)
    }
    if ($SubsequentSuccess) {
        Write-Warning "Potential compromise: $Account failed at $FailureTime, succeeded at $($SubsequentSuccess.TimeCreated)"
    }
}

Générer un rapport d'incident complet:

$Report = @()
$UniqueAccounts = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)} | 
    Group-Object {$_.Properties[5].Value}).Name

foreach ($Account in $UniqueAccounts) {
    $AccountFailures = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)} | 
        Where-Object {$_.Properties[5].Value -eq $Account}
    
    $Report += [PSCustomObject]@{
        Account = $Account
        FailureCount = $AccountFailures.Count
        FirstFailure = ($AccountFailures | Sort-Object TimeCreated)[0].TimeCreated
        LastFailure = ($AccountFailures | Sort-Object TimeCreated -Descending)[0].TimeCreated
        UniqueSourceIPs = ($AccountFailures | Group-Object {$_.Properties[19].Value}).Count
        MostCommonFailure = ($AccountFailures | Group-Object {$_.Properties[8].Value} | Sort-Object Count -Descending)[0].Name
    }
}

$Report | Sort-Object FailureCount -Descending | Format-Table

Avertissement : Toujours corréler les événements 4625 avec les connexions réussies (4624) et les événements d'escalade de privilèges (4672) pour une analyse complète de l'incident.

Mettre en œuvre l'intégration SIEM et la réponse automatisée

Déployez des capacités de surveillance de niveau entreprise et de réponse automatisée pour la gestion d'événements 4625 à grande échelle.

Configurer le transfert d'événements Windows pour une collecte centralisée :

# Sur le serveur collecteur
wecutil qc /q
wecutil cs subscription.xml

# Créer subscription.xml avec filtrage d'événements 4625
$SubscriptionXML = @"

    Security-Logon-Failures
    SourceInitiated
    Collecter les événements d'échec de connexion
    true
    http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog
    Normal
    
            
                
            
        
    ]]>

"@
$SubscriptionXML | Out-File -FilePath "C:\Temp\subscription.xml"

Créer un système d'alerte basé sur PowerShell :

# Enregistrer sous MonitorLogonFailures.ps1
param(
    [int]$ThresholdCount = 10,
    [int]$TimeWindowMinutes = 15
)

$StartTime = (Get-Date).AddMinutes(-$TimeWindowMinutes)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=$StartTime}

$AccountFailures = $Events | Group-Object {$_.Properties[5].Value} | 
    Where-Object {$_.Count -ge $ThresholdCount}

if ($AccountFailures) {
    $AlertMessage = "Nombre élevé d'échecs de connexion détecté :`n"
    foreach ($Account in $AccountFailures) {
        $AlertMessage += "Compte : $($Account.Name) - Échecs : $($Account.Count)`n"
    }
    
    # Envoyer une alerte par email (configurer les paramètres SMTP)
    Send-MailMessage -To "security@company.com" -From "alerts@company.com" \
        -Subject "Alerte de sécurité : Échecs de connexion multiples" -Body $AlertMessage \
        -SmtpServer "smtp.company.com"
    
    # Enregistrer dans le journal des événements de l'application
    Write-EventLog -LogName Application -Source "Security Monitor" -EventId 1001 \
        -EntryType Warning -Message $AlertMessage
}

Mettre en œuvre une réponse automatisée de verrouillage de compte :

# Script de réponse automatisée
$SuspiciousIPs = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddMinutes(-10)} | 
    Group-Object {$_.Properties[19].Value} | 
    Where-Object {$_.Count -gt 20} | 
    Select-Object -ExpandProperty Name

foreach ($IP in $SuspiciousIPs) {
    if ($IP -ne "-" -and $IP -ne "127.0.0.1") {
        # Bloquer l'IP en utilisant le pare-feu Windows
        New-NetFirewallRule -DisplayName "Bloquer IP suspecte $IP" \
            -Direction Inbound -RemoteAddress $IP -Action Block
        
        Write-EventLog -LogName Application -Source "Security Monitor" -EventId 1002 \
            -EntryType Warning -Message "IP suspecte automatiquement bloquée : $IP"
    }
}

Configurer des compteurs de performance personnalisés pour la surveillance :

# Créer un compteur de performance personnalisé pour les échecs de connexion
$CounterPath = "\Security Events\Logon Failures per Minute"
typeperf $CounterPath -si 60 -o "C:\Logs\LogonFailures.csv"

Intégrer avec Microsoft Sentinel ou un SIEM tiers :
- Configurer l'agent Azure Monitor pour le transfert de journaux
- Créer des requêtes KQL pour la détection avancée de modèles
- Configurer des playbooks automatisés pour la réponse aux incidents
- Mettre en œuvre une détection d'anomalies basée sur l'apprentissage automatique

Conseil pro : Utilisez la corrélation de l'ID d'événement 4625 avec l'analyse du trafic réseau et les flux de renseignements sur les menaces pour une détection et une attribution d'attaques complètes.

Aperçu

L'ID d'événement 4625 se déclenche chaque fois qu'une tentative de connexion échoue sur un système Windows. Cet événement est généré par le sous-système d'audit de sécurité de Windows et apparaît dans le journal de sécurité lorsque l'authentification échoue pour une raison quelconque - mot de passe incorrect, compte désactivé, informations d'identification expirées ou violations de politique.

Cet événement est crucial pour la surveillance de la sécurité car il révèle des tentatives d'accès non autorisées potentielles, des attaques par force brute et des problèmes d'authentification légitimes. L'événement capture des informations détaillées, y compris le nom du compte, le poste de travail, le type de connexion, la raison de l'échec et l'adresse réseau source. Les équipes de sécurité s'appuient fortement sur les événements 4625 pour détecter des schémas d'activité suspects et enquêter sur les incidents de sécurité.

L'événement se déclenche pour les échecs d'authentification locaux et de domaine sur tous les types de connexion - interactive, réseau, service, batch et sessions de bureau à distance. Chaque échec génère un événement 4625 distinct avec des codes d'échec spécifiques qui aident les administrateurs à identifier rapidement la cause première. Les systèmes Windows modernes génèrent des milliers de ces événements quotidiennement dans les environnements d'entreprise, rendant le filtrage et l'analyse appropriés essentiels pour une surveillance de sécurité efficace.

Questions Fréquentes

Que signifie l'ID d'événement 4625 et pourquoi est-il important pour la sécurité ?+

L'ID d'événement 4625 indique qu'un compte n'a pas réussi à se connecter à un système Windows. Cet événement est généré par le fournisseur Microsoft-Windows-Security-Auditing chaque fois que l'authentification échoue pour une raison quelconque - mot de passe incorrect, compte désactivé, identifiants expirés ou violations de politique. C'est d'une importance cruciale pour la sécurité car il aide à détecter les tentatives d'accès non autorisées, les attaques par force brute, le bourrage d'identifiants et d'autres activités malveillantes. Les équipes de sécurité utilisent les événements 4625 comme indicateurs principaux d'incidents de sécurité potentiels, et les métadonnées détaillées de l'événement permettent une analyse médico-légale précise et une attribution des attaques.

Comment puis-je distinguer les erreurs utilisateur légitimes des attaques malveillantes dans les événements 4625 ?+

Plusieurs facteurs aident à différencier les erreurs légitimes des attaques : les motifs de fréquence (les attaques montrent généralement des tentatives rapides et répétées), les adresses IP sources (les attaques proviennent souvent d'IPs inhabituelles ou étrangères), les codes de raison d'échec (0xC0000064 pour les comptes inexistants suggère une reconnaissance), les motifs de timing (les attaques se produisent en dehors des heures de bureau), et le ciblage des comptes (les attaques ciblent souvent des comptes administratifs ou de service). Les erreurs d'utilisateurs légitimes impliquent généralement des comptes uniques avec des échecs sporadiques pendant les heures de bureau, tandis que les attaques montrent des motifs systématiques à travers plusieurs comptes ou des tentatives à haute fréquence à partir de sources uniques. Le recoupement avec des connexions réussies immédiatement après des échecs peut également indiquer un compromis potentiel.

Quels sont les codes de raison d'échec les plus courants dans l'ID d'événement 4625 et que signifient-ils ?+

Les codes de raison d'échec les plus courants incluent : 0xC000006A (mot de passe incorrect - erreur légitime la plus fréquente), 0xC0000064 (nom d'utilisateur n'existe pas - indique souvent une reconnaissance), 0xC0000072 (compte désactivé), 0xC000006F (utilisateur a essayé de se connecter en dehors du temps autorisé), 0xC0000070 (restriction de station de travail), 0xC0000193 (compte expiré), 0xC0000071 (mot de passe expiré), et 0xC0000234 (compte verrouillé). Comprendre ces codes est crucial pour un triage rapide des incidents - des codes comme 0xC0000064 avec plusieurs noms d'utilisateur différents suggèrent des attaques d'énumération de noms d'utilisateur, tandis que 0xC000006A avec le même nom d'utilisateur à plusieurs reprises indique des attaques par mot de passe ou des erreurs d'utilisateur.

Comment devrais-je configurer les politiques d'audit et la rétention des journaux pour une surveillance efficace du 4625 ?+

Activez la stratégie 'Audit Logon' pour les événements de succès et d'échec en utilisant 'auditpol /set /subcategory:"Logon" /success:enable /failure:enable'. Réglez la taille du journal de sécurité à au moins 100 Mo (plus grand pour les systèmes occupés) avec la politique de rétention 'Archiver le journal lorsqu'il est plein'. Pour les environnements d'entreprise, implémentez Windows Event Forwarding (WEF) pour centraliser la collecte et réduire les besoins de stockage local. Configurez la rotation des journaux pour maintenir une rétention de 30 à 90 jours selon les exigences de conformité. Envisagez d'activer 'Audit Account Lockout' et 'Audit Other Logon/Logoff Events' pour une surveillance complète de l'authentification. Utilisez la stratégie de groupe pour déployer des paramètres d'audit cohérents sur tous les systèmes du domaine.

Quels sont les commandes PowerShell les plus efficaces pour analyser les événements 4625 et détecter les schémas d'attaque ?+

Les commandes PowerShell clés pour l'analyse 4625 incluent : 'Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625}' pour une requête de base, le regroupement par compte avec '$Events | Group-Object {$_.Properties[5].Value}' pour identifier les comptes ciblés, l'analyse des IP sources avec '$Events | Group-Object {$_.Properties[19].Value}' pour détecter les sources d'attaque, et le filtrage basé sur le temps en utilisant 'StartTime=(Get-Date).AddHours(-X)' pour les événements récents. Pour la détection de motifs, utilisez 'Where-Object {$_.Count -gt 10}' pour identifier les échecs à haute fréquence, et corrélez avec les connexions réussies en utilisant plusieurs IDs d'événements. Exportez les résultats avec 'Export-Csv' pour une analyse plus approfondie dans Excel ou des outils SIEM. Incluez toujours l'analyse des horodatages pour identifier les périodes et les motifs de fréquence des attaques.

Documentation

Références (2)

Microsoft Security Auditing Events DocumentationComprehensive Microsoft documentation covering Windows security auditing events including Event ID 4625 and related authentication monitoring.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview

Windows Security Log Events ReferenceOfficial Microsoft reference for Event ID 4625 with detailed field descriptions and failure reason codes.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs

Event 6276

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min

Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment

Event 6274

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min

Network Policy Server monitoring dashboard showing authentication events and security logs

Event 6273

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min

Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs

Event 6272

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...