Event ID 4625: Brute-Force-Angriff erkennen und stoppen

Sie haben die Ereignisanzeige auf Ihrem Windows-Server geöffnet und Hunderte — vielleicht Tausende — Einträge mit der Bezeichnung „Überwachungsfehler" gefunden. Jeder einzelne ist ein Event ID 4625. Die Liste wächst weiter. Irgendetwas stimmt offensichtlich nicht, aber ist es ernst?

Hier erfahren Sie, was diese Ereignisse bedeuten, wie Sie erkennen, ob Sie angegriffen werden, und was Sie dagegen tun können.

Was ist Event ID 4625?

Event ID 4625 bedeutet genau eines: Jemand hat versucht, sich anzumelden, und ist gescheitert. Windows protokolliert jeden fehlgeschlagenen Anmeldeversuch im Sicherheitsprotokoll — egal ob ein falsches Passwort eingegeben, ein nicht existierender Benutzername ausprobiert oder ein abgelaufenes Konto verwendet wurde. Das ist alles, was dieses Ereignis aussagt: ein fehlgeschlagener Versuch, ein Protokolleintrag.

Ein paar solcher Einträge pro Tag sind völlig normal. Menschen vertippen sich bei Passwörtern. Sitzungen laufen ab. Dienstkonten wechseln ihre Anmeldeinformationen. Windows protokolliert jeden dieser Fälle als 4625.

Das Problem beginnt, wenn Sie Hunderte oder Tausende davon sehen.

Normal oder Angriff?

Das ist die entscheidende Frage. So erkennen Sie den Unterschied:

Normaler Betrieb zeigt sich durch 1 bis 5 fehlgeschlagene Anmeldungen pro Benutzer und Tag. Die Benutzernamen sind echte Konten auf Ihrem System. Die Quell-IPs sind intern oder gehören zu Ihren bekannten Benutzern. Laut Huntress ist diese Art von vereinzeltem Fehlschlag Routine und selten ein Grund zur Sorge.

Ein Angriff sieht ganz anders aus. Sie sehen Hunderte oder Tausende fehlgeschlagene Versuche pro Stunde. Die Benutzernamen wechseln durch gängige Namen — Administrator, admin, user, test, guest. Die Quell-IPs sind extern und unbekannt. Die Aktivität läuft rund um die Uhr, oft mit Spitzen außerhalb der Geschäftszeiten.

Die Zahlen von echten exponierten Servern sind beeindruckend. Eine Honeypot-Studie von Jeffrey Appel verzeichnete 209.335 fehlgeschlagene Anmeldeversuche in nur sieben Tagen — rund 29.900 pro Tag. Über 80 % dieser Versuche zielten auf das Konto „Administrator". Wenn Ihre 4625-Zahlen auch nur annähernd so aussehen, wird Ihr Server per Brute Force angegriffen.

So prüfen Sie Ihre Event-ID-4625-Einträge

Öffnen Sie die Ereignisanzeige und navigieren Sie zu Windows-Protokolle > Sicherheit. Klicken Sie im rechten Bereich auf Aktuelles Protokoll filtern und geben Sie 4625 im Feld „Ereignis-ID" ein. Damit filtern Sie alles andere heraus und sehen nur fehlgeschlagene Anmeldungen.

Klicken Sie auf einen beliebigen Eintrag und achten Sie im Detailbereich auf drei Felder:

• Quellnetzwerkadresse — Die IP-Adresse, von der der Versuch ausging. Externe IPs, die Sie nicht kennen, sind das deutlichste Zeichen für einen Angriff.
• Anmeldetyp — Die Nummer, die angibt, wie die Anmeldung versucht wurde (mehr dazu weiter unten).
• Kontoname — Der Benutzername, der verwendet wurde. Zufällige oder generische Namen wie „admin" oder „test" weisen auf automatisiertes Scanning hin.

Wenn Sie schnell zählen möchten, wie viele Fehlschläge in den letzten 24 Stunden aufgetreten sind, führen Sie dies in einem PowerShell-Fenster mit erhöhten Rechten aus:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddHours(-24)} | Measure-Object

Eine einstellige Zahl ist Routine. Alles im Hunderter- oder Tausenderbereich erfordert Ihre Aufmerksamkeit.

Wenn Sie statt PowerShell eine visuelle Zusammenfassung bevorzugen, ist BruteFence Checker ein kostenloses, portables Tool, das Ihr Ereignisprotokoll ausliest und einen 30-Tage-Bericht über fehlgeschlagene RDP-Anmeldeversuche erstellt — Angriffsanzahl, einzigartige IPs, aktivste Angreifer und tägliche Aufschlüsselung. Keine Installation nötig, einfach herunterladen und starten.

Was die wichtigsten Details bedeuten

Jedes 4625-Ereignis enthält einen Anmeldetyp und einen Statuscode, die genau verraten, was passiert ist.

Anmeldetypen

| Anmeldetyp | Bezeichnung | Bedeutung | |------------|-------------|-----------| | 2 | Interactive | Jemand an der physischen Tastatur | | 3 | Network | Remote-Anmeldung über das Netzwerk (SMB, zugeordnete Laufwerke) | | 10 | RemoteInteractive | RDP oder Terminaldienste — der wichtigste Typ bei Brute-Force-Angriffen |

Wenn die meisten Ihrer 4625-Ereignisse den Anmeldetyp 10 zeigen, versucht jemand, über Remotedesktop einzubrechen.

Fehlercodes

Die Felder Status und Unterstatus verwenden Hex-Codes, die einschüchternd wirken, aber eine klare Bedeutung haben:

| Code | Bedeutung | |------|-----------| | 0xC000006D | Falscher Benutzername oder ungültige Authentifizierungsdaten (allgemeiner Fehler) | | 0xC0000064 | Der Benutzername existiert nicht auf diesem System | | 0xC000006A | Richtiger Benutzername, falsches Passwort | | 0xC0000234 | Konto ist gesperrt | | 0xC0000072 | Konto ist deaktiviert |

Bei einem Brute-Force-Angriff sehen Sie typischerweise große Mengen von 0xC0000064 (Angreifer raten Benutzernamen, die nicht existieren) gemischt mit 0xC000006A (richtiger Benutzername, falsches Passwort). Dieses Muster — das schnelle Durchprobieren von Namen und Passwörtern — ist der Fingerabdruck von automatisiertem Credential Stuffing.

Die vollständige Liste der Statuscodes und Felddefinitionen finden Sie in der Microsoft-Dokumentation zu Event 4625.

Was Sie dagegen tun können

Sobald Sie bestätigt haben, dass die Fehlschläge von externen IPs mit Anmeldetyp 10 stammen, gehen Sie wie folgt vor — grob in der Reihenfolge der Dringlichkeit.

Angreifende IPs blockieren

Öffnen Sie die Windows-Firewall mit erweiterter Sicherheit, erstellen Sie eine neue eingehende Regel und blockieren Sie die Quell-IPs aus Ihren 4625-Ereignissen. Das stoppt die unmittelbare Bedrohung, ist aber ein Katz-und-Maus-Spiel — Angreifer wechseln ihre IPs ständig.

Blockierung automatisieren

Das manuelle Anlegen von Firewall-Regeln skaliert nicht, wenn Sie Tausende Versuche pro Tag von Hunderten von IPs erhalten. Automatische Blockierungstools überwachen das Sicherheitsprotokoll in Echtzeit und fügen Firewall-Regeln hinzu, sobald eine IP einen Fehlschlag-Schwellenwert überschreitet.

BruteFence macht genau das — es überwacht 4625-Ereignisse, erkennt das Muster und blockiert auffällige IPs automatisch. Es läuft lokal auf dem Server, ohne Cloud-Abhängigkeit. Es ist nicht das einzige Tool in dieser Kategorie, aber wenn Sie es speziell mit RDP-Brute-Force zu tun haben, wurde es genau für dieses Problem entwickelt. Sie können es 7 Tage kostenlos testen, um zu sehen, ob es in Ihre Umgebung passt.

Kontosperrungsrichtlinie prüfen

Ohne eine Kontosperrungsrichtlinie kann ein Brute-Force-Angriff unbegrenzt Passwörter durchprobieren. Öffnen Sie die Lokale Sicherheitsrichtlinie (oder Gruppenrichtlinie in einer Domäne), navigieren Sie zu Kontorichtlinien > Kontosperrungsrichtlinie und legen Sie einen Sperrschwellenwert fest. Schon ein Schwellenwert von 10 fehlgeschlagenen Versuchen mit einer 30-minütigen Sperrzeit verlangsamt automatisierte Angriffe erheblich.

RDP vom Internet entfernen

Wenn der RDP-Port Ihres Servers direkt aus dem Internet erreichbar ist, besteht die langfristige Lösung darin, ihn hinter ein VPN oder Gateway zu stellen. Automatische Blockierung und Sperrrichtlinien sind wichtige Schutzschichten, aber die Angriffsfläche zu verkleinern ist immer der wirksamste Schritt. Wir haben dazu einen ausführlichen Leitfaden geschrieben: Ist es sicher, RDP dem Internet auszusetzen?

Prüfen, ob jemand tatsächlich eingedrungen ist

Das ist der Schritt, der häufig vergessen wird. Filtern Sie Ihr Sicherheitsprotokoll nach Event ID 4624 — das ist eine erfolgreiche Anmeldung. Wenn Sie ein 4624-Ereignis von einer der externen IPs sehen, die zuvor 4625-Fehler erzeugt haben, hat der Angreifer ein funktionierendes Passwort gefunden. Das ist ein sofortiger Sicherheitsvorfall: Ändern Sie alle Passwörter, prüfen Sie, worauf zugegriffen wurde, und suchen Sie nach neuen Benutzerkonten oder Diensten, die Sie nicht erstellt haben.

Sie sind damit nicht allein

Wenn Ihre Ereignisanzeige mit Tausenden von 4625-Einträgen gefüllt ist, wird Ihr Server nicht gezielt angegriffen. Jeder Windows-Rechner mit RDP-Zugang zum Internet erlebt das. Die Honeypot-Daten belegen es — Zehntausende Versuche pro Tag sind die Grundlinie.

Die gute Nachricht: Die Gegenmaßnahmen sind klar. Prüfen Sie die Quell-IPs und Anmeldetypen, blockieren Sie, was nicht dazugehört, automatisieren Sie die Blockierung, damit Sie es nicht von Hand machen müssen, und überlegen Sie, ob RDP wirklich aus dem Internet erreichbar sein muss. Mehr darüber, wie RDP-Brute-Force-Angriffe funktionieren, erfahren Sie in unserem Leitfaden: Was ist ein RDP-Brute-Force-Angriff?