Event ID 4625: mit jelent és mit tegyél, ha ezreket látsz belőle?
Ha valaha megnyitottad a Windows Eseménynaplóját, és rákerestél a biztonsági eseményekre, valószínűleg találkoztál ezzel a számmal: 4625. És valószínűleg nem egy-kettőt láttál belőle, hanem százakat. Vagy ezreket.
Ez a szám nem véletlenül jelenik meg ilyen gyakran. Nézzük meg, mit jelent, miért fontos, és mit tehetsz ellene.
Mi az Event ID 4625?
Egyszerűen fogalmazva: valaki megpróbált bejelentkezni a gépedre, és nem sikerült neki. Rossz jelszót adott meg, nem létező felhasználónévvel próbálkozott, vagy olyan módszerrel próbált belépni, amit a rendszer nem engedett.
A Windows minden ilyen esetet feljegyez a Biztonsági naplóba (Security Log), és mindegyik bejegyzés ugyanazt az azonosítót kapja: 4625.
Egy-két ilyen bejegyzés teljesen normális – mindenkivel előfordul, hogy elgépeli a jelszavát. A baj ott kezdődik, ha naponta több százat vagy ezret látsz.
Honnan tudod, hogy te is érintett vagy?
Nyomd meg a Windows + R billentyűt, írd be: eventvwr.msc, és nyomj Entert. A bal oldali fában kattints a Windows naplók → Biztonság elemre. A jobb oldalon válaszd a Jelenlegi napló szűrése lehetőséget, és az Eseményazonosító mezőbe írd be: 4625.
Ami megjelenik, az a sikertelen bejelentkezések listája. Ha a szervered elérhető az internetről távoli asztallal, szinte biztos, hogy nem üres listát fogsz kapni.
Mit árul el egy 4625-ös bejegyzés?
Minden egyes bejegyzésben benne van:
- Ki próbálkozott – milyen felhasználónévvel (Account Name). Ha olyat látsz, mint "Administrator", "Admin", "Test", "User" – az szinte biztosan kívülről jövő próbálkozás.
- Honnan jött – a támadó IP-címe (Source Network Address). Ha külföldi, ismeretlen IP-ket látsz, az automatizált támadás jele.
- Mikor történt – pontos dátum és időpont. Ha éjjel 3-kor százával jönnek a próbálkozások, az nem a kollégád volt.
- Miért nem sikerült – a hiba oka (Status/Sub Status kód). A leggyakoribb: rossz jelszó (0xC000006A) vagy nem létező felhasználó (0xC0000064).
Miért jönnek ilyen tömegesen?
A rövid válasz: automatikus programok (botok) járják az internetet, és minden elérhető Windows szervert végigpróbálnak. Nem téged céloznak személyesen – egyszerűen mindenkit próbálnak, akinél nyitva van a Távoli Asztal (RDP, alapértelmezetten a 3389-es porton).
Ezek a botok nem fáradnak el. Éjjel-nappal dolgoznak, szótárakból és kiszivárgott jelszólistákból dolgozva. Egy szerver ellen napi 5000-10000 próbálkozás sem ritka.
Miért baj ez, ha úgysem jutnak be?
Három okból:
1. A szervered dolgozik rajta. Minden egyes 4625-ös esemény azt jelenti, hogy a rendszer megkapta a kérést, kiértékelte, elutasította, és naplózta. Napi tízezer ilyen próbálkozás feleslegesen terheli a processzort és a memóriát.
2. A napló megtelik. Ha ezrével jönnek a hamis bejegyzések, egyre nehezebb kiszúrni, ha valami fontos történik. Egy valódi biztonsági incidens könnyen elveszhet a zajban.
3. A kockázat idővel nő. Egy hónap alatt százötvenezer próbálkozás, egy év alatt majdnem kétmillió. Ha a támadó kiszivárgott jelszólistákkal dolgozik, nem teljesen vakon lő – és az idő az ő oldalán áll.
Mit tehetsz ellene?
A cél egyszerű: ha valaki többször rossz jelszót ad meg, ne próbálkozhasson tovább. Tiltsd ki az IP-címét – automatikusan, azonnal.
A BruteFence pontosan ezt csinálja: figyeli a 4625-ös eseményeket, és ha egy IP-címről a beállított számú sikertelen próbálkozás érkezik, létrehoz egy Windows tűzfal szabályt, ami blokkolja a támadót. Ezek után a támadó meg sem tudja szólítani a szervert.
A telepítés 5 perc, utána a program csendben dolgozik a háttérben – nem kell hozzányúlni.
Ellenőrizd a saját szervered
Ha kíváncsi vagy, mennyi 4625-ös esemény van a szerveredben, de nem akarsz az Eseménynaplóban keresgélni, töltsd le az ingyenes BruteFence Checker programot. Egyetlen kattintással megmutatja az elmúlt 30 nap összes sikertelen bejelentkezési kísérletét – IP-címekkel, felhasználónevekkel, dátumokkal.
Összefoglalás
Az Event ID 4625 sikertelen bejelentkezési kísérletet jelent. Ha naponta százakat vagy ezreket látsz belőle, a szervered aktív célpont. Ez nem szűnik meg magától – de a BruteFence automatikusan kezeli: kitiltja a próbálkozókat, csökkenti a terhelést, és tisztán tartja a naplót.
Olvassa el a kapcsolódó cikkeinket: