Wenn ein Benutzer versucht sich an einer Arbeitsstation anzumelden, dabei seinen richtigen Benutzernamen, jedoch ein falsches Passwort angibt, registriert der Domänencontroller (DC) das Ereignis 675 (Pre-authentication failed) mit der Fehlermeldung 24.
Beim Durchsuchen des Sicherheitsprotokolls des DC’s, kann jeder Anmeldeversuch ermittelt werden. In Verbindung mit den detaillierten Angaben ist es möglich festzustellen, welches Benutzerkonto betroffen ist und von welcher Arbeitsstation/Server der Versuch unternommen wurde. Windows loggt ebenfalls unter der ID 675, wenn ein Benutzer einen anderen Benutzernamen, als den mit dem er/sie bereits angemeldet ist, verwendet. Bspw. wenn eine Verbindung zu einem Server unter anderem Benutzernamen hergestellt werden soll (runas.exe, Netzlaufwerk verbinden unter anderem Benutzerkonto, etc.), dann aber fehlschlägt.
(mehr …)