Memperbaiki Event ID 4648, A logon was attempted using explicit credentials di Windows 11
Saya menemukan Event ID 4648 di Event Viewer yang menyatakan A logon was attempted using explicit credentials. Hal ini dipicu ketika sebuah proses mencoba masuk ke suatu akun dengan memberikan kredensial (username dan password) yang berbeda dari kredensial pengguna yang sedang login. Meskipun hal ini dapat terjadi selama operasi yang sah seperti scheduled task, perintah "RunAs" atau remote session, hal ini juga dapat menandakan aktivitas berbahaya seperti pencurian kredensial atau perpindahan lateral. Dalam artikel ini, saya akan membahas hal ini dan melihat apa yang dapat anda lakukan jika sebuah upaya masuk telah dilakukan menggunakan kredensial eksplisit, Event ID 4648.
Apa itu Event ID 4648, A logon was attempted using explicit credentials?
Event ID 4648, A logon was attempted using explicit credentials terjadi ketika proses mencoba mengautentikasi ke akun dengan secara eksplisit memberikan kredensial (username/password) yang berbeda dari sesi pengguna yang saat ini login. Peristiwa ini biasa terjadi dalam operasi yang sah seperti scheduled task, perintah “RunAs” atau akses jarak jauh, namun mungkin menandakan aktivitas berbahaya seperti pencurian kredensial atau perpindahan lateral jika tidak terduga.
Memperbaiki Event ID 4648, A logon was attempted using explicit credentials di Windows 11
Jika anda melihat Event ID 4648 dengan pesan A logon was attempted using explicit credentials di Windows 11 atau Windows 10, maka anda dapat mengikuti solusi yang disebutkan dibawah ini. Mari kita bahas ini secara mendetail.
1. Batasi dan Audit Penggunaan Akun Istimewa
Pembatasan dan audit akun istimewa melibatkan pengendalian siapa yang memiliki izin lebih tinggi dan bagaimana penggunaannya. Dengan membatasi akses, kita mengurangi potensi serangan; hanya pengguna tepercaya yang boleh memiliki akses saat diperlukan. Perintah "RunAs" harus dibatasi, karena dapat menimbulkan risiko jika disalahgunakan.
Peninjauan akun rutin dan audit ketat memastikan bahwa hanya personel yang berwenang yang memiliki hak istimewa, akun tidak dibagikan dan akses segera dicabut ketika tidak lagi diperlukan. Audit melacak operasi yang memiliki hak istimewa, memeriksa izin yang berlebihan dan menyelidiki aktivitas yang tidak biasa untuk merespons ancaman dengan cepat.
2. Hapus Akun
Saat anda memeriksa event log, anda akan melihat kolom Account Name yang mengarah ke nama akun yang sebenarnya. Dalam solusi ini, kita akan menghapus akun tersebut dan menambahkannya lagi nanti. Untuk melakukannya, anda dapat mengikuti langkah-langkah yang disebutkan di bawah ini.
- Tekan tombol Win + R, kemudian ketik control dan tekan Enter untuk membuka Control Panel.
- Di jendela Control Panel, ubah View by ke Large/Small icons dan pilih Credentials Manager.
- Di halaman berikutnya, pilih Windows Credentials.
- Selanjutnya, perluas user account yang tidak anda kenali atau tidak diperlukan lagi.
- Di menu drop-down, klik Remove untuk menghapus pengguna tersebut.
- Setelah selesai, anda perlu menambahkan akun.
Sekarang anda dapat memeriksanya kembali apakah masalahnya telah teratasi.
3. Audit Scheduled Tasks dengan Kredensial Tersimpan
Scheduled task yang dikonfigurasi dengan kredensial eksplisit (username/password) akan secara rutin memicu Event ID 4648 saat dijalankan. Jika kredensial yang disimpan out of date, tidak valid atau disusupi, task-task ini menyebabkan kegagalan logon berulang atau peringatan keamanan. Anda dapat mengikuti langkah-langkah yang dijelaskan dibawah ini untuk melakukan hal yang sama.
- Tekan tombol Win + R, kemudian ketik taskschd.msc dan tekan Enter untuk membuka Task Scheduler.
- Di jendela Task Scheduler, klik kanan pada scheduled task dan pilih Properties.
- Di jendela properties task, pilih tab General.
- Selanjutnya, pilih opsi Run whether user is logged on or not dan beri ceklist pada opsi Run with highest privileges.
- Kemudian, klik Change user or group.
- Anda perlu mengkonfigurasi ulang task untuk menghindari penyimpanan password dan beralih ke gMSA untuk operasi domain.
Sekarang anda dapat memeriksa apakah masalah telah teratasi.
4. Ubah Password WiFi
Jika perangkat anda terhubung ke jaringan Wi-Fi perusahaan/enterprise, misalnya WPA2-Enterprise, menggunakan kredensial eksplisit (username/password domain), Windows menyimpannya di Credential Manager. Ketika password berubah, misalnya, rotasi password domain, perangkat mungkin berulang kali mencoba autentikasi dengan kredensial lama, yang memicu Event ID 4648. Jadi, silakan ubah password WiFi dan lihat apakah itu membantu.
5. Nonaktifkan Remote Desktop
Saat anda melakukan RDP ke mesin menggunakan kredensial yang berbeda, maka Event ID 4648 mungkin muncul. Selain itu, pelaku kejahatan sering menyalahgunakan RDP untuk pergerakan lateral, yang menyebabkan event 4648 yang mencurigakan. Oleh karena itu, anda perlu memeriksa detail peristiwa 4648.
- Process Name: svchost.exe (with service TermService).
- Target Server Name: TERMSRV/<IP> (RDP protocol).
Dalam hal ini, menonaktifkan RDP akan menghentikan kejadian ini. Untuk melakukannya, anda dapat mengikuti salah satu dari dua metode berikut ini untuk menonaktifkan Remote Desktop.
Melalui Settings Windows:
- Tekan tombol Win + I untuk membuka Settings Windows.
- Di jendela Settings, pilih System di panel kiri dan klik Remote Desktop di panel kanan.
- Di halaman berikutnya, nonaktifkan Remote Desktop ke Off.
Melalui Registry Editor:
Anda perlu membackup registry anda sebelum mengikuti langkah-langkah dibawah ini.
- Tekan tombol Win + R, kemudian ketik regedit dan tekan Enter untuk membuka Registry Editor.
- Di jendela Registry Editor, telusuri jalur berikut dibawah ini.
- Di lokasi, klik dobel pada fDenyTSConnections di panel kanan.
- Di jendela edit value, ubah Value data-nya menjadi 1 dan klik OK.
- Setelah itu, tutup Registry Editor dan restart komputer anda.
Post a Comment for "Memperbaiki Event ID 4648, A logon was attempted using explicit credentials di Windows 11"