Ereignis-ID 4776: Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen
Bemerken Sie eine Reihe von Sicherheitsprotokollereignissen mit der ID 4776: Der Computer hat versucht, die Anmeldeinformationen für ein Konto in der Windows-Ereignisanzeige zu überprüfen? Es besteht kein Grund zur Sorge, wenn es ein Erfolg wird. Es ist jedoch besorgniserregend, wenn mehrere fehlgeschlagene Versuche mit der Ereignis-ID angezeigt werden. Sie können den Fehler mit der Ereignis-ID 4776 an unbekannten Benutzernamen oder Anmeldeversuchen, falsch geschriebenen Namen oder daran erkennen, dass jemand versucht, auf ungültige Konten zuzugreifen.
Wenn Sie jedoch Ereignis-ID 4776 – Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu validieren oder Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu validieren sehen , erhalten Sie einige wichtige Details zu den Quellen dieser Versuche. In diesem Beitrag werden wir die Bedeutung dieser Nachricht diskutieren.
Was ist die Ereignis-ID 4776?
Die Ereignis-ID 4776 ist ein Protokollereignis im Domänencontroller (DC) oder lokalen SAM, der als Anmeldeserver verwendet wurde, um die Anmeldeinformationen eines Kontos mithilfe von NTLM (NT LAN Manager) zu überprüfen. Dieses Ereignis wird für Domänencontroller, Arbeitsstationen und Windows-Server protokolliert. NTLM ist das Standardverifizierungssystem für die lokale Anmeldung.
Jedes Mal, wenn ein Anmeldeversuch auf einem Domänencontroller erfolgt, wird dieser im DC aufgezeichnet und sobald er die Anmeldeinformationen (Erfolg/Fehler) über NTLM authentifiziert, protokolliert er die Ereignis-ID 4776. Auch für einen Anmeldeversuch über ein lokales SAM-Konto (Server). /workstation authentifiziert Anmeldeinformationen), wird die Ereignis-ID 4776 am lokalen Computer angemeldet.
Nachfolgend sind die Elemente aufgeführt, die in der Ereignis-ID 4776 enthalten sind:
- Das Authentifizierungspaket – „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0“ .
- Das Anmeldekonto – Kontoname des Benutzers oder Computers, der versucht hat, sich anzumelden. Auch ein Anmeldekonto kann ein bekanntes Sicherheitsprinzip sein.
- Die Quellarbeitsstation – Hier wird der Computername des Clients angezeigt, der zum Erstellen der Anmeldung verwendet wurde.
- Fehlercode – Dieser gibt an, ob die Überprüfung erfolgreich war oder fehlgeschlagen ist. Wenn der Fehlercode 0x0 anzeigt, bedeutet dies, dass die Anmeldeinformationen erfolgreich validiert wurden. Wenn es nicht 0x0 ist, bedeutet das, dass die Anmeldeinformationen nicht validiert wurden. In diesem Fall wird im Feld Authentifizierungsfehler – Ereignis-ID 4776 (F) angezeigt .
Ereignis-ID 4776: Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen
Während ein fehlgeschlagener Versuch für ein Ereignisprotokoll 4776 möglicherweise nicht immer Anlass zur Sorge gibt, kann es manchmal doch Anlass zur Sorge geben, beispielsweise bei einem Rainbow-Angriff. In einem solchen Fall können Sie die folgenden Schritte ausführen, um das Problem zu beheben:
1] Windows-Sicherheitsprotokoll-Ereignis-ID 4776-Validierung über NTLM
Wenn die Validierung über NTLM erfolgt, können Sie den Benutzer oder die Workstation leicht finden.
2] Anonyme Validierung des Windows-Sicherheitsprotokolls mit Ereignis-ID 4776
Wenn die Workstation jedoch versucht, sich von außen ohne Namen anzumelden, oder wenn es den Anschein hat, dass es sich um ein gefälschtes Konto handelt, müssen Sie die Quelle der anonymen Workstation identifizieren. In diesem Fall:
- Installieren Sie Tools von Drittanbietern wie einen Paket-Sniffer auf dem Domänencontroller, um den Datenverkehr neben diesen Ereignissen zu erfassen. Oder Sie können einen Netzwerk-Debugger oder DCDiag verwenden, um die Quelle zu finden.
- Überprüfen Sie, ob Sie oder der Systemadministrator RDP (Port 3389) für Benutzer geöffnet haben und das Kerberos zur Validierung der Anmeldeinformationen ist. Wenn das RDP geöffnet ist, können Sie entweder eine Firewall oder ein VPN verwenden, um autorisierte Versuche von außen zuzulassen.
3] Überprüfen Sie den zugehörigen Fehlercode
Der zugehörige Fehlercode gibt die Richtung an, in die Sie den Fehler beheben müssen.
| Fehlercode | Beschreibung |
|---|---|
| 0xC0000064 | Der von Ihnen eingegebene Benutzername existiert nicht. Schlechter Nutzername. |
| 0xC000006A | Kontoanmeldung mit einem falsch geschriebenen oder falschen Passwort. |
| 0xC000006D | – Allgemeiner Anmeldefehler. Einige der möglichen Ursachen dafür: Es wurde ein ungültiger Benutzername und/oder ein ungültiges Passwort verwendet. Die LAN Manager-Authentifizierungsebene stimmt nicht zwischen Quell- und Zielcomputern überein. |
| 0xC000006F | Kontoanmeldung außerhalb der autorisierten Zeiten. |
| 0xC0000070 | Kontoanmeldung von einem nicht autorisierten Arbeitsplatz aus. |
| 0xC0000071 | Kontoanmeldung mit abgelaufenem Passwort. |
| 0xC0000072 | Die Kontoanmeldung wurde vom Administrator deaktiviert. |
| 0xC0000193 | Kontoanmeldung mit abgelaufenem Konto. |
| 0xC0000224 | Kontoanmeldung mit der Markierung „Passwort bei nächster Anmeldung ändern“. |
| 0xC0000234 | Kontoanmeldung mit gesperrtem Konto. |
| 0xC0000371 | Der lokale Kontospeicher enthält kein geheimes Material für das angegebene Konto. |
| 0x0 | Keine Fehler. |
Hier erfahren Sie mehr über die Windows-Sicherheitsprotokoll-Ereignis-ID 4776 von Microsoft .
Was ist der Unterschied zwischen der Ereignis-ID 4776 und 4624?
Die Ereignis-ID 4776 weist auf einen fehlgeschlagenen Anmeldeversuch aufgrund eines falschen Passworts oder einer falschen ID hin. Das Konto ist gesperrt, während die Ereignis-ID 4624 auf eine erfolgreiche Anmeldung hinweist. Sie können die Windows-Sicherheitsprotokoll-Ereignis-ID 4776 sehen, wenn auf den Domänencontroller zugegriffen werden kann, während 4624 auftritt, wenn Anmeldeinformationen auf dem lokalen Computer reserviert sind oder das System den Domänencontroller nicht erreichen kann.
Wie lautet die Ereignis-ID für einen Kerberos-Authentifizierungsfehler?
Der Kerberos-Authentifizierungsfehler löst die Ereignis-ID 4771 aus. Er registriert eine Sicherheitsüberwachungsprotokollmeldung in Windows, die auftritt, wenn der Vorabvalidierungsversuch des Benutzers durch Kerberos fehlschlägt. Diese Meldung informiert den Benutzer und den Computer über den Grund für den Authentifizierungsfehler.
Schreibe einen Kommentar