ID de evento 4776, la computadora intentó validar las credenciales de una cuenta
¿Observa una serie de ID de evento de registro de seguridad 4776? La computadora intentó validar las credenciales de una cuenta en el Visor de eventos de Windows. No hay nada de qué preocuparse si es un éxito. Pero es motivo de preocupación si ve varios intentos fallidos del ID del evento. Puede identificar la falla del ID de evento 4776 con nombres de usuario desconocidos o intentos de inicio de sesión, nombres escritos incorrectamente o cuando alguien intenta acceder a cuentas inactivas.
Pero si ve el ID de evento 4776: El controlador de dominio intentó validar las credenciales de una cuenta o La computadora intentó validar las credenciales de una cuenta , le proporciona algunos detalles críticos sobre las fuentes de estos intentos. En esta publicación, discutiremos el significado de este mensaje.
¿Qué es el ID de evento 4776?
El ID de evento 4776 es un evento de registro en el controlador de dominio (DC) o SAM local que se ha utilizado como servidor de inicio de sesión para verificar las credenciales de una cuenta mediante NTLM (NT LAN Manager). Este evento se registra para controladores de dominio, estaciones de trabajo y servidores Windows. NTLM es el sistema de verificación predeterminado para el inicio de sesión local.
Cada vez que hay un intento de inicio de sesión en un controlador de dominio, se registra en DC y una vez que autentica las credenciales (éxito/fracaso) a través de NTLM, registra el ID de evento 4776. Además, para un intento de inicio de sesión a través de una cuenta SAM local (servidor /workstation autentica las credenciales), el ID de evento 4776 inicia sesión en la máquina local.
A continuación se muestran los elementos incluidos en el ID de evento 4776:
- El paquete de autenticación : “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”.
- La cuenta de inicio de sesión : nombre de la cuenta del usuario o computadora que intentó iniciar sesión. Una cuenta de inicio de sesión también puede ser un principio de seguridad bien conocido.
- La estación de trabajo de origen : muestra el nombre de la computadora del cliente que se utilizó para crear el inicio de sesión.
- Código de error : indica si la verificación fue exitosa o fallida. Si el código de error muestra 0x0, esto significa que las credenciales se validaron correctamente. Si no es 0x0 significa que las credenciales no fueron validadas. En este caso, el campo mostrará Error de autenticación – ID de evento 4776 (F) .
ID de evento 4776, la computadora intentó validar las credenciales de una cuenta
Si bien un intento fallido de un registro de eventos 4776 puede no ser siempre motivo de preocupación, a veces puede ser motivo de preocupación, por ejemplo, un ataque de arco iris. En tal caso, puede seguir los pasos a continuación para solucionar el problema:
1] Validación del ID de evento 4776 del registro de seguridad de Windows a través de NTLM
Si la validación se realiza a través de NTLM, podrá encontrar fácilmente al usuario o la estación de trabajo.
2] Validación anónima del ID de evento 4776 del registro de seguridad de Windows
Pero si la estación de trabajo intenta iniciar sesión desde afuera sin nombre, o si parece ser una cuenta falsa, debe identificar la fuente de la estación de trabajo anónima. En este caso:
- Instale herramientas de terceros, como un rastreador de paquetes, en el controlador de dominio para aprovechar el tráfico junto con estos eventos. O puede utilizar un depurador de red o DCDiag para encontrar la fuente.
- Compruebe si usted o el administrador del sistema tienen el RDP (puerto 3389) abierto para los usuarios y si Kerberos valida las credenciales. Si el RDP está abierto, puede utilizar un firewall o una VPN para permitir intentos autorizados desde el exterior.
3]Verifique el código de error adjunto
El código de error adjunto le indicará la dirección que deberá solucionar.
| Código de error | Descripción |
|---|---|
| 0xC0000064 | El nombre de usuario que usted escribió no existe. Nombre de usuario incorrecto. |
| 0xC000006A | Inicio de sesión de cuenta con una contraseña incorrecta o mal escrita. |
| 0xC000006D | – Error de inicio de sesión genérico. Algunas de las posibles causas de esto: Se utilizó un nombre de usuario y/o contraseña no válidos. El nivel de autenticación de LAN Manager no coincide entre las computadoras de origen y de destino. |
| 0xC000006F | Inicio de sesión de cuenta fuera del horario autorizado. |
| 0xC0000070 | Inicio de sesión de cuenta desde una estación de trabajo no autorizada. |
| 0xC0000071 | Inicio de sesión de cuenta con contraseña caducada. |
| 0xC0000072 | Inicio de sesión en cuenta deshabilitado por el administrador. |
| 0xC0000193 | Inicio de sesión de cuenta con cuenta caducada. |
| 0xC0000224 | Inicio de sesión de cuenta con «Cambiar contraseña en el próximo inicio de sesión» marcado. |
| 0xC0000234 | Inicio de sesión con cuenta bloqueada. |
| 0xC0000371 | El almacén de cuentas local no contiene material secreto para la cuenta especificada. |
| 0x0 | Sin errores. |
Aquí encontrará más información sobre el ID de evento 4776 del registro de seguridad de Windows de Microsoft .
¿Cuál es la diferencia entre el ID de evento 4776 y 4624?
El ID de evento 4776 indica un intento de inicio de sesión fallido debido a una contraseña o ID incorrectos, la cuenta está bloqueada, mientras que el ID de evento 4624 indica un inicio de sesión exitoso. Puede ver el ID de evento 4776 del registro de seguridad de Windows cuando se puede acceder al controlador de dominio, mientras que el 4624 ocurre cuando las credenciales están reservadas en la máquina local o el sistema no puede comunicarse con el controlador de dominio.
¿Cuál es el ID de evento para el error de autenticación Kerberos?
El error de autenticación de Kerberos desencadena el ID de evento 4771. Registra un mensaje de registro de auditoría de seguridad en Windows que se produce cuando falla el intento de validación previa del usuario por parte de Kerberos. Este mensaje informa al usuario y a la computadora sobre el motivo del error de autenticación.
Deja una respuesta