イベント ID 4776、コンピューターはアカウントの資格情報を検証しようとしました
Windows イベント ビューアで、一連のセキュリティ ログ イベント ID 4776、「コンピュータはアカウントの資格情報を検証しようとしました」に気づきましたか? 成功すれば何も心配する必要はありません。ただし、イベント ID の試行が複数回失敗した場合は、懸念すべき事項です。イベント ID 4776 の失敗は、不明なユーザー名またはログイン試行、名前のスペルが間違っている場合、または誰かが無効なアカウントにアクセスしようとしている場合に識別できます。
ただし、「イベント ID 4776 – ドメイン コントローラーがアカウントの資格情報を検証しようとしました」または「コンピューターがアカウントの資格情報を検証しようとしました」が表示される場合は、これらの試行の原因に関する重要な詳細が示されます。この記事では、このメッセージの重要性について説明します。
イベント ID 4776 とは何ですか?
イベント ID 4776 は、NTLM (NT LAN Manager) を使用してアカウントの資格情報を確認するためのログオン サーバーとして使用されたドメイン コントローラー (DC) またはローカル SAM のログ イベントです。このイベントは、ドメイン コントローラー、ワークステーション、および Windows サーバーに関して記録されます。NTLM は、ローカル ログオンのデフォルトの検証システムです。
ドメイン コントローラーでログオン試行が行われるたびに、それが DC に記録され、NTLM 経由で資格情報 (成功/失敗) が認証されると、イベント ID 4776 が記録されます。また、ローカル SAM アカウント (サーバー) を介したログオン試行の場合も、 /workstation は資格情報を認証します)、イベント ID 4776 でローカル マシンにログオンします。
イベント ID 4776 に含まれる要素は次のとおりです。
- 認証パッケージ– 「MICROSOFT_AUTHENTICATION_PACKAGE_V1_0」。
- ログオン アカウント– ログオンを試行したユーザーまたはコンピュータのアカウント名。ログオン アカウントは、よく知られたセキュリティ原則でもあります。
- ソース ワークステーション– ログオンの作成に使用されたクライアントのコンピュータ名が表示されます。
- エラー コード– これは、検証が成功したか失敗したかを示します。エラー コードが 0x0 を示す場合、資格情報が正常に検証されたことを意味します。0x0 でない場合は、資格情報が検証されなかったことを意味します。この場合、フィールドには「認証失敗 – イベント ID 4776 (F)」が表示されます。
イベント ID 4776、コンピューターはアカウントの資格情報を検証しようとしました
イベント ログ 4776 の失敗は常に心配の原因になるわけではありませんが、レインボー攻撃など、場合によっては心配の原因となることがあります。このような場合は、次の手順に従って問題をトラブルシューティングできます。
1] NTLM による Windows セキュリティ ログ イベント ID 4776 の検証
NTLM を通じて検証が行われる場合、ユーザーまたはワークステーションを簡単に見つけることができます。
2] Windows セキュリティ ログ イベント ID 4776 匿名検証
ただし、ワークステーションが名前を使用せずに外部からログオンしようとした場合、または偽のアカウントであると思われる場合は、匿名ワークステーションのソースを特定する必要があります。この場合:
- パケット スニファーなどのサードパーティ ツールをドメイン コントローラーにインストールして、これらのイベントとともにトラフィックを捕捉します。または、ネットワーク デバッガーまたは DCDiag を使用してソースを見つけることもできます。
- あなたまたはシステム管理者がユーザーに対して RDP (ポート 3389) を開いているかどうか、そしてそれが資格情報を検証するための Kerberos であるかどうかを確認してください。RDP が開いている場合は、ファイアウォールまたは VPN を使用して、外部からの承認された試行を許可できます。
3] 付随するエラーコードを確認してください
付随するエラー コードは、トラブルシューティングが必要な方向を示します。
| エラーコード | 説明 |
|---|---|
| 0xC0000064 | 入力したユーザー名は存在しません。悪いユーザー名。 |
| 0xC000006A | スペルが間違っているか、間違ったパスワードを使用してアカウントにログオンした場合。 |
| 0xC000006D | – 一般的なログオンの失敗。この考えられる原因のいくつかは次のとおりです。無効なユーザー名および/またはパスワードが使用された。ソース コンピューターとターゲット コンピューターの間で LAN Manager 認証レベルが一致しない。 |
| 0xC000006F | 許可された時間外にアカウントにログオンした。 |
| 0xC0000070 | 許可されていないワークステーションからのアカウント ログオン。 |
| 0xC0000071 | 有効期限が切れたパスワードを使用してアカウントにログオンします。 |
| 0xC0000072 | アカウントへのログオンは管理者によって無効にされています。 |
| 0xC0000193 | 有効期限が切れたアカウントでのアカウント ログオン。 |
| 0xC0000224 | 「次回ログオン時にパスワードを変更する」フラグを立ててアカウントにログオンします。 |
| 0xC0000234 | アカウントがロックされた状態でアカウントにログオンします。 |
| 0xC0000371 | ローカル アカウント ストアには、指定されたアカウントの秘密マテリアルが含まれていません。 |
| 0x0 | エラーはありません。 |
Microsoftの Windows セキュリティ ログ イベント ID 4776 の詳細は次のとおりです。
イベント ID 4776 と 4624 の違いは何ですか?
イベント ID 4776 は、パスワードまたは ID が間違っているためにアカウントがロックされているためにログイン試行が失敗したことを示し、イベント ID 4624 はログインの成功を示します。ドメイン コントローラーにアクセスできる場合は Windows セキュリティ ログ イベント ID 4776 が表示されますが、資格情報がローカル マシンに予約されている場合、またはシステムがドメイン コントローラーにアクセスできない場合は 4624 が発生します。
Kerberos 認証失敗のイベント ID は何ですか?
Kerberos 認証エラーにより、イベント ID 4771 がトリガーされます。これは、Kerberos によるユーザーの事前検証の試行が失敗したときに発生するセキュリティ監査ログ メッセージを Windows に登録します。このメッセージは、ユーザーとコンピュータに認証失敗の理由を通知します。
コメントを残す