ID d’événement 4776, l’ordinateur a tenté de valider les informations d’identification d’un compte
Remarquez-vous une série d’ ID d’événement du journal de sécurité 4776, L’ordinateur a tenté de valider les informations d’identification d’un compte dans l’Observateur d’événements Windows ? Il n’y a pas de quoi s’inquiéter si c’est un succès. Mais c’est un sujet de préoccupation si vous constatez plusieurs tentatives infructueuses de l’ID d’événement. Vous pouvez identifier l’échec de l’ID d’événement 4776 avec des noms d’utilisateur ou des tentatives de connexion inconnus, des noms mal orthographiés ou lorsque quelqu’un tente d’accéder à des comptes morts.
Mais si vous voyez l’ID d’événement 4776 – Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte ou L’ordinateur a tenté de valider les informations d’identification d’un compte , il vous fournit des détails critiques concernant les sources de ces tentatives. Dans cet article, nous discuterons de la signification de ce message.
Qu’est-ce que l’ID d’événement 4776 ?
L’ID d’événement 4776 est un événement de journal dans le contrôleur de domaine (DC) ou le SAM local qui a été utilisé comme serveur de connexion pour vérifier les informations d’identification d’un compte à l’aide de NTLM (NT LAN Manager). Cet événement est enregistré pour les contrôleurs de domaine, les postes de travail et les serveurs Windows. NTLM est le système de vérification par défaut pour la connexion locale.
Chaque fois qu’il y a une tentative de connexion sur un contrôleur de domaine, il est enregistré dans DC et une fois qu’il authentifie les informations d’identification (succès/échec) via NTLM, il enregistre l’ID d’événement 4776. De plus, pour une tentative de connexion via un compte SAM local (serveur /workstation authentifie les informations d’identification), l’ID d’événement 4776 est connecté à la machine locale.
Vous trouverez ci-dessous les éléments inclus dans l’ID d’événement 4776 :
- Le package d’authentification – « MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 » .
- Le compte de connexion – Nom du compte de l’utilisateur ou de l’ordinateur qui a tenté de se connecter. Un compte de connexion peut également être un principe de sécurité bien connu.
- Le poste de travail source – Ceci affiche le nom de l’ordinateur du client qui a été utilisé pour créer la connexion.
- Code d’erreur – Ceci indique si la vérification a été un succès ou un échec. Si le code d’erreur indique 0x0, cela signifie que les informations d’identification ont été validées avec succès. Si ce n’est pas 0x0, cela signifie que les informations d’identification n’ont pas été validées. Dans ce cas, le champ affichera Échec d’authentification – ID d’événement 4776 (F) .
ID d’événement 4776, l’ordinateur a tenté de valider les informations d’identification d’un compte
Bien qu’une tentative échouée pour un journal d’événements 4776 ne soit pas toujours une source d’inquiétude, elle peut parfois être une source d’inquiétude, par exemple une attaque arc-en-ciel. Dans un tel cas, vous pouvez suivre les étapes ci-dessous pour résoudre le problème :
1] Validation de l’ID d’événement du journal de sécurité Windows 4776 via NTLM
Si la validation se fait via NTLM, vous pouvez retrouver facilement l’utilisateur ou le poste de travail.
2] Validation anonyme de l’ID d’événement du journal de sécurité Windows 4776
Mais si le poste de travail tente de se connecter de l’extérieur sans nom, ou s’il semble s’agir d’un faux compte, vous devez identifier la source du poste de travail anonyme. Dans ce cas:
- Installez des outils tiers comme un renifleur de paquets sur le contrôleur de domaine pour capturer le trafic parallèlement à ces événements. Vous pouvez également utiliser un débogueur réseau ou DCDiag pour trouver la source.
- Vérifiez si vous ou l’administrateur système avez ouvert le RDP (port 3389) pour les utilisateurs et qu’il s’agit de Kerberos pour valider les informations d’identification. Si le RDP est ouvert, vous pouvez utiliser un pare-feu ou un VPN pour autoriser les tentatives autorisées de l’extérieur.
3] Vérifiez le code d’erreur qui l’accompagne
Le code d’erreur qui l’accompagne indiquera la direction dans laquelle vous devrez dépanner.
Code d’erreur | Description |
---|---|
0xC0000064 | Le nom d’utilisateur que vous avez saisi n’existe pas. Mauvais nom d’utilisateur. |
0xC000006A | Connexion au compte avec un mot de passe mal orthographié ou incorrect. |
0xC000006D | – Échec de connexion générique. Certaines des causes potentielles de ceci : Un nom d’utilisateur et/ou un mot de passe non valide ont été utilisés. Incompatibilité du niveau d’authentification du gestionnaire LAN entre les ordinateurs source et cible. |
0xC000006F | Connexion au compte en dehors des heures autorisées. |
0xC0000070 | Connexion au compte à partir d’un poste de travail non autorisé. |
0xC0000071 | Connexion au compte avec mot de passe expiré. |
0xC0000072 | Connexion au compte désactivée par l’administrateur. |
0xC0000193 | Connexion au compte avec un compte expiré. |
0xC0000224 | Connexion au compte avec le message « Modifier le mot de passe à la prochaine connexion ». |
0xC0000234 | Connexion au compte avec compte verrouillé. |
0xC0000371 | Le magasin de comptes local ne contient aucun élément secret pour le compte spécifié. |
0x0 | Aucune erreur. |
En savoir plus sur l’ID d’événement du journal de sécurité Windows 4776 de Microsoft .
Quelle est la différence entre les ID d’événement 4776 et 4624 ?
L’ID d’événement 4776 indique une tentative de connexion échouée en raison d’un mot de passe ou d’un identifiant incorrect, le compte est verrouillé, tandis que l’ID d’événement 4624 indique une connexion réussie. Vous pouvez voir l’ID d’événement du journal de sécurité Windows 4776 lorsque le contrôleur de domaine est accessible, tandis que le 4624 se produit lorsque les informations d’identification sont réservées sur la machine locale ou que le système ne parvient pas à atteindre le contrôleur de domaine.
Quel est l’ID d’événement en cas d’échec de l’authentification Kerberos ?
L’erreur d’authentification Kerberos déclenche l’ID d’événement 4771. Elle enregistre un message du journal d’audit de sécurité dans Windows qui se produit lorsque la tentative de pré-validation de l’utilisateur par Kerberos échoue. Ce message informe l’utilisateur et l’ordinateur de la raison de l’échec de l’authentification.
Laisser un commentaire