ID evento 4776: il computer ha tentato di convalidare le credenziali per un account
Noti una serie di ID evento 4776 del registro di sicurezza, Il computer ha tentato di convalidare le credenziali per un account nel Visualizzatore eventi di Windows? Non c’è nulla di cui preoccuparsi se è un successo. Ma è motivo di preoccupazione se vedi diversi tentativi falliti dell’ID evento. È possibile identificare l’errore dell’ID evento 4776 con nomi utente o tentativi di accesso sconosciuti, nomi digitati in modo errato o quando qualcuno tenta di accedere ad account non funzionanti.
Ma se vedi ID evento 4776 – Il controller di dominio ha tentato di convalidare le credenziali per un account o Il computer ha tentato di convalidare le credenziali per un account , ti fornisce alcuni dettagli critici riguardanti le origini di questi tentativi. In questo post discuteremo il significato di questo messaggio.
Cos’è l’ID evento 4776?
L’ID evento 4776 è un evento di registro nel controller di dominio (DC) o nel SAM locale utilizzato come server di accesso per verificare le credenziali di un account utilizzando NTLM (NT LAN Manager). Questo evento viene registrato per controller di dominio, workstation e server Windows. NTLM è il sistema di verifica predefinito per l’accesso locale.
Ogni volta che si verifica un tentativo di accesso su un controller di dominio, viene registrato in DC e una volta autenticate le credenziali (esito positivo/fallito) tramite NTLM, registra l’ID evento 4776. Inoltre, per un tentativo di accesso tramite un account SAM locale (server /workstation autentica le credenziali), l’ID evento 4776 è connesso al computer locale.
Di seguito sono riportati gli elementi inclusi nell’ID evento 4776:
- Il pacchetto di autenticazione : “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”.
- Account di accesso : nome dell’account dell’utente o del computer che ha tentato di accedere. Anche un account di accesso può essere un principio di sicurezza ben noto.
- La workstation di origine : mostra il nome del computer del client utilizzato per creare l’accesso.
- Codice errore : indica se la verifica è stata un successo o un fallimento. Se il codice di errore mostra 0x0, significa che le credenziali sono state convalidate con successo. Se non è 0x0 significa che le credenziali non sono state convalidate. In questo caso, il campo mostrerà Authentication Failure – Event ID 4776 (F) .
ID evento 4776: il computer ha tentato di convalidare le credenziali per un account
Anche se un tentativo fallito di un registro eventi 4776 potrebbe non essere sempre motivo di preoccupazione, a volte potrebbe essere motivo di preoccupazione, ad esempio un attacco arcobaleno. In tal caso, è possibile seguire i passaggi seguenti per risolvere il problema:
1] Convalida dell’ID evento 4776 del registro di sicurezza di Windows tramite NTLM
Se la convalida viene eseguita tramite NTLM, è possibile trovare facilmente l’utente o la workstation.
2] Convalida anonima dell’ID evento 4776 del registro di sicurezza di Windows
Ma se la workstation tenta di accedere dall’esterno senza nome, o se sembra che si tratti di un account falso, è necessario identificare la fonte della workstation anonima. In questo caso:
- Installa strumenti di terze parti come uno sniffer di pacchetti sul controller di dominio per intercettare il traffico insieme a questi eventi. In alternativa, puoi utilizzare un debugger di rete o DCDiag per trovare l’origine.
- Controlla se tu o l’amministratore di sistema avete l’RDP (porta 3389) aperto per gli utenti e se è Kerberos a convalidare le credenziali. Se l’RDP è aperto, puoi utilizzare un firewall o una VPN per consentire tentativi autorizzati dall’esterno.
3] Controllare il codice di errore associato
Il codice di errore associato indicherà la direzione in cui dovrai risolvere il problema.
| Codice di errore | Descrizione |
|---|---|
| 0xC0000064 | Il nome utente che hai digitato non esiste. Nome utente errato. |
| 0xC000006A | Accesso all’account con una password errata o errata. |
| 0xC000006D | – Errore di accesso generico. Alcune delle potenziali cause di ciò: è stato utilizzato un nome utente e/o una password non validi. Mancata corrispondenza del livello di autenticazione di LAN Manager tra i computer di origine e di destinazione. |
| 0xC000006F | Accesso all’account al di fuori degli orari autorizzati. |
| 0xC0000070 | Accesso all’account da una workstation non autorizzata. |
| 0xC0000071 | Accesso all’account con password scaduta. |
| 0xC0000072 | Accesso all’account disabilitato dall’amministratore. |
| 0xC0000193 | Accesso all’account con account scaduto. |
| 0xC0000224 | Accesso all’account con “Cambia password all’accesso successivo” contrassegnato. |
| 0xC0000234 | Accesso all’account con account bloccato. |
| 0xC0000371 | L’archivio dell’account locale non contiene materiale segreto per l’account specificato. |
| 0x0 | Nessun errore. |
Ulteriori informazioni sull’ID evento 4776 del registro di sicurezza di Windows di Microsoft .
Qual è la differenza tra l’ID evento 4776 e 4624?
L’ID evento 4776 indica un tentativo di accesso non riuscito a causa di una password o un ID errato e l’account è bloccato, mentre l’ID evento 4624 indica un accesso riuscito. È possibile visualizzare l’ID evento 4776 del registro di sicurezza di Windows quando il controller di dominio è accessibile, mentre il 4624 si verifica quando le credenziali sono riservate nel computer locale o il sistema non è in grado di raggiungere il controller di dominio.
Qual è l’ID evento per l’errore di autenticazione Kerberos?
L’errore di autenticazione Kerberos attiva l’ID evento 4771. Registra un messaggio di registro di controllo della sicurezza in Windows che si verifica quando il tentativo di preconvalida dell’utente da parte di Kerberos fallisce. Questo messaggio informa l’utente e il computer sul motivo dell’errore di autenticazione.
Lascia un commento