이벤트 ID 4776, 컴퓨터가 계정에 대한 자격 증명의 유효성을 검사하려고 했습니다.
일련의 보안 로그 이벤트 ID 4776이 표시됩니까? 컴퓨터가 Windows 이벤트 뷰어에서 계정에 대한 자격 증명의 유효성을 검사하려고 시도했습니까? 성공하면 걱정할 것이 없습니다. 그러나 이벤트 ID 시도가 여러 번 실패하면 문제가 됩니다. 알 수 없는 사용자 이름이나 로그인 시도, 철자가 틀린 이름 또는 누군가가 죽은 계정에 액세스하려고 할 때 이벤트 ID 4776 오류를 식별할 수 있습니다.
그러나 이벤트 ID 4776 – 도메인 컨트롤러가 계정에 대한 자격 증명의 유효성을 검사하려고 했습니다. 또는 컴퓨터가 계정에 대한 자격 증명의 유효성을 검사하려고 시도했습니다 . 이는 이러한 시도의 소스에 관한 몇 가지 중요한 세부 정보를 제공합니다. 이번 포스팅에서는 이 메시지의 의미에 대해 살펴보겠습니다.
이벤트 ID 4776이란 무엇입니까?
이벤트 ID 4776은 NTLM(NT LAN Manager)을 사용하여 계정의 자격 증명을 확인하기 위해 로그온 서버로 사용된 DC(도메인 컨트롤러) 또는 로컬 SAM의 로그 이벤트입니다. 이 이벤트는 도메인 컨트롤러, 워크스테이션 및 Windows 서버에 대해 기록됩니다. NTLM은 로컬 로그온을 위한 기본 확인 시스템입니다.
도메인 컨트롤러에 로그온 시도가 있을 때마다 DC에 기록되고 NTLM을 통해 자격 증명(성공/실패)을 인증하면 이벤트 ID 4776이 기록됩니다. 또한 로컬 SAM 계정(서버 /workstation이 자격 증명을 인증함) 이벤트 ID 4776이 로컬 컴퓨터에 로그온됩니다.
다음은 이벤트 ID 4776에 포함된 요소입니다.
- 인증 패키지 – “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0” .
- 로그온 계정 – 로그온을 시도한 사용자 또는 컴퓨터의 계정 이름입니다. 로그온 계정은 잘 알려진 보안 원칙일 수도 있습니다.
- 원본 워크스테이션 – 로그온을 생성하는 데 사용된 클라이언트의 컴퓨터 이름을 표시합니다.
- 오류 코드 – 확인이 성공했는지 실패했는지를 나타냅니다. 오류 코드에 0x0이 표시되면 자격 증명이 성공적으로 검증되었음을 의미합니다. 0x0이 아니면 자격 증명이 확인되지 않았음을 의미합니다. 이 경우 필드에는 인증 실패 – 이벤트 ID 4776(F)가 표시됩니다 .
이벤트 ID 4776, 컴퓨터가 계정에 대한 자격 증명의 유효성을 검사하려고 했습니다.
이벤트 로그 4776에 대한 시도 실패가 항상 걱정할 만한 것은 아니지만 때로는 레인보우 공격과 같은 우려의 원인이 될 수도 있습니다. 이러한 경우에는 아래 단계에 따라 문제를 해결할 수 있습니다.
1] NTLM을 통한 Windows 보안 로그 이벤트 ID 4776 유효성 검사
NTLM을 통해 유효성 검사를 수행하면 사용자나 워크스테이션을 쉽게 찾을 수 있습니다.
2] Windows 보안 로그 이벤트 ID 4776 익명 유효성 검사
그러나 워크스테이션이 이름 없이 외부에서 로그온을 시도하거나 가짜 계정으로 보이는 경우에는 익명 워크스테이션의 출처를 식별해야 합니다. 이 경우:
- 이러한 이벤트와 함께 트래픽을 포착하려면 도메인 컨트롤러에 패킷 스니퍼와 같은 타사 도구를 설치하십시오. 또는 네트워크 디버거나 DCDiag를 사용하여 소스를 찾을 수 있습니다.
- 귀하 또는 시스템 관리자가 사용자를 위해 RDP(포트 3389)를 열어 놓았는지, 자격 증명을 검증하기 위한 Kerberos인지 확인하십시오. RDP가 열려 있으면 방화벽이나 VPN을 사용하여 외부로부터의 인증된 시도를 허용할 수 있습니다.
3] 동반되는 에러코드를 확인하세요
함께 제공되는 오류 코드는 문제를 해결해야 하는 방향을 나타냅니다.
| 에러 코드 | 설명 |
|---|---|
| 0xC0000064 | 입력한 사용자 이름이 존재하지 않습니다. 사용자 이름이 잘못되었습니다. |
| 0xC000006A | 철자가 틀리거나 잘못된 비밀번호로 계정 로그온. |
| 0xC000006D | – 일반 로그온 실패. 이에 대한 몇 가지 잠재적 원인:잘못된 사용자 이름 및/또는 비밀번호가 사용되었습니다. 원본 컴퓨터와 대상 컴퓨터 간의 LAN Manager 인증 수준이 일치하지 않습니다. |
| 0xC000006F | 승인된 시간 외에 계정 로그온. |
| 0xC0000070 | 승인되지 않은 워크스테이션에서 계정 로그온. |
| 0xC0000071 | 만료된 비밀번호로 계정 로그온. |
| 0xC0000072 | 관리자가 비활성화한 계정에 대한 계정 로그온입니다. |
| 0xC0000193 | 만료된 계정으로 계정 로그온. |
| 0xC0000224 | “다음 로그온 시 비밀번호 변경”이 표시된 계정 로그온. |
| 0xC0000234 | 계정이 잠긴 상태로 계정 로그온. |
| 0xC0000371 | 로컬 계정 저장소에는 지정된 계정에 대한 비밀 자료가 포함되어 있지 않습니다. |
| 0x0 | 오류가 없습니다. |
다음은 Microsoft 의 Windows 보안 로그 이벤트 ID 4776에 대한 자세한 내용입니다 .
이벤트 ID 4776과 4624의 차이점은 무엇입니까?
이벤트 ID 4776은 계정이 잠긴 잘못된 비밀번호 또는 ID로 인해 로그인 시도가 실패했음을 나타내고, 이벤트 ID 4624는 로그인 성공을 나타냅니다. 도메인 컨트롤러에 액세스할 수 있으면 Windows 보안 로그 이벤트 ID 4776을 볼 수 있으며, 4624는 자격 증명이 로컬 컴퓨터에 예약되어 있거나 시스템이 도메인 컨트롤러에 연결할 수 없는 경우에 발생합니다.
Kerberos 인증 실패에 대한 이벤트 ID는 무엇입니까?
Kerberos 인증 오류는 이벤트 ID 4771을 트리거합니다. 이는 사용자의 Kerberos 사전 유효성 검사 시도가 실패할 때 발생하는 보안 감사 로그 메시지를 Windows에 등록합니다. 이 메시지는 사용자와 컴퓨터에 인증 실패 이유를 알려줍니다.
답글 남기기