Gebeurtenis-ID 4776, de computer heeft geprobeerd de referenties voor een account te valideren

Gebeurtenis-ID 4776, de computer heeft geprobeerd de referenties voor een account te valideren

Merkt u een reeks beveiligingslogboekgebeurtenis-ID 4776 op: de computer heeft geprobeerd de inloggegevens voor een account in de Windows Logboeken te valideren? Als het een succes is, hoeft u zich geen zorgen te maken. Maar het is een punt van zorg als u meerdere mislukte pogingen van de gebeurtenis-ID ziet. U kunt de fout bij gebeurtenis-ID 4776 identificeren met onbekende gebruikersnamen of inlogpogingen, verkeerd gespelde namen of wanneer iemand toegang probeert te krijgen tot dode accounts.

Windows-beveiligingslogboekgebeurtenis-ID 4776

Maar als u Gebeurtenis-ID 4776 – De domeincontroller heeft geprobeerd de inloggegevens voor een account te valideren of De computer heeft geprobeerd de inloggegevens voor een account te valideren ziet staan , krijgt u enkele cruciale details over de bronnen van deze pogingen. In dit bericht bespreken we de betekenis van deze boodschap.

Wat is gebeurtenis-ID 4776?

Gebeurtenis-ID 4776 is een logboekgebeurtenis in de domeincontroller (DC) of lokale SAM die is gebruikt als aanmeldingsserver om de referenties van een account te verifiëren met behulp van NTLM (NT LAN Manager). Deze gebeurtenis wordt vastgelegd voor domeincontrollers, werkstations en Windows-servers. NTLM is het standaardverificatiesysteem voor lokale aanmelding.

Elke keer dat er een aanmeldingspoging is op een domeincontroller, wordt deze geregistreerd in DC en zodra de inloggegevens (succes/mislukt) worden geverifieerd via NTLM, wordt gebeurtenis-ID 4776 geregistreerd. Ook voor een aanmeldingspoging via een lokaal SAM-account (server /workstation verifieert referenties), wordt gebeurtenis-ID 4776 aangemeld op de lokale computer.

Hieronder staan ​​de elementen die zijn opgenomen in gebeurtenis-ID 4776:

  • Het authenticatiepakket – “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0” .
  • Het aanmeldingsaccount – Accountnaam van de gebruiker of computer die heeft geprobeerd zich aan te melden. Een aanmeldingsaccount kan ook een bekend beveiligingsprincipe zijn.
  • Het bronwerkstation – Hier wordt de computernaam van de client weergegeven die is gebruikt om de aanmelding te maken.
  • Foutcode – Deze geeft aan of de verificatie een succes of een mislukking was. Als de foutcode 0x0 weergeeft, betekent dit dat de inloggegevens succesvol zijn gevalideerd. Als het niet 0x0 is, betekent dit dat de inloggegevens niet zijn gevalideerd. In dit geval wordt in het veld Authentication Failure – Event ID 4776 (F) weergegeven .

Gebeurtenis-ID 4776, de computer heeft geprobeerd de referenties voor een account te valideren

Hoewel een mislukte poging om een ​​gebeurtenislogboek 4776 te verkrijgen niet altijd een reden tot zorg hoeft te zijn, kan het soms wel een reden tot bezorgdheid zijn, bijvoorbeeld bij een regenboogaanval. In een dergelijk geval kunt u de onderstaande stappen volgen om het probleem op te lossen:

1] Windows Security Log Event ID 4776-validatie via NTLM

Als de validatie via NTLM gebeurt, kunt u de gebruiker of het werkstation eenvoudig vinden.

2] Windows Beveiligingsloggebeurtenis-ID 4776 anonieme validatie

Maar als het werkstation probeert in te loggen van buitenaf zonder naam, of als het een nepaccount lijkt te zijn, moet u de bron van het anonieme werkstation identificeren. In dit geval:

  • Installeer tools van derden, zoals een pakketsniffer, op de domeincontroller om het verkeer naast deze gebeurtenissen te onderscheppen. Of u kunt een netwerkfoutopsporing of DCDiag gebruiken om de bron te vinden.
  • Controleer of u of de systeembeheerder de RDP (poort 3389) open heeft staan ​​voor gebruikers en dat is Kerberos om de inloggegevens te valideren. Als de RDP open is, kunt u een firewall of een VPN gebruiken om geautoriseerde pogingen van buitenaf toe te staan.

3] Controleer de bijbehorende foutcode

De bijbehorende foutcode geeft aan in welke richting u het probleem moet oplossen.

Foutcode Beschrijving
0xC0000064 De gebruikersnaam die u heeft getypt bestaat niet. Slechte gebruikersnaam.
0xC000006A Accountaanmelding met een verkeerd gespeld of onjuist wachtwoord.
0xC000006D – Algemene aanmeldingsfout. Enkele mogelijke oorzaken hiervoor: Er is een ongeldige gebruikersnaam en/of wachtwoord gebruikt. Het authenticatieniveau van LAN Manager komt niet overeen tussen de bron- en doelcomputer.
0xC000006F Accountaanmelding buiten de toegestane uren.
0xC0000070 Accountaanmelding vanaf een ongeautoriseerd werkstation.
0xC0000071 Accountaanmelding met verlopen wachtwoord.
0xC0000072 Accountaanmelding bij account uitgeschakeld door de beheerder.
0xC0000193 Accountaanmelding met verlopen account.
0xC0000224 Accountaanmelding met ‘Wachtwoord wijzigen bij volgende aanmelding’ gemarkeerd.
0xC0000234 Accountaanmelding met account vergrendeld.
0xC0000371 Het lokale accountarchief bevat geen geheim materiaal voor het opgegeven account.
0x0 Geen fouten.

Hier vindt u meer informatie over de Windows Security Log Event ID 4776 van Microsoft .

Wat is het verschil tussen gebeurtenis-ID 4776 en 4624?

Gebeurtenis-ID 4776 geeft een mislukte inlogpoging aan vanwege een onjuist wachtwoord of ID, waardoor het account is vergrendeld, terwijl gebeurtenis-ID 4624 een succesvolle aanmelding aangeeft. U kunt de Windows Security Log-gebeurtenis-ID 4776 zien wanneer de domeincontroller toegankelijk is, terwijl de 4624 optreedt wanneer inloggegevens zijn gereserveerd op de lokale machine of het systeem de domeincontroller niet kan bereiken.

Wat is de gebeurtenis-ID voor een mislukte Kerberos-verificatie?

De Kerberos-verificatiefout activeert gebeurtenis-ID 4771. Er wordt een beveiligingsauditlogboekbericht in Windows geregistreerd dat optreedt wanneer de pre-validatiepoging van de gebruiker door Kerberos mislukt. Dit bericht informeert de gebruiker en de computer over de reden voor de authenticatiefout.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *