Gebeurtenis-ID 4776, de computer heeft geprobeerd de referenties voor een account te valideren
Merkt u een reeks beveiligingslogboekgebeurtenis-ID 4776 op: de computer heeft geprobeerd de inloggegevens voor een account in de Windows Logboeken te valideren? Als het een succes is, hoeft u zich geen zorgen te maken. Maar het is een punt van zorg als u meerdere mislukte pogingen van de gebeurtenis-ID ziet. U kunt de fout bij gebeurtenis-ID 4776 identificeren met onbekende gebruikersnamen of inlogpogingen, verkeerd gespelde namen of wanneer iemand toegang probeert te krijgen tot dode accounts.
Maar als u Gebeurtenis-ID 4776 – De domeincontroller heeft geprobeerd de inloggegevens voor een account te valideren of De computer heeft geprobeerd de inloggegevens voor een account te valideren ziet staan , krijgt u enkele cruciale details over de bronnen van deze pogingen. In dit bericht bespreken we de betekenis van deze boodschap.
Wat is gebeurtenis-ID 4776?
Gebeurtenis-ID 4776 is een logboekgebeurtenis in de domeincontroller (DC) of lokale SAM die is gebruikt als aanmeldingsserver om de referenties van een account te verifiëren met behulp van NTLM (NT LAN Manager). Deze gebeurtenis wordt vastgelegd voor domeincontrollers, werkstations en Windows-servers. NTLM is het standaardverificatiesysteem voor lokale aanmelding.
Elke keer dat er een aanmeldingspoging is op een domeincontroller, wordt deze geregistreerd in DC en zodra de inloggegevens (succes/mislukt) worden geverifieerd via NTLM, wordt gebeurtenis-ID 4776 geregistreerd. Ook voor een aanmeldingspoging via een lokaal SAM-account (server /workstation verifieert referenties), wordt gebeurtenis-ID 4776 aangemeld op de lokale computer.
Hieronder staan de elementen die zijn opgenomen in gebeurtenis-ID 4776:
- Het authenticatiepakket – “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0” .
- Het aanmeldingsaccount – Accountnaam van de gebruiker of computer die heeft geprobeerd zich aan te melden. Een aanmeldingsaccount kan ook een bekend beveiligingsprincipe zijn.
- Het bronwerkstation – Hier wordt de computernaam van de client weergegeven die is gebruikt om de aanmelding te maken.
- Foutcode – Deze geeft aan of de verificatie een succes of een mislukking was. Als de foutcode 0x0 weergeeft, betekent dit dat de inloggegevens succesvol zijn gevalideerd. Als het niet 0x0 is, betekent dit dat de inloggegevens niet zijn gevalideerd. In dit geval wordt in het veld Authentication Failure – Event ID 4776 (F) weergegeven .
Gebeurtenis-ID 4776, de computer heeft geprobeerd de referenties voor een account te valideren
Hoewel een mislukte poging om een gebeurtenislogboek 4776 te verkrijgen niet altijd een reden tot zorg hoeft te zijn, kan het soms wel een reden tot bezorgdheid zijn, bijvoorbeeld bij een regenboogaanval. In een dergelijk geval kunt u de onderstaande stappen volgen om het probleem op te lossen:
1] Windows Security Log Event ID 4776-validatie via NTLM
Als de validatie via NTLM gebeurt, kunt u de gebruiker of het werkstation eenvoudig vinden.
2] Windows Beveiligingsloggebeurtenis-ID 4776 anonieme validatie
Maar als het werkstation probeert in te loggen van buitenaf zonder naam, of als het een nepaccount lijkt te zijn, moet u de bron van het anonieme werkstation identificeren. In dit geval:
- Installeer tools van derden, zoals een pakketsniffer, op de domeincontroller om het verkeer naast deze gebeurtenissen te onderscheppen. Of u kunt een netwerkfoutopsporing of DCDiag gebruiken om de bron te vinden.
- Controleer of u of de systeembeheerder de RDP (poort 3389) open heeft staan voor gebruikers en dat is Kerberos om de inloggegevens te valideren. Als de RDP open is, kunt u een firewall of een VPN gebruiken om geautoriseerde pogingen van buitenaf toe te staan.
3] Controleer de bijbehorende foutcode
De bijbehorende foutcode geeft aan in welke richting u het probleem moet oplossen.
Foutcode | Beschrijving |
---|---|
0xC0000064 | De gebruikersnaam die u heeft getypt bestaat niet. Slechte gebruikersnaam. |
0xC000006A | Accountaanmelding met een verkeerd gespeld of onjuist wachtwoord. |
0xC000006D | – Algemene aanmeldingsfout. Enkele mogelijke oorzaken hiervoor: Er is een ongeldige gebruikersnaam en/of wachtwoord gebruikt. Het authenticatieniveau van LAN Manager komt niet overeen tussen de bron- en doelcomputer. |
0xC000006F | Accountaanmelding buiten de toegestane uren. |
0xC0000070 | Accountaanmelding vanaf een ongeautoriseerd werkstation. |
0xC0000071 | Accountaanmelding met verlopen wachtwoord. |
0xC0000072 | Accountaanmelding bij account uitgeschakeld door de beheerder. |
0xC0000193 | Accountaanmelding met verlopen account. |
0xC0000224 | Accountaanmelding met ‘Wachtwoord wijzigen bij volgende aanmelding’ gemarkeerd. |
0xC0000234 | Accountaanmelding met account vergrendeld. |
0xC0000371 | Het lokale accountarchief bevat geen geheim materiaal voor het opgegeven account. |
0x0 | Geen fouten. |
Hier vindt u meer informatie over de Windows Security Log Event ID 4776 van Microsoft .
Wat is het verschil tussen gebeurtenis-ID 4776 en 4624?
Gebeurtenis-ID 4776 geeft een mislukte inlogpoging aan vanwege een onjuist wachtwoord of ID, waardoor het account is vergrendeld, terwijl gebeurtenis-ID 4624 een succesvolle aanmelding aangeeft. U kunt de Windows Security Log-gebeurtenis-ID 4776 zien wanneer de domeincontroller toegankelijk is, terwijl de 4624 optreedt wanneer inloggegevens zijn gereserveerd op de lokale machine of het systeem de domeincontroller niet kan bereiken.
Wat is de gebeurtenis-ID voor een mislukte Kerberos-verificatie?
De Kerberos-verificatiefout activeert gebeurtenis-ID 4771. Er wordt een beveiligingsauditlogboekbericht in Windows geregistreerd dat optreedt wanneer de pre-validatiepoging van de gebruiker door Kerberos mislukt. Dit bericht informeert de gebruiker en de computer over de reden voor de authenticatiefout.
Geef een reactie