Identyfikator zdarzenia 4776. Komputer próbował sprawdzić poświadczenia konta
Czy zauważasz serię zdarzeń w dzienniku zabezpieczeń o identyfikatorze 4776. Komputer próbował sprawdzić poświadczenia konta w Podglądzie zdarzeń systemu Windows? Nie ma się czym martwić, jeśli zakończy się sukcesem. Ale jest to niepokojące, jeśli zobaczysz kilka nieudanych prób identyfikatora zdarzenia. Awarię zdarzenia o identyfikatorze 4776 można zidentyfikować w przypadku nieznanych nazw użytkowników lub prób logowania, niepoprawnie wpisanych nazw lub gdy ktoś próbuje uzyskać dostęp do martwych kont.
Jeśli jednak zobaczysz zdarzenie o identyfikatorze 4776 – Kontroler domeny próbował sprawdzić poświadczenia konta lub Komputer próbował sprawdzić poświadczenia konta , dostarcza to pewnych krytycznych szczegółów dotyczących źródeł tych prób. W tym poście omówimy znaczenie tego przesłania.
Co to jest identyfikator zdarzenia 4776?
Zdarzenie o identyfikatorze 4776 to zdarzenie dziennika w kontrolerze domeny (DC) lub lokalnym SAM, które zostało użyte jako serwer logowania do weryfikacji poświadczeń konta przy użyciu protokołu NTLM (NT LAN Manager). To zdarzenie jest rejestrowane dla kontrolerów domeny, stacji roboczych i serwerów Windows. NTLM to domyślny system weryfikacji logowania lokalnego.
Za każdym razem, gdy następuje próba logowania na kontrolerze domeny, jest ona rejestrowana w DC, a po uwierzytelnieniu poświadczeń (powodzenie/niepowodzenie) za pośrednictwem protokołu NTLM rejestruje zdarzenie o identyfikatorze 4776. Również w przypadku próby logowania za pośrednictwem lokalnego konta SAM (serwera /workstation uwierzytelnia poświadczenia), zdarzenie o identyfikatorze 4776 jest logowane na komputerze lokalnym.
Poniżej znajdują się elementy zawarte w zdarzeniu o identyfikatorze 4776:
- Pakiet uwierzytelniający – „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0” .
- Konto logowania – nazwa konta użytkownika lub komputera, który próbował się zalogować. Konto logowania może być również dobrze znaną zasadą bezpieczeństwa.
- Źródłowa stacja robocza — pokazuje nazwę komputera klienta, która została użyta do utworzenia logowania.
- Kod błędu — wskazuje, czy weryfikacja zakończyła się sukcesem, czy niepowodzeniem. Jeśli kod błędu pokazuje 0x0, oznacza to, że poświadczenia zostały pomyślnie sprawdzone. Jeśli nie jest to 0x0, oznacza to, że poświadczenia nie zostały sprawdzone. W takim przypadku w polu zostanie wyświetlony komunikat Błąd uwierzytelnienia – identyfikator zdarzenia 4776 (F) .
Identyfikator zdarzenia 4776. Komputer próbował sprawdzić poświadczenia konta
Chociaż nieudana próba uzyskania dziennika zdarzeń 4776 może nie zawsze być powodem do zmartwień, czasami może być powodem do niepokoju, na przykład atak tęczy. W takim przypadku możesz wykonać poniższe kroki, aby rozwiązać problem:
1] Weryfikacja identyfikatora zdarzenia dziennika zabezpieczeń systemu Windows 4776 przez NTLM
Jeśli weryfikacja odbywa się za pomocą protokołu NTLM, można łatwo znaleźć użytkownika lub stację roboczą.
2] Anonimowa weryfikacja dziennika zabezpieczeń systemu Windows o identyfikatorze zdarzenia 4776
Jeśli jednak stacja robocza spróbuje zalogować się z zewnątrz bez nazwy lub jeśli będzie to fałszywe konto, należy zidentyfikować źródło anonimowej stacji roboczej. W tym przypadku:
- Zainstaluj narzędzia innych firm, takie jak sniffer pakietów, na kontrolerze domeny, aby przechwytywać ruch związany z tymi zdarzeniami. Możesz też użyć debugera sieciowego lub DCDiag, aby znaleźć źródło.
- Sprawdź, czy Ty lub administrator systemu macie otwarty protokół RDP (port 3389) dla użytkowników i czy jest to Kerberos do sprawdzania poświadczeń. Jeśli protokół RDP jest otwarty, możesz użyć zapory sieciowej lub VPN, aby umożliwić autoryzowane próby z zewnątrz.
3] Sprawdź dołączony kod błędu
Towarzyszący kod błędu wskaże kierunek, w którym należy rozwiązać problem.
| Kod błędu | Opis |
|---|---|
| 0xC0000064 | Wpisana nazwa użytkownika nie istnieje. Zła nazwa użytkownika. |
| 0xC000006A | Logowanie do konta z błędnie wpisanym lub złym hasłem. |
| 0xC000006D | – Ogólny błąd logowania. Niektóre z potencjalnych przyczyn: Użyto nieprawidłowej nazwy użytkownika i/lub hasła. Niezgodność poziomu uwierzytelnienia Menedżera LAN między komputerem źródłowym i docelowym. |
| 0xC000006F | Logowanie do konta poza wyznaczonymi godzinami. |
| 0xC0000070 | Logowanie do konta z nieautoryzowanej stacji roboczej. |
| 0xC0000071 | Logowanie do konta z wygasłym hasłem. |
| 0xC0000072 | Logowanie do konta wyłączone przez administratora. |
| 0xC0000193 | Logowanie do konta z wygasłym kontem. |
| 0xC0000224 | Logowanie do konta z zaznaczoną opcją „Zmień hasło przy następnym logowaniu”. |
| 0xC0000234 | Logowanie do konta przy zablokowanym koncie. |
| 0xC0000371 | Lokalny magazyn konta nie zawiera tajnych materiałów dla określonego konta. |
| 0x0 | Bez błędów. |
Oto więcej informacji na temat zdarzenia w dzienniku zabezpieczeń systemu Windows o identyfikatorze 4776 firmy Microsoft .
Jaka jest różnica między identyfikatorem zdarzenia 4776 a 4624?
Zdarzenie o identyfikatorze 4776 oznacza nieudaną próbę logowania z powodu nieprawidłowego hasła lub identyfikatora, konto jest zablokowane, natomiast zdarzenie o identyfikatorze 4624 oznacza pomyślne logowanie. W dzienniku zabezpieczeń systemu Windows można zobaczyć identyfikator zdarzenia 4776, gdy kontroler domeny jest dostępny, natomiast kod 4624 występuje, gdy poświadczenia są zarezerwowane na komputerze lokalnym lub system nie może połączyć się z kontrolerem domeny.
Jaki jest identyfikator zdarzenia niepowodzenia uwierzytelniania Kerberos?
Błąd uwierzytelniania Kerberos wyzwala zdarzenie o identyfikatorze 4771. Rejestruje on komunikat dziennika audytu zabezpieczeń w systemie Windows, który pojawia się, gdy próba wstępnej weryfikacji użytkownika przez protokół Kerberos nie powiedzie się. Komunikat ten informuje użytkownika i komputer o przyczynie niepowodzenia uwierzytelnienia.
Dodaj komentarz