ID de evento 4776, o computador tentou validar as credenciais de uma conta
Você percebe uma série de ID de evento 4776 do log de segurança, O computador tentou validar as credenciais de uma conta no Visualizador de eventos do Windows? Não há nada com que se preocupar se for um sucesso. Mas é preocupante se você vir várias tentativas fracassadas do ID do evento. Você pode identificar a falha do Event ID 4776 com nomes de usuário desconhecidos ou tentativas de login, nomes escritos incorretamente ou quando alguém está tentando acessar contas inativas.
Mas se você vir Event ID 4776 – O controlador de domínio tentou validar as credenciais de uma conta ou O computador tentou validar as credenciais de uma conta , ele fornecerá alguns detalhes críticos sobre as fontes dessas tentativas. Neste post, discutiremos o significado desta mensagem.
O que é o ID do Evento 4776?
A ID de evento 4776 é um evento de log no Controlador de Domínio (DC) ou SAM local que foi usado como servidor de logon para verificar as credenciais de uma conta usando NTLM (NT LAN Manager). Este evento é registrado para controladores de domínio, estações de trabalho e servidores Windows. NTLM é o sistema de verificação padrão para logon local.
Cada vez que há uma tentativa de logon em um controlador de domínio, ela é registrada em DC e, depois de autenticar as credenciais (sucesso/falha) via NTLM, registra o ID do evento 4776. Além disso, para uma tentativa de logon por meio de uma conta SAM local (servidor /workstation autentica credenciais), o ID do evento 4776 está conectado à máquina local.
Abaixo estão os elementos incluídos no Event ID 4776:
- O pacote de autenticação – “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0” .
- A conta de logon – nome da conta do usuário ou computador que tentou fazer logon. Uma conta de logon também pode ser um princípio de segurança bem conhecido.
- A estação de trabalho de origem – mostra o nome do computador cliente que foi usado para criar o logon.
- Código de erro – Indica se a verificação foi um sucesso ou uma falha. Se o código de erro mostrar 0x0, isso significa que as credenciais foram validadas com sucesso. Se não for 0x0 significa que as credenciais não foram validadas. Neste caso, o campo mostrará Falha de Autenticação – Event ID 4776 (F) .
ID de evento 4776, o computador tentou validar as credenciais de uma conta
Embora uma tentativa fracassada de obter um log de eventos 4776 possa nem sempre ser motivo de preocupação, às vezes pode ser motivo de preocupação, por exemplo, um ataque arco-íris. Nesse caso, você pode seguir as etapas abaixo para solucionar o problema:
1] Validação do ID de evento 4776 do log de segurança do Windows via NTLM
Se a validação for feita através de NTLM, você poderá encontrar facilmente o usuário ou a estação de trabalho.
2] Validação anônima do ID de evento 4776 do log de segurança do Windows
Mas se a estação de trabalho tentar fazer logon de fora sem nome, ou se parecer ser uma conta falsa, você deverá identificar a origem da estação de trabalho anônima. Nesse caso:
- Instale ferramentas de terceiros, como um sniffer de pacotes, no controlador de domínio, para capturar o tráfego junto com esses eventos. Ou você pode usar um depurador de rede ou DCDiag para encontrar a fonte.
- Verifique se você ou o administrador do sistema tem o RDP (porta 3389) aberto para os usuários e se é o Kerberos para validar as credenciais. Se o RDP estiver aberto, você poderá usar um firewall ou VPN para permitir tentativas externas autorizadas.
3] Verifique o código de erro que acompanha
O código de erro que acompanha indicará a direção que você terá para solucionar o problema.
Erro de código | Descrição |
---|---|
0xC0000064 | O nome de usuário que você digitou não existe. Nome de usuário incorreto. |
0xC000006A | Login da conta com senha incorreta ou incorreta. |
0xC000006D | – Falha de logon genérico. Algumas das possíveis causas para isso: Foi usado um nome de usuário e/ou senha inválidos. Incompatibilidade de nível de autenticação do LAN Manager entre os computadores de origem e de destino. |
0xC000006F | Login na conta fora do horário autorizado. |
0xC0000070 | Logon da conta a partir de uma estação de trabalho não autorizada. |
0xC0000071 | Login da conta com senha expirada. |
0xC0000072 | Logon de conta desativado pelo administrador. |
0xC0000193 | Login de conta com conta expirada. |
0xC0000224 | Logon da conta com a sinalização “Alterar senha no próximo logon”. |
0xC0000234 | Login de conta com conta bloqueada. |
0xC0000371 | O armazenamento da conta local não contém material secreto para a conta especificada. |
0x0 | Sem erros. |
Aqui está mais sobre o ID de evento 4776 do log de segurança do Windows da Microsoft .
Qual é a diferença entre os IDs de evento 4776 e 4624?
O ID de evento 4776 indica uma tentativa de login malsucedida devido a uma senha ou ID incorreta de que a conta está bloqueada, enquanto o ID de evento 4624 indica um login bem-sucedido. Você pode ver o ID de evento 4776 do log de segurança do Windows quando o controlador de domínio está acessível, enquanto o 4624 ocorre quando as credenciais são reservadas na máquina local ou o sistema não consegue acessar o controlador de domínio.
Qual é o ID do evento para falha na autenticação Kerberos?
O erro de autenticação Kerberos aciona o ID de evento 4771. Ele registra uma mensagem de log de auditoria de segurança no Windows que ocorre quando a tentativa de pré-validação do usuário pelo Kerberos falha. Esta mensagem informa ao usuário e ao computador o motivo da falha de autenticação.
Deixe um comentário