事件 ID 4776,電腦嘗試驗證帳戶的憑證

事件 ID 4776,電腦嘗試驗證帳戶的憑證

您是否注意到一系列安全性日誌事件 ID 4776(電腦嘗試驗證Windows 事件檢視器中帳戶的憑證) ?如果成功的話就沒什麼好擔心的。但如果您看到多次嘗試事件 ID 失敗,則需要注意。您可以透過未知的使用者名稱或登入嘗試、拼字錯誤的名稱或有人嘗試存取無效帳戶來識別事件 ID 4776 故障。

Windows 安全性日誌事件 ID 4776

但是,如果您看到事件 ID 4776 – 網域控制器嘗試驗證帳戶的憑證電腦嘗試驗證帳戶的憑證,它會為您提供有關這些嘗試的來源的一些關鍵詳細資訊。在這篇文章中,我們將討論此訊息的重要性。

事件 ID 4776 是什麼?

事件 ID 4776 是網域控制站 (DC) 或本機 SAM 中的日誌事件,該網域控制站已用作登入伺服器,用於使用 NTLM (NT LAN Manager) 驗證帳戶的憑證。為網域控制站、工作站和 Windows 伺服器記錄此事件。NTLM 是本機登入的預設驗證系統。

每次在網域控制站上進行登入嘗試時,都會記錄在 DC 中,並且一旦透過 NTLM 驗證憑證(成功/失敗),就會記錄事件 ID 4776。此外,對於透過本機 SAM 帳戶(伺服器/workstation 驗證憑證),事件ID 4776 登入本機。

以下是事件 ID 4776 中包含的元素:

  • 身份驗證包– “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”。
  • 登入帳戶– 嘗試登入的使用者或電腦的帳戶名稱。登入帳戶也可以是眾所周知的安全原則。
  • 來源工作站– 這顯示用於建立登入的客戶端電腦名稱。
  • 錯誤代碼– 指示驗證是成功還是失敗。如果錯誤代碼顯示 0x0,則表示憑證已成功驗證。如果不是 0x0,則表示憑證未經過驗證。在這種情況下,該欄位將顯示身份驗證失敗 – 事件 ID 4776 (F)

事件 ID 4776,電腦嘗試驗證帳戶的憑證

雖然事件日誌 4776 的失敗嘗試可能並不總是令人擔憂,但有時,它可能會引起擔憂,例如彩虹攻擊。遇到這種情況,您可以按照以下步驟排查問題:

1]透過 NTLM 進行 Windows 安全性日誌事件 ID 4776 驗證

如果透過 NTLM 完成驗證,您可以輕鬆找到使用者或工作站。

2]Windows安全性日誌事件ID 4776匿名驗證

但是,如果工作站嘗試從外部無名登錄,或看起來是假帳戶,則必須識別匿名工作站的來源。在這種情況下:

  • 在網域控制器上安裝封包嗅探器等第三方工具,以擷取這些事件的流量。或者,您可以使用網路偵錯器或 DCDiag 來尋找來源。
  • 檢查您或系統管理員是否已為使用者開啟 RDP(連接埠 3389)以及用於驗證憑證的 Kerberos。如果 RDP 已開啟,您可以使用防火牆或 VPN 來允許來自外部的授權嘗試。

3]檢查附帶的錯誤代碼

隨附的錯誤代碼將指示您必須排除故障的方向。

錯誤代碼 描述
0xC0000064 您輸入的使用者名稱不存在。使用者名稱錯誤。
0xC000006A 使用拼字錯誤或密碼錯誤的帳號登入。
0xC000006D – 一般登入失敗。造成此問題的一些潛在原因: 使用了無效的使用者名稱和/或密碼 來源電腦和目標電腦之間的 LAN Manager 驗證等級不符。
0xC000006F 在授權時間之外登入帳戶。
0xC0000070 從未經授權的工作站登入帳戶。
0xC0000071 使用過期密碼登入帳號。
0xC0000072 帳號登入已被管理員停用的帳號。
0xC0000193 使用過期帳號登入帳號。
0xC0000224 帶有「下次登入時變更密碼」標記的帳號登入。
0xC0000234 帳戶登入且帳戶已鎖定。
0xC0000371 本機帳戶儲存不包含指定帳戶的秘密資料。
0x0 沒有錯誤。

以下是有關Microsoft的 Windows 安全性日誌事件 ID 4776 的更多資訊。

事件 ID 4776 和 4624 有什麼不同?

事件 ID 4776 表示由於密碼或 ID 不正確而導致登入嘗試失敗,帳戶被鎖定,而事件 ID 4624 表示登入成功。當網域控制站可存取時,您可以看到 Windows 安全性日誌事件 ID 4776,而當本機電腦中保留憑證或系統無法存取網域控制站時,會出現 4624。

Kerberos 驗證失敗的事件 ID 是什麼?

Kerberos 驗證錯誤會觸發事件 ID 4771。它會在 Windows 中註冊當 Kerberos 的使用者預先驗證嘗試失敗時發生的安全審核日誌訊息。此訊息通知使用者和電腦身份驗證失敗的原因。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *