事件 ID 4776,電腦嘗試驗證帳戶的憑證
您是否注意到一系列安全性日誌事件 ID 4776(電腦嘗試驗證Windows 事件檢視器中帳戶的憑證) ?如果成功的話就沒什麼好擔心的。但如果您看到多次嘗試事件 ID 失敗,則需要注意。您可以透過未知的使用者名稱或登入嘗試、拼字錯誤的名稱或有人嘗試存取無效帳戶來識別事件 ID 4776 故障。
但是,如果您看到事件 ID 4776 – 網域控制器嘗試驗證帳戶的憑證或電腦嘗試驗證帳戶的憑證,它會為您提供有關這些嘗試的來源的一些關鍵詳細資訊。在這篇文章中,我們將討論此訊息的重要性。
事件 ID 4776 是什麼?
事件 ID 4776 是網域控制站 (DC) 或本機 SAM 中的日誌事件,該網域控制站已用作登入伺服器,用於使用 NTLM (NT LAN Manager) 驗證帳戶的憑證。為網域控制站、工作站和 Windows 伺服器記錄此事件。NTLM 是本機登入的預設驗證系統。
每次在網域控制站上進行登入嘗試時,都會記錄在 DC 中,並且一旦透過 NTLM 驗證憑證(成功/失敗),就會記錄事件 ID 4776。此外,對於透過本機 SAM 帳戶(伺服器/workstation 驗證憑證),事件ID 4776 登入本機。
以下是事件 ID 4776 中包含的元素:
- 身份驗證包– “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”。
- 登入帳戶– 嘗試登入的使用者或電腦的帳戶名稱。登入帳戶也可以是眾所周知的安全原則。
- 來源工作站– 這顯示用於建立登入的客戶端電腦名稱。
- 錯誤代碼– 指示驗證是成功還是失敗。如果錯誤代碼顯示 0x0,則表示憑證已成功驗證。如果不是 0x0,則表示憑證未經過驗證。在這種情況下,該欄位將顯示身份驗證失敗 – 事件 ID 4776 (F)。
事件 ID 4776,電腦嘗試驗證帳戶的憑證
雖然事件日誌 4776 的失敗嘗試可能並不總是令人擔憂,但有時,它可能會引起擔憂,例如彩虹攻擊。遇到這種情況,您可以按照以下步驟排查問題:
1]透過 NTLM 進行 Windows 安全性日誌事件 ID 4776 驗證
如果透過 NTLM 完成驗證,您可以輕鬆找到使用者或工作站。
2]Windows安全性日誌事件ID 4776匿名驗證
但是,如果工作站嘗試從外部無名登錄,或看起來是假帳戶,則必須識別匿名工作站的來源。在這種情況下:
- 在網域控制器上安裝封包嗅探器等第三方工具,以擷取這些事件的流量。或者,您可以使用網路偵錯器或 DCDiag 來尋找來源。
- 檢查您或系統管理員是否已為使用者開啟 RDP(連接埠 3389)以及用於驗證憑證的 Kerberos。如果 RDP 已開啟,您可以使用防火牆或 VPN 來允許來自外部的授權嘗試。
3]檢查附帶的錯誤代碼
隨附的錯誤代碼將指示您必須排除故障的方向。
錯誤代碼 | 描述 |
---|---|
0xC0000064 | 您輸入的使用者名稱不存在。使用者名稱錯誤。 |
0xC000006A | 使用拼字錯誤或密碼錯誤的帳號登入。 |
0xC000006D | – 一般登入失敗。造成此問題的一些潛在原因: 使用了無效的使用者名稱和/或密碼 來源電腦和目標電腦之間的 LAN Manager 驗證等級不符。 |
0xC000006F | 在授權時間之外登入帳戶。 |
0xC0000070 | 從未經授權的工作站登入帳戶。 |
0xC0000071 | 使用過期密碼登入帳號。 |
0xC0000072 | 帳號登入已被管理員停用的帳號。 |
0xC0000193 | 使用過期帳號登入帳號。 |
0xC0000224 | 帶有「下次登入時變更密碼」標記的帳號登入。 |
0xC0000234 | 帳戶登入且帳戶已鎖定。 |
0xC0000371 | 本機帳戶儲存不包含指定帳戶的秘密資料。 |
0x0 | 沒有錯誤。 |
以下是有關Microsoft的 Windows 安全性日誌事件 ID 4776 的更多資訊。
事件 ID 4776 和 4624 有什麼不同?
事件 ID 4776 表示由於密碼或 ID 不正確而導致登入嘗試失敗,帳戶被鎖定,而事件 ID 4624 表示登入成功。當網域控制站可存取時,您可以看到 Windows 安全性日誌事件 ID 4776,而當本機電腦中保留憑證或系統無法存取網域控制站時,會出現 4624。
Kerberos 驗證失敗的事件 ID 是什麼?
Kerberos 驗證錯誤會觸發事件 ID 4771。它會在 Windows 中註冊當 Kerberos 的使用者預先驗證嘗試失敗時發生的安全審核日誌訊息。此訊息通知使用者和電腦身份驗證失敗的原因。
發佈留言