您是否注意到一系列安全日志事件ID 4776,计算机试图在Windows事件查看器中验证帐户的凭据?如果成功了,没什么好担心的。但是,如果您看到多次尝试事件ID失败,则需要注意。您可以通过未知用户名或登录尝试、拼写错误的名称或有人试图访问死帐户来识别事件ID 4776失败。
但是,如果您看到事件ID 4776–域控制器尝试验证帐户的凭据或计算机尝试验证帐户凭据,它会为您提供有关这些尝试来源的一些关键详细信息。在这篇文章中,我们将讨论这条信息的意义。
什么是Event ID 4776?
事件ID 4776是域控制器(DC)或本地SAM中的日志事件,已用作登录服务器以使用NTLM(NT LAN Manager)验证帐户凭据。此事件记录在域控制器、工作站和Windows服务器上。NTLM是本地登录的默认验证系统。
每次在域控制器上进行登录尝试时,它都会记录在DC中,并且一旦它通过NTLM验证凭据(成功/失败),它就会记录事件ID 4776。此外,对于通过本地SAM帐户的登录尝试(服务器/工作站验证凭据),将事件ID 4776登录到本地机器。
以下是事件ID 4776中包含的元素:
- 身份验证包–“MICROSOFT_authentication_package_V1_0”。
- 登录帐户–尝试登录的用户或计算机的帐户名。登录帐户也可能是众所周知的安全原则。
- 源工作站–显示用于创建登录的客户端计算机名称。
- 错误代码–指示验证是成功还是失败。如果错误代码显示0x0,则表示凭据已成功验证。如果不是0x0,则表示凭据未经过验证。在这种情况下,该字段将显示Authentication Failure–Event ID 4776(F)。
事件ID 4776,计算机试图验证帐户的凭据
虽然对事件日志4776的失败尝试可能并不总是令人担忧的,但有时,它可能是令人担忧的原因,例如彩虹攻击。在这种情况下,您可以按照以下步骤进行故障排除:
1] 通过NTLM验证Windows安全日志事件ID 4776
如果验证是通过NTLM完成的,您可以很容易地找到用户或工作站。
阅读:Windows中缺少事件查看器
2] Windows安全日志事件ID 4776匿名验证
但是,如果工作站试图从外部匿名登录,或者它似乎是一个假帐户,则必须识别匿名工作站的来源。在这种情况下:
- 在域控制器上安装第三方工具,如数据包嗅探器,以获取这些事件的流量。或者,您可以使用网络调试器或DCDiag来查找源。
- 检查您或系统管理员是否为用户打开了RDP(端口3389),以及是否使用Kerberos验证凭据。如果RDP是打开的,您可以使用防火墙或VPN来允许从外部进行授权尝试。
3] 检查附带的错误代码
随附的错误代码将指示您必须进行故障诊断与排除的方向。
错误代码 | 描述 |
---|---|
0xC0000064 | 您键入的用户名不存在。用户名错误。 |
0xC000006A | 使用拼写错误或错误的密码登录帐户。 |
0xC000006D | –一般登录失败。造成这种情况的一些潜在原因:使用了无效的用户名和/或密码。源计算机和目标计算机之间的LAN Manager身份验证级别不匹配。 |
0xC000006F | 帐户在授权时间之外登录。 |
0xC0000070 | 从未经授权的工作站登录帐户。 |
0xC0000071 | 使用过期密码登录帐户。 |
0xC0000072 | 帐户登录到管理员禁用的帐户。 |
0xC0000193 | 使用过期帐户登录帐户。 |
0xC0000224 | 已标记“下次登录时更改密码”的帐户登录。 |
0xC0000234 | 帐户登录时帐户已锁定。 |
0xC0000371 | 本地帐户存储不包含指定帐户的机密材料。 |
0x0 | 没有错误。 |
以下是有关Microsoft的Windows安全日志事件ID 4776的详细信息。
阅读下一篇:用户配置文件服务事件ID 1500、1511、1530、1533、1534、1542
事件ID 4776和4624之间有什么区别?
事件ID 4776表示由于密码或ID不正确而导致登录尝试失败,帐户被锁定,而事件ID 4624表示登录成功。当域控制器可访问时,您可以看到Windows安全日志事件ID 4776,而当在本地计算机中保留凭据或系统无法访问域控制器时,会出现4624。
Kerberos身份验证失败的事件ID是什么?
The Kerberos authentication error triggers the Event ID 4771. It registers a security audit log message in Windows that occurs when the user’s pre-validation attempt by the Kerberos fails. This message informs the user and the computer about the reason for the authentication failure.