事件ID 4776,计算机试图验证帐户的凭据

2023年 11月 16日 407.5k 0

您是否注意到一系列安全日志事件ID 4776,计算机试图在Windows事件查看器中验证帐户的凭据?如果成功了,没什么好担心的。但是,如果您看到多次尝试事件ID失败,则需要注意。您可以通过未知用户名或登录尝试、拼写错误的名称或有人试图访问死帐户来识别事件ID 4776失败。

Windows Security Log Event ID 4776

但是,如果您看到事件ID 4776–域控制器尝试验证帐户的凭据或计算机尝试验证帐户凭据,它会为您提供有关这些尝试来源的一些关键详细信息。在这篇文章中,我们将讨论这条信息的意义。

什么是Event ID 4776?

事件ID 4776是域控制器(DC)或本地SAM中的日志事件,已用作登录服务器以使用NTLM(NT LAN Manager)验证帐户凭据。此事件记录在域控制器、工作站和Windows服务器上。NTLM是本地登录的默认验证系统。

每次在域控制器上进行登录尝试时,它都会记录在DC中,并且一旦它通过NTLM验证凭据(成功/失败),它就会记录事件ID 4776。此外,对于通过本地SAM帐户的登录尝试(服务器/工作站验证凭据),将事件ID 4776登录到本地机器。

以下是事件ID 4776中包含的元素:

  • 身份验证包–“MICROSOFT_authentication_package_V1_0”。
  • 登录帐户–尝试登录的用户或计算机的帐户名。登录帐户也可能是众所周知的安全原则。
  • 源工作站–显示用于创建登录的客户端计算机名称。
  • 错误代码–指示验证是成功还是失败。如果错误代码显示0x0,则表示凭据已成功验证。如果不是0x0,则表示凭据未经过验证。在这种情况下,该字段将显示Authentication Failure–Event ID 4776(F)。

事件ID 4776,计算机试图验证帐户的凭据

虽然对事件日志4776的失败尝试可能并不总是令人担忧的,但有时,它可能是令人担忧的原因,例如彩虹攻击。在这种情况下,您可以按照以下步骤进行故障排除:

1] 通过NTLM验证Windows安全日志事件ID 4776

如果验证是通过NTLM完成的,您可以很容易地找到用户或工作站。

阅读:Windows中缺少事件查看器

2] Windows安全日志事件ID 4776匿名验证

但是,如果工作站试图从外部匿名登录,或者它似乎是一个假帐户,则必须识别匿名工作站的来源。在这种情况下:

  • 在域控制器上安装第三方工具,如数据包嗅探器,以获取这些事件的流量。或者,您可以使用网络调试器或DCDiag来查找源。
  • 检查您或系统管理员是否为用户打开了RDP(端口3389),以及是否使用Kerberos验证凭据。如果RDP是打开的,您可以使用防火墙或VPN来允许从外部进行授权尝试。

3] 检查附带的错误代码

随附的错误代码将指示您必须进行故障诊断与排除的方向。

错误代码 描述
0xC0000064 您键入的用户名不存在。用户名错误。
0xC000006A 使用拼写错误或错误的密码登录帐户。
0xC000006D –一般登录失败。造成这种情况的一些潜在原因:使用了无效的用户名和/或密码。源计算机和目标计算机之间的LAN Manager身份验证级别不匹配。
0xC000006F 帐户在授权时间之外登录。
0xC0000070 从未经授权的工作站登录帐户。
0xC0000071 使用过期密码登录帐户。
0xC0000072 帐户登录到管理员禁用的帐户。
0xC0000193 使用过期帐户登录帐户。
0xC0000224 已标记“下次登录时更改密码”的帐户登录。
0xC0000234 帐户登录时帐户已锁定。
0xC0000371 本地帐户存储不包含指定帐户的机密材料。
0x0 没有错误。

以下是有关Microsoft的Windows安全日志事件ID 4776的详细信息。

阅读下一篇:用户配置文件服务事件ID 1500、1511、1530、1533、1534、1542

事件ID 4776和4624之间有什么区别?

事件ID 4776表示由于密码或ID不正确而导致登录尝试失败,帐户被锁定,而事件ID 4624表示登录成功。当域控制器可访问时,您可以看到Windows安全日志事件ID 4776,而当在本地计算机中保留凭据或系统无法访问域控制器时,会出现4624。

Kerberos身份验证失败的事件ID是什么?

The Kerberos authentication error triggers the Event ID 4771. It registers a security audit log message in Windows that occurs when the user’s pre-validation attempt by the Kerberos fails. This message informs the user and the computer about the reason for the authentication failure.

相关文章

服务器端口转发,带你了解服务器端口转发
服务器开放端口,服务器开放端口的步骤
产品推荐:7月受欢迎AI容器镜像来了,有Qwen系列大模型镜像
如何使用 WinGet 下载 Microsoft Store 应用
百度搜索:蓝易云 – 熟悉ubuntu apt-get命令详解
百度搜索:蓝易云 – 域名解析成功但ping不通解决方案

发布评论