事件ID 4776，计算机试图验证帐户的凭据

您是否注意到一系列安全日志事件ID 4776，计算机试图在Windows事件查看器中验证帐户的凭据？如果成功了，没什么好担心的。但是，如果您看到多次尝试事件ID失败，则需要注意。您可以通过未知用户名或登录尝试、拼写错误的名称或有人试图访问死帐户来识别事件ID 4776失败。

但是，如果您看到事件ID 4776–域控制器尝试验证帐户的凭据或计算机尝试验证帐户凭据，它会为您提供有关这些尝试来源的一些关键详细信息。在这篇文章中，我们将讨论这条信息的意义。

什么是Event ID 4776？

事件ID 4776是域控制器（DC）或本地SAM中的日志事件，已用作登录服务器以使用NTLM（NT LAN Manager）验证帐户凭据。此事件记录在域控制器、工作站和Windows服务器上。NTLM是本地登录的默认验证系统。

每次在域控制器上进行登录尝试时，它都会记录在DC中，并且一旦它通过NTLM验证凭据（成功/失败），它就会记录事件ID 4776。此外，对于通过本地SAM帐户的登录尝试（服务器/工作站验证凭据），将事件ID 4776登录到本地机器。

以下是事件ID 4776中包含的元素：

• 身份验证包–“MICROSOFT_authentication_package_V1_0”。
• 登录帐户–尝试登录的用户或计算机的帐户名。登录帐户也可能是众所周知的安全原则。
• 源工作站–显示用于创建登录的客户端计算机名称。
• 错误代码–指示验证是成功还是失败。如果错误代码显示0x0，则表示凭据已成功验证。如果不是0x0，则表示凭据未经过验证。在这种情况下，该字段将显示Authentication Failure–Event ID 4776（F）。

事件ID 4776，计算机试图验证帐户的凭据

虽然对事件日志4776的失败尝试可能并不总是令人担忧的，但有时，它可能是令人担忧的原因，例如彩虹攻击。在这种情况下，您可以按照以下步骤进行故障排除：

1] 通过NTLM验证Windows安全日志事件ID 4776

如果验证是通过NTLM完成的，您可以很容易地找到用户或工作站。

阅读：Windows中缺少事件查看器

2] Windows安全日志事件ID 4776匿名验证

但是，如果工作站试图从外部匿名登录，或者它似乎是一个假帐户，则必须识别匿名工作站的来源。在这种情况下：

• 在域控制器上安装第三方工具，如数据包嗅探器，以获取这些事件的流量。或者，您可以使用网络调试器或DCDiag来查找源。
• 检查您或系统管理员是否为用户打开了RDP（端口3389），以及是否使用Kerberos验证凭据。如果RDP是打开的，您可以使用防火墙或VPN来允许从外部进行授权尝试。

3] 检查附带的错误代码

随附的错误代码将指示您必须进行故障诊断与排除的方向。

以下是有关Microsoft的Windows安全日志事件ID 4776的详细信息。

阅读下一篇：用户配置文件服务事件ID 1500、1511、1530、1533、1534、1542

事件ID 4776和4624之间有什么区别？

事件ID 4776表示由于密码或ID不正确而导致登录尝试失败，帐户被锁定，而事件ID 4624表示登录成功。当域控制器可访问时，您可以看到Windows安全日志事件ID 4776，而当在本地计算机中保留凭据或系统无法访问域控制器时，会出现4624。

Kerberos身份验证失败的事件ID是什么？

The Kerberos authentication error triggers the Event ID 4771. It registers a security audit log message in Windows that occurs when the user’s pre-validation attempt by the Kerberos fails. This message informs the user and the computer about the reason for the authentication failure.