事件ID 4776,计算机尝试验证帐户的凭据

您是否注意到一系列安全日志事件ID4776(计算机尝试验证Windows事件查看器中帐户的凭据)?如果成功的话就没什么好担心的。但如果您看到多次尝试事件ID失败,则需要引起注意。您可以通过

您是否注意到一系列安全日志事件 ID 4776(计算机尝试验证Windows 事件查看器中帐户的凭据) ?如果成功的话就没什么好担心的。但如果您看到多次尝试事件 ID 失败,则需要引起注意。您可以通过未知的用户名或登录尝试、拼写错误的名称或有人尝试访问无效帐户来识别事件 ID 4776 故障。

但是,如果您看到事件 ID 4776 – 域控制器尝试验证帐户的凭据计算机尝试验证帐户的凭据,它会为您提供有关这些尝试的来源的一些关键详细信息。在这篇文章中,我们将讨论此消息的重要性。

事件 ID 4776 是什么?

事件 ID 4776 是域控制器 (DC) 或本地 SAM 中的日志事件,该域控制器已用作登录服务器,用于使用 NTLM (NT LAN Manager) 验证帐户的凭据。为域控制器、工作站和 Windows 服务器记录此事件。NTLM 是本地登录的默认验证系统。

每次在域控制器上进行登录尝试时,都会记录在 DC 中,并且一旦通过 NTLM 验证凭据(成功/失败),就会记录事件 ID 4776。此外,对于通过本地 SAM 帐户(服务器/workstation 验证凭据),事件 ID 4776 登录到本地计算机。

以下是事件 ID 4776 中包含的元素:

  • 身份验证包– “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”。
  • 登录帐户– 尝试登录的用户或计算机的帐户名。登录帐户也可以是众所周知的安全原则。
  • 源工作站– 这显示用于创建登录的客户端计算机名称。
  • 错误代码  – 指示验证是成功还是失败。如果错误代码显示 0x0,则表示凭据已成功验证。如果不是 0x0,则表示凭据未经过验证。在这种情况下,该字段将显示身份验证失败 – 事件 ID 4776 (F)

事件 ID 4776,计算机尝试验证帐户的凭据

虽然事件日志 4776 的失败尝试可能并不总是令人担忧,但有时,它可能会引起担忧,例如彩虹攻击。遇到这种情况,您可以按照以下步骤排查问题:

1]通过 NTLM 进行 Windows 安全日志事件 ID 4776 验证

3]检查附带的错误代码

随附的错误代码将指示您必须排除故障的方向。

错误代码描述
0xC0000064您输入的用户名不存在。用户名错误。
0xC000006A使用拼写错误或密码错误的帐户登录。
0xC000006D– 一般登录失败。
造成这种情况的一些潜在原因:
使用了无效的用户名和/或密码
源计算机和目标计算机之间的 LAN Manager 身份验证级别不匹配。
0xC000006F在授权时间之外登录帐户。
0xC0000070从未经授权的工作站登录帐户。
0xC0000071使用过期密码登录帐户。
0xC0000072帐户登录已被管理员禁用的帐户。
0xC0000193使用过期帐户登录帐户。
0xC0000224带有“下次登录时更改密码”标记的帐户登录。
0xC0000234帐户登录且帐户已锁定。
0xC0000371本地帐户存储不包含指定帐户的秘密材料。
0x0没有错误。

以下是有关Microsoft的 Windows 安全日志事件 ID 4776 的更多信息。

事件 ID 4776 和 4624 有什么区别?

事件 ID 4776 表示由于密码或 ID 不正确而导致登录尝试失败,帐户被锁定,而事件 ID 4624 表示登录成功。当域控制器可访问时,您可以看到 Windows 安全日志事件 ID 4776,而当本地计算机中保留凭据或系统无法访问域控制器时,会出现 4624。

Kerberos 身份验证失败的事件 ID 是什么?

Kerberos 身份验证错误会触发事件 ID 4771。它会在 Windows 中注册当 Kerberos 的用户预验证尝试失败时发生的安全审核日志消息。此消息通知用户和计算机身份验证失败的原因。

本文内容由互联网用户自发贡献,该文观点仅代表作者本人,本站仅供展示。如发现本站有涉嫌抄袭侵权/违法违规的内容,请发送邮件至 97552693@qq.com 举报,一经查实,本站将立刻删除。

给TA打赏
共{{data.count}}人
人已打赏
电脑

惠普彩色LaserJet Pro MFP 4301fdw评测

2024-2-5 15:35:34

电脑

修复Google Chrome右键菜单中缺少翻译为英语的问题

2024-2-5 15:35:36

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索