您是否注意到一系列安全日志事件 ID 4776(计算机尝试验证Windows 事件查看器中帐户的凭据) ?如果成功的话就没什么好担心的。但如果您看到多次尝试事件 ID 失败,则需要引起注意。您可以通过未知的用户名或登录尝试、拼写错误的名称或有人尝试访问无效帐户来识别事件 ID 4776 故障。
但是,如果您看到事件 ID 4776 – 域控制器尝试验证帐户的凭据或计算机尝试验证帐户的凭据,它会为您提供有关这些尝试的来源的一些关键详细信息。在这篇文章中,我们将讨论此消息的重要性。
事件 ID 4776 是什么?
事件 ID 4776 是域控制器 (DC) 或本地 SAM 中的日志事件,该域控制器已用作登录服务器,用于使用 NTLM (NT LAN Manager) 验证帐户的凭据。为域控制器、工作站和 Windows 服务器记录此事件。NTLM 是本地登录的默认验证系统。
每次在域控制器上进行登录尝试时,都会记录在 DC 中,并且一旦通过 NTLM 验证凭据(成功/失败),就会记录事件 ID 4776。此外,对于通过本地 SAM 帐户(服务器/workstation 验证凭据),事件 ID 4776 登录到本地计算机。
以下是事件 ID 4776 中包含的元素:
- 身份验证包– “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”。
- 登录帐户– 尝试登录的用户或计算机的帐户名。登录帐户也可以是众所周知的安全原则。
- 源工作站– 这显示用于创建登录的客户端计算机名称。
- 错误代码 – 指示验证是成功还是失败。如果错误代码显示 0x0,则表示凭据已成功验证。如果不是 0x0,则表示凭据未经过验证。在这种情况下,该字段将显示身份验证失败 – 事件 ID 4776 (F)。
事件 ID 4776,计算机尝试验证帐户的凭据
虽然事件日志 4776 的失败尝试可能并不总是令人担忧,但有时,它可能会引起担忧,例如彩虹攻击。遇到这种情况,您可以按照以下步骤排查问题:
1]通过 NTLM 进行 Windows 安全日志事件 ID 4776 验证
3]检查附带的错误代码
随附的错误代码将指示您必须排除故障的方向。
错误代码 | 描述 |
---|---|
0xC0000064 | 您输入的用户名不存在。用户名错误。 |
0xC000006A | 使用拼写错误或密码错误的帐户登录。 |
0xC000006D | – 一般登录失败。 造成这种情况的一些潜在原因: 使用了无效的用户名和/或密码 源计算机和目标计算机之间的 LAN Manager 身份验证级别不匹配。 |
0xC000006F | 在授权时间之外登录帐户。 |
0xC0000070 | 从未经授权的工作站登录帐户。 |
0xC0000071 | 使用过期密码登录帐户。 |
0xC0000072 | 帐户登录已被管理员禁用的帐户。 |
0xC0000193 | 使用过期帐户登录帐户。 |
0xC0000224 | 带有“下次登录时更改密码”标记的帐户登录。 |
0xC0000234 | 帐户登录且帐户已锁定。 |
0xC0000371 | 本地帐户存储不包含指定帐户的秘密材料。 |
0x0 | 没有错误。 |
以下是有关Microsoft的 Windows 安全日志事件 ID 4776 的更多信息。
事件 ID 4776 和 4624 有什么区别?
事件 ID 4776 表示由于密码或 ID 不正确而导致登录尝试失败,帐户被锁定,而事件 ID 4624 表示登录成功。当域控制器可访问时,您可以看到 Windows 安全日志事件 ID 4776,而当本地计算机中保留凭据或系统无法访问域控制器时,会出现 4624。
Kerberos 身份验证失败的事件 ID 是什么?
Kerberos 身份验证错误会触发事件 ID 4771。它会在 Windows 中注册当 Kerberos 的用户预验证尝试失败时发生的安全审核日志消息。此消息通知用户和计算机身份验证失败的原因。