事件ID 4776,计算机尝试验证帐户的凭据
您是否注意到一系列安全日志事件 ID 4776(计算机尝试验证Windows 事件查看器中帐户的凭据) ?如果成功的话就没什么好担心的。但如果您看到多次尝试事件 ID 失败,则需要引起注意。您可以通过未知的用户名或登录尝试、拼写错误的名称或有人尝试访问无效帐户来识别事件 ID 4776 故障。
但是,如果您看到事件 ID 4776 – 域控制器尝试验证帐户的凭据或计算机尝试验证帐户的凭据,它会为您提供有关这些尝试的来源的一些关键详细信息。在这篇文章中,我们将讨论此消息的重要性。
事件 ID 4776 是什么?
事件 ID 4776 是域控制器 (DC) 或本地 SAM 中的日志事件,该域控制器已用作登录服务器,用于使用 NTLM (NT LAN Manager) 验证帐户的凭据。为域控制器、工作站和 Windows 服务器记录此事件。NTLM 是本地登录的默认验证系统。
每次在域控制器上进行登录尝试时,都会记录在 DC 中,并且一旦通过 NTLM 验证凭据(成功/失败),就会记录事件 ID 4776。此外,对于通过本地 SAM 帐户(服务器/workstation 验证凭据),事件 ID 4776 登录到本地计算机。
以下是事件 ID 4776 中包含的元素:
- 身份验证包– “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”。
- 登录帐户– 尝试登录的用户或计算机的帐户名。登录帐户也可以是众所周知的安全原则。
- 源工作站– 这显示用于创建登录的客户端计算机名称。
- 错误代码 – 指示验证是成功还是失败。如果错误代码显示 0x0,则表示凭据已成功验证。如果不是 0x0,则表示凭据未经过验证。在这种情况下,该字段将显示身份验证失败 – 事件 ID 4776 (F)。
事件 ID 4776,计算机尝试验证帐户的凭据
虽然事件日志 4776 的失败尝试可能并不总是令人担忧,但有时,它可能会引起担忧,例如彩虹攻击。遇到这种情况,您可以按照以下步骤排查问题:
1]通过 NTLM 进行 Windows 安全日志事件 ID 4776 验证
3]检查附带的错误代码
随附的错误代码将指示您必须排除故障的方向。
| 错误代码 | 描述 |
|---|---|
| 0xC0000064 | 您输入的用户名不存在。用户名错误。 |
| 0xC000006A | 使用拼写错误或密码错误的帐户登录。 |
| 0xC000006D | – 一般登录失败。 造成这种情况的一些潜在原因: 使用了无效的用户名和/或密码 源计算机和目标计算机之间的 LAN Manager 身份验证级别不匹配。 |
| 0xC000006F | 在授权时间之外登录帐户。 |
| 0xC0000070 | 从未经授权的工作站登录帐户。 |
| 0xC0000071 | 使用过期密码登录帐户。 |
| 0xC0000072 | 帐户登录已被管理员禁用的帐户。 |
| 0xC0000193 | 使用过期帐户登录帐户。 |
| 0xC0000224 | 带有“下次登录时更改密码”标记的帐户登录。 |
| 0xC0000234 | 帐户登录且帐户已锁定。 |
| 0xC0000371 | 本地帐户存储不包含指定帐户的秘密材料。 |
| 0x0 | 没有错误。 |
以下是有关Microsoft的 Windows 安全日志事件 ID 4776 的更多信息。
事件 ID 4776 和 4624 有什么区别?
事件 ID 4776 表示由于密码或 ID 不正确而导致登录尝试失败,帐户被锁定,而事件 ID 4624 表示登录成功。当域控制器可访问时,您可以看到 Windows 安全日志事件 ID 4776,而当本地计算机中保留凭据或系统无法访问域控制器时,会出现 4624。
Kerberos 身份验证失败的事件 ID 是什么?
Kerberos 身份验证错误会触发事件 ID 4771。它会在 Windows 中注册当 Kerberos 的用户预验证尝试失败时发生的安全审核日志消息。此消息通知用户和计算机身份验证失败的原因。
以上是 事件ID 4776,计算机尝试验证帐户的凭据 的全部内容, 来源链接: www.tmjl8.com/smart/438602.html
