Вы заметили серию событий журнала безопасности с кодом 4776: Компьютер попытался проверить учетные данные учетной записи в средстве просмотра событий Windows? Не о чем беспокоиться, если это удастся. Но это повод для беспокойства, если вы видите несколько неудачных попыток идентификатора события. Вы можете определить сбой события с кодом 4776 по неизвестным именам пользователей или попыткам входа в систему, неправильно написанным именам или когда кто-то пытается получить доступ к мертвым учетным записям.
Но если вы видите событие с кодом 4776 — Контроллер домена попытался проверить учетные данные для учетной записи или Компьютер попытался проверить учетные данные для учетной записи, это предоставит вам некоторые важные сведения об источниках этих попыток. В этом посте мы обсудим значение этого сообщения.
Что такое идентификатор события 4776?
Событие с кодом 4776 — это событие журнала на контроллере домена (DC) или локальном SAM, который использовался в качестве сервера входа в систему для проверки учетных данных учетной записи с помощью NTLM (NT LAN Manager). Это событие регистрируется для контроллеров домена, рабочих станций и серверов Windows. NTLM — это система проверки по умолчанию для локального входа.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Каждый раз, когда происходит попытка входа в систему на контроллере домена, она записывается в DC, и после проверки подлинности учетных данных (успех/неудача) через NTLM регистрируется событие с кодом 4776. Кроме того, для попытки входа в систему через локальную учетную запись SAM (сервер /workstation проверяет учетные данные), событие с кодом 4776 регистрируется на локальном компьютере.
Ниже приведены элементы, включенные в событие с кодом 4776:
- Пакет аутентификации – «MICROSOFT_AUTHENTICATION_PACKAGE_V1_0».
- Учетная запись для входа — имя учетной записи пользователя или компьютера, который пытался войти в систему. Учетная запись для входа также может быть хорошо известным принципом безопасности.
- Исходная рабочая станция. Здесь показано имя клиентского компьютера, которое использовалось для входа в систему.
- Код ошибки — указывает, была ли проверка успешной или неудачной. Если код ошибки показывает 0x0, это означает, что учетные данные были успешно проверены. Если это не 0x0, это означает, что учетные данные не были проверены. В этом случае в поле будет указано «Ошибка аутентификации — событие с кодом 4776 (F).
Код события 4776. Компьютер попытался проверить учетные данные учетной записи.
Хотя неудачная попытка создания журнала событий 4776 не всегда может вызывать беспокойство, иногда она может вызывать беспокойство, например, радужная атака. В таком случае вы можете выполнить следующие шаги для устранения проблемы:
1) Проверка события журнала безопасности Windows с идентификатором 4776 через NTLM
Если проверка выполняется через NTLM, вы можете легко найти пользователя или рабочую станцию.
Читайте: Просмотр событий отсутствует в Windows
2) Анонимная проверка события журнала безопасности Windows с идентификатором 4776.
Но если рабочая станция попытается войти в систему извне без имени или если окажется, что это поддельная учетная запись, вы должны определить источник анонимной рабочей станции. В этом случае:
- Установите сторонние инструменты, такие как анализатор пакетов, на контроллере домена, чтобы перехватывать трафик вместе с этими событиями. Или вы можете использовать сетевой отладчик или DCDiag, чтобы найти источник.
- Проверьте, открыт ли у вас или системного администратора RDP (порт 3389) для пользователей и используется ли Kerberos для проверки учетных данных. Если RDP открыт, вы можете использовать брандмауэр или VPN, чтобы разрешить авторизованные попытки извне.
3) Проверьте прилагаемый код ошибки.
Сопутствующий код ошибки укажет направление устранения неполадок.
Код ошибкиОписание0xC0000064Введенное вами имя пользователя не существует. Неверное имя пользователя. 0xC000006A Вход в учетную запись с ошибкой или неверным паролем. 0xC000006D — общий сбой входа в систему.
Некоторые из возможных причин этого:
Было использовано неверное имя пользователя и/или пароль.
Несоответствие уровня аутентификации LAN Manager между исходным и целевым компьютерами.0xC000006FВход в учетную запись в неавторизованные часы.0xC0000070Вход в учетную запись с неавторизованной рабочей станции.0xC0000071Вход в учетную запись с истекшим паролем.0xC0000072Вход в учетную запись в учетную запись отключен администратором.0xC0000193Вход в учетную запись с истекшим сроком действия учетной записи.0xC00002 24Вход в учетную запись с помощью «Изменить Пароль при следующем входе в систему». 0xC0000234 Вход в учетную запись с заблокированной учетной записью. 0xC0000371 Локальное хранилище учетных записей не содержит секретных материалов для указанной учетной записи. 0x0 Ошибок нет.
Подробнее о событии журнала безопасности Windows с кодом 4776 см. Майкрософт.
Читать далее: Идентификаторы событий службы профилей пользователей 1500, 1511, 1530, 1533, 1534, 1542
В чем разница между событиями с идентификатором 4776 и 4624?
Событие с кодом 4776 указывает на неудачную попытку входа в систему из-за неправильного пароля или идентификатора, учетная запись заблокирована, а событие с идентификатором 4624 указывает на успешный вход. Вы можете увидеть событие журнала безопасности Windows с кодом 4776, когда контроллер домена доступен, а событие 4624 возникает, когда учетные данные зарезервированы на локальном компьютере или система не может связаться с контроллером домена.
Каков идентификатор события сбоя аутентификации Kerberos?
Ошибка аутентификации Kerberos вызывает событие с кодом 4771. Оно регистрирует сообщение журнала аудита безопасности в Windows, которое возникает, когда попытка предварительной проверки пользователя Kerberos не удалась. Это сообщение информирует пользователя и компьютер о причине сбоя аутентификации.
