事件ID 4776,计算机尝试验证帐户的凭据 _生活百科

您是否注意到一系列安全日志事件 ID 4776（计算机尝试验证Windows 事件查看器中帐户的凭据）？如果成功的话就没什么好担心的。但如果您看到多次尝试事件 ID 失败，则需要引起注意。您可以通过未知的用户名或登录尝试、拼写错误的名称或有人尝试访问无效帐户来识别事件 ID 4776 故障。
但是，如果您看到事件 ID 4776 – 域控制器尝试验证帐户的凭据或计算机尝试验证帐户的凭据，它会为您提供有关这些尝试的来源的一些关键详细信息。在这篇文章中，我们将讨论此消息的重要性。
事件 ID 4776 是什么？事件 ID 4776 是域控制器 (DC) 或本地 SAM 中的日志事件，该域控制器已用作登录服务器，用于使用 NTLM (NT LAN Manager) 验证帐户的凭据。为域控制器、工作站和 Windows 服务器记录此事件。NTLM 是本地登录的默认验证系统。
每次在域控制器上进行登录尝试时，都会记录在 DC 中，并且一旦通过 NTLM 验证凭据（成功/失败），就会记录事件 ID 4776 。此外，对于通过本地 SAM 帐户（服务器/workstation 验证凭据），事件 ID 4776 登录到本地计算机。
以下是事件 ID 4776 中包含的元素：

身份验证包– “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0” 。
登录帐户– 尝试登录的用户或计算机的帐户名。登录帐户也可以是众所周知的安全原则。
源工作站– 这显示用于创建登录的客户端计算机名称。
错误代码– 指示验证是成功还是失败。如果错误代码显示 0x0，则表示凭据已成功验证。如果不是 0x0，则表示凭据未经过验证。在这种情况下，该字段将显示身份验证失败 – 事件 ID 4776 (F) 。

事件 ID 4776，计算机尝试验证帐户的凭据虽然事件日志 4776 的失败尝试可能并不总是令人担忧，但有时，它可能会引起担忧，例如彩虹攻击。遇到这种情况，您可以按照以下步骤排查问题：
1]通过 NTLM 进行 Windows 安全日志事件 ID 4776 验证3]检查附带的错误代码随附的错误代码将指示您必须排除故障的方向。
错误代码描述0xC0000064您输入的用户名不存在。用户名错误。0xC000006A使用拼写错误或密码错误的帐户登录。0xC000006D– 一般登录失败。
造成这种情况的一些潜在原因：
使用了无效的用户名和/或密码
源计算机和目标计算机之间的 LAN Manager 身份验证级别不匹配。0xC000006F在授权时间之外登录帐户。0xC0000070从未经授权的工作站登录帐户。0xC0000071使用过期密码登录帐户。0xC0000072帐户登录已被管理员禁用的帐户。0xC0000193使用过期帐户登录帐户。0xC0000224带有“下次登录时更改密码”标记的帐户登录。0xC0000234帐户登录且帐户已锁定。0xC0000371本地帐户存储不包含指定帐户的秘密材料。0x0没有错误。以下是有关Microsoft的 Windows 安全日志事件 ID 4776 的更多信息。
事件 ID 4776 和 4624 有什么区别？【事件ID 4776,计算机尝试验证帐户的凭据】事件 ID 4776 表示由于密码或 ID 不正确而导致登录尝试失败，帐户被锁定，而事件 ID 4624 表示登录成功。当域控制器可访问时，您可以看到 Windows 安全日志事件 ID 4776 ，而当本地计算机中保留凭据或系统无法访问域控制器时，会出现 4624 。
Kerberos 身份验证失败的事件 ID 是什么？Kerberos 身份验证错误会触发事件 ID 4771 。它会在 Windows 中注册当 Kerberos 的用户预验证尝试失败时发生的安全审核日志消息。此消息通知用户和计算机身份验证失败的原因。