Windows-Ereignis 4776 – Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen

Einleitung

Ereignis 4776 wird immer dann protokolliert, wenn ein Domänencontroller (DC) versucht, die Zugangsdaten eines Kontos per NTLM über Kerberos zu bestätigen. Dieses Ereignis wird auch für Anmeldungsversuche am lokalen SAM-Konto in Workstations und Windows-Servern protokolliert, da NTLM die standardmäßige Authentifizierungsmethode für lokale Anmeldungen ist.

Erfolgreiche Authentifizierung – Ereignis 4776 (S)

Wenn die Zugangsdaten erfolgreich validiert wurden, protokolliert der authentifizierende Computer die Ereignis-ID mit dem Feld "Ergebniscode" gleich "0x0".

Fehlgeschlagene Authentifizierung – Ereignis 4776 (F)

Wenn der Authentifizierungscomputer die Zugangsdaten nicht bestätigen kann, wird das gleiche Ereignis 4776 protokolliert, aber mit dem Ergebniscode ungleich "0x0". (Hier sehen Sie alle Ergebniscodes.)

Im Fall von Anmeldungsversuchen bei Domänenkonten werden die Zugangsdaten vom DC bestätigt. Dementsprechend zeichnet der DC das Ereignis 4776 auf.

Bei Anmeldungsversuchen bei einem lokalen SAM-Konto werden die Zugangsdaten von der Workstation oder vom Mitgliedsserver bestätigt. Daher wird das Ereignis 4776 auf den lokalen Geräten aufgezeichnet.

Zur Kerberos-Authentifizierung gehören die Ereignis-IDs 4768, 4769 und 4771.

Auch wenn die Kerberos als Authentifizierungsmethode für Active-Directory-Umgebungen bevorzugt wird, verwenden manche Anwendungen doch NTLM

Hier ein paar häufige Fälle, in denen in einer Windows-Umgebung NTML statt Kerberos verwendet wird:

  • Wenn die Client-Authentifizierung durch eine IP-Adresse statt mit einem SPN (Service Principal Name) durchgeführt wird.
  • Wenn kein Kerberos-Vertrauen zwischen den Wäldern besteht.
  • Wenn eine Firewall den Kerberos-Port blockiert.

Ereignis 4776 – Der DC hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

windows-security-log-event-id-4776

Authentifizierungspaket: Dies ist immer „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0“.

Anmeldungskonto: Der Name des Kontos, das die Anmeldung versucht hat. Bei dem Konto kann es sich um ein Benutzerkonto, ein Computerkonto oder einen wohl bekannten Security Principal handeln (z. B. „Alle“ oder „Lokales System“).

Quell-Workstation: Der Name des Computers, von dem der Anmeldeversuch ausging

Fehlercode Beschreibung
C0000064 Diesen Benutzernamen gibt es nicht
C000006A Der Benutzername stimmt, aber das Passwort ist falsch
C0000234 Der Benutzer ist derzeit ausgesperrt
C0000072 Das Konto ist derzeit deaktiviert
C000006F Der Benutzer hat versucht, sich außerhalb der Beschränkungen für Wochentag oder Tageszeit anzumelden
C0000070 Der Benutzer hat versucht, sich von einer unbefugten Workstation anzumelden
C0000193 Der Benutzer hat versucht, sich mit einem abgelaufenen Konto anzumelden
C0000071 Der Benutzer hat versucht, sich mit einem veralteten Passwort anzumelden
C0000224 Der Benutzer muss bei der nächsten Anmeldung sein Passwort ändern
C0000225 Offensichtlich ein Bug in Windows und kein Risiko

Gründe zur Überwachung von Ereignis 4776

  • NTLM darf nur für lokale Anmeldungsversuche verwendet werden. Sie sollten Ereignis 4776 überwachen, um alle NTLM-Authentifizierungsversuche in Ihrer Domäne aufzulisten. Achten Sie dabei genau auf Ereignisse von Konten, die niemals NTLM zur Authentifizierung verwenden.
  • Wenn lokale Konten nur auf den entsprechenden Geräten verwendet werden sollen und niemals Netzwerk-Anmeldungen oder Remote-Desktop-Verbindungen verwenden, müssen Sie alle Ereignisse überwachen bei den die Quell-Workstation und der Computer verschiedene Werte aufweisen.
  • Überwachen Sie dieses Ereignis auf mehrere Anmeldeversuche mit falsch geschriebenem Benutzernamen in einer kurzen Zeitspanne, um nach Reverse-Brute-Force-, Password-Spray- und Enumeration-Angriffen zu suchen.
  • Überwachen Sie dieses Ereignis auf mehrere Anmeldeversuche mit falsch geschriebenem Passwort in einer kurzen Zeitspanne, um nach Brute-Force-Angriffen auf Ihr Netzwerk Ausschau zu halten.
  • Besonders bei Konten von hohem Wert können Anmeldungsversuche von nicht autorisierten Endpunkten oder Versuche außerhalb der Geschäftszeiten auf eine böswillige Absicht hindeuten.
  • Anmeldeversuchen von abgelaufenen, deaktivierten oder gesperrten Konten können auf die Absicht hindeuten, Ihr Netzwerk zu kompromittieren.

Wie bereits besprochen ist die Authentifizierung unter NTLM und NTLMv2 anfällig für zahlreiche böswillige Angriffe. Wenn Sie die NTLM-Authentifizierung aus Ihrer Umgebung eliminieren, können Sie Windows zwingen, sicherere Protokolle wie Kerberos Version 5 zu verwenden. Allerdings schlagen dadurch vielleicht verschiedene Authentifizierungsanfragen in der Domäne fehl, worunter die Produktivität leidet.

Wir empfehlen, die Sicherheitsprotokolle zunächst nach Instanzen der NTLM-Authentifizierung zu prüfen, um den NTLM-Traffic Ihrer Domänencontroller einschätzen zu können. Zwingen Sie dann Windows dazu, den NTLM-Traffic zu beschränken und sicherere Protokolle zu nutzen.

Warum eine Auditing-Lösung so wichtig ist

Audit-Lösungen wie ADAudit Plus bietet Echtzeitüberwachung, Verhaltensanalyse von Benutzern und Entitäten, und Berichte. Zusammengenommen gewährleisten diese Funktionen den Schutz Ihrer AD-Umgebung.

Echtzeitüberwachung rund um die Uhr

Es besteht die Möglichkeit, dem Sicherheitsprotokoll eine Aufgabe anzuhängen, und sich von Windows per E-Mail benachrichtigen zu lassen – das geht aber nur jedes Mal, wenn Ereignis 4776 erzeugt wird. Sie können unter Windows also nicht die notwendigen feinkörnigeren Filter anwenden, um die Sicherheitsempfehlungen einzuhalten.

Beispiel, Windows kann Ihnen jedes Mal eine E-Mail senden, wenn Ereignis 4776 erzeugt wird; es kann aber nicht nur Benachrichtigungen zu Versuchen senden, die von unbefugten Endpunkten stammen, außerhalb der Geschäftszeiten auftreten, oder mit abgelaufenen, deaktivierten oder gesperrten Konten erfolgen. Durch diese spezifischen Warnungen reduzieren Sie die Chance, dass kritische Benachrichtigungen in einem Haufen aus falsch-positiven Warnungen untergehen. Mit auf Schwellenwerten basierenden Warnungen behalten Sie alle Anzeichen böswilliger Aktivitäten in Ihrer Umgebung im Blick.

Mit einem Tool wie ADAudit Plus können Sie nicht nur feinkörnige Filter anwenden, um sich auf die echten Bedrohungen zu konzentrieren, sondern sich auch in Echtzeit per SMS benachrichtigen lassen.

Analyse von Benutzer- und Entitätsverhalten (UEBA)

Nutzen Sie fortschrittliche statistische Analysen und maschinelle Lerntechniken zur Erkennung anormalen Verhaltens in Ihrem Netzwerk.

Berichte für die Compliance

Sorgen Sie mit direkt einsatzbereiten Berichten für die Erfüllung von Compliance-Standards, wie SOX, HIPAA, PCI, FISMA, GLBA und der DSGVO.

Wahrhaft schlüsselfertig – einfacher geht es nicht

Wenn Sie ADAudit Plus herunterladen, können Sie sich bereits 30 Minuten später in Echtzeit benachrichtigen lassen. Mit mehr als 200 vorkonfigurierten Berichten und Warnungen sorgt ADAudit Plus in Ihrem Active Directory für Sicherheit und Compliance.

Jetzt kostenlos ausprobieren!

 

Die 8 kritischsten
Windows-Sicherheitsereignis-IDs

Per Klick auf „Kostenlosen Ratgeber herunterladen“ stimmen Sie der Verarbeitung personenbezogener Daten gemäßDatenschutzbestimmungen zu.