Ereignis 4776 wird immer dann protokolliert, wenn ein Domänencontroller (DC) versucht, die Zugangsdaten eines Kontos per NTLM über Kerberos zu bestätigen. Dieses Ereignis wird auch für Anmeldungsversuche am lokalen SAM-Konto in Workstations und Windows-Servern protokolliert, da NTLM die standardmäßige Authentifizierungsmethode für lokale Anmeldungen ist.
Wenn die Zugangsdaten erfolgreich validiert wurden, protokolliert der authentifizierende Computer die Ereignis-ID mit dem Feld "Ergebniscode" gleich "0x0".
Wenn der Authentifizierungscomputer die Zugangsdaten nicht bestätigen kann, wird das gleiche Ereignis 4776 protokolliert, aber mit dem Ergebniscode ungleich "0x0". (Hier sehen Sie alle Ergebniscodes.)
Im Fall von Anmeldungsversuchen bei Domänenkonten werden die Zugangsdaten vom DC bestätigt. Dementsprechend zeichnet der DC das Ereignis 4776 auf.
Bei Anmeldungsversuchen bei einem lokalen SAM-Konto werden die Zugangsdaten von der Workstation oder vom Mitgliedsserver bestätigt. Daher wird das Ereignis 4776 auf den lokalen Geräten aufgezeichnet.
Zur Kerberos-Authentifizierung gehören die Ereignis-IDs 4768, 4769 und 4771.
Auch wenn die Kerberos als Authentifizierungsmethode für Active-Directory-Umgebungen bevorzugt wird, verwenden manche Anwendungen doch NTLM
Hier ein paar häufige Fälle, in denen in einer Windows-Umgebung NTML statt Kerberos verwendet wird:
Authentifizierungspaket: Dies ist immer „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0“.
Anmeldungskonto: Der Name des Kontos, das die Anmeldung versucht hat. Bei dem Konto kann es sich um ein Benutzerkonto, ein Computerkonto oder einen wohl bekannten Security Principal handeln (z. B. „Alle“ oder „Lokales System“).
Quell-Workstation: Der Name des Computers, von dem der Anmeldeversuch ausging
Fehlercode | Beschreibung |
---|---|
C0000064 | Diesen Benutzernamen gibt es nicht |
C000006A | Der Benutzername stimmt, aber das Passwort ist falsch |
C0000234 | Der Benutzer ist derzeit ausgesperrt |
C0000072 | Das Konto ist derzeit deaktiviert |
C000006F | Der Benutzer hat versucht, sich außerhalb der Beschränkungen für Wochentag oder Tageszeit anzumelden |
C0000070 | Der Benutzer hat versucht, sich von einer unbefugten Workstation anzumelden |
C0000193 | Der Benutzer hat versucht, sich mit einem abgelaufenen Konto anzumelden |
C0000071 | Der Benutzer hat versucht, sich mit einem veralteten Passwort anzumelden |
C0000224 | Der Benutzer muss bei der nächsten Anmeldung sein Passwort ändern |
C0000225 | Offensichtlich ein Bug in Windows und kein Risiko |
Wie bereits besprochen ist die Authentifizierung unter NTLM und NTLMv2 anfällig für zahlreiche böswillige Angriffe. Wenn Sie die NTLM-Authentifizierung aus Ihrer Umgebung eliminieren, können Sie Windows zwingen, sicherere Protokolle wie Kerberos Version 5 zu verwenden. Allerdings schlagen dadurch vielleicht verschiedene Authentifizierungsanfragen in der Domäne fehl, worunter die Produktivität leidet.
Wir empfehlen, die Sicherheitsprotokolle zunächst nach Instanzen der NTLM-Authentifizierung zu prüfen, um den NTLM-Traffic Ihrer Domänencontroller einschätzen zu können. Zwingen Sie dann Windows dazu, den NTLM-Traffic zu beschränken und sicherere Protokolle zu nutzen.
Audit-Lösungen wie ADAudit Plus bietet Echtzeitüberwachung, Verhaltensanalyse von Benutzern und Entitäten, und Berichte. Zusammengenommen gewährleisten diese Funktionen den Schutz Ihrer AD-Umgebung.
Es besteht die Möglichkeit, dem Sicherheitsprotokoll eine Aufgabe anzuhängen, und sich von Windows per E-Mail benachrichtigen zu lassen – das geht aber nur jedes Mal, wenn Ereignis 4776 erzeugt wird. Sie können unter Windows also nicht die notwendigen feinkörnigeren Filter anwenden, um die Sicherheitsempfehlungen einzuhalten.
Mit einem Tool wie ADAudit Plus können Sie nicht nur feinkörnige Filter anwenden, um sich auf die echten Bedrohungen zu konzentrieren, sondern sich auch in Echtzeit per SMS benachrichtigen lassen.
Nutzen Sie fortschrittliche statistische Analysen und maschinelle Lerntechniken zur Erkennung anormalen Verhaltens in Ihrem Netzwerk.
Sorgen Sie mit direkt einsatzbereiten Berichten für die Erfüllung von Compliance-Standards, wie SOX, HIPAA, PCI, FISMA, GLBA und der DSGVO.
Wenn Sie ADAudit Plus herunterladen, können Sie sich bereits 30 Minuten später in Echtzeit benachrichtigen lassen. Mit mehr als 200 vorkonfigurierten Berichten und Warnungen sorgt ADAudit Plus in Ihrem Active Directory für Sicherheit und Compliance.