Hændelse-ID 4776 logges, når en domænecontroller (DC) forsøger at validere legitimationsoplysningerne for en konto ved hjælp af NTLM over Kerberos. Denne hændelse logges også for logonforsøg til den lokale SAM-konto på arbejdsstationer og Windows-servere, da NTLM er standardgodkendelsesmekanismen til lokal logon.
Hvis legitimationsoplysningerne blev valideret, logger den godkendende computer dette hændelse-ID med feltet Resultatkode lig med “0x0”.
Hvis den godkendende computer ikke kan validere legitimationsoplysningerne, logges det samme hændelse-ID 4776, men med feltet Resultatkode ikke lig med “0x0”. (Se alle resultatkoder.)
I tilfælde af logonforsøg til domænekonti validerer domænecontrolleren (DC) legitimationsoplysningerne. Det betyder, at hændelse-ID 4776 registreres på DC’en.
I tilfælde af logonforsøg med en lokal SAM-konto validerer arbejdsstationen eller medlemsserveren legitimationsoplysningerne. Det betyder, at hændelse-ID 4776 registreres på de lokale maskiner.
Se hændelse-ID'erne 4768, 4769 og 4771 for Kerberos-godkendelse.
Selvom Kerberos-godkendelse er den foretrukne godkendelsesmetode til Active Directory-miljøer, kan nogle applikationer stadig bruge NTLM.
Her er et par almindelige tilfælde, hvor NTLM bruges frem for Kerberos i et Windows-miljø:
Hændelses-ID 4776 - Domænecontrolleren forsøgte at validere legitimationsoplysningerne for en konto.
Godkendelsespakke: Dette er altid "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".
Logon-konto: Navnet på den konto, der forsøgte et logon. Kontoen kan enten være en brugerkonto, en computerkonto eller en velkendt sikkerhedskonto (f.eks. Alle eller Lokalt system).
Kildearbejdsstation: Navnet på den computer, som logonforsøget stammer fra.
| Fejlkode | Beskrivelse |
|---|---|
| C0000064 | Brugernavnet findes ikke |
| C000006A | Brugernavnet er korrekt, men adgangskoden er forkert |
| C0000234 | Brugeren er i øjeblikket spærret |
| C0000072 | Kontoen er i øjeblikket deaktiveret |
| C000006F | Brugeren forsøgte at logge på uden for deres ugedags- eller tidspunktbegrænsninger |
| C0000070 | Brugeren forsøgte at logge på fra en begrænset arbejdsstation |
| C0000193 | Brugeren forsøgte at logge på med en udløbet konto |
| C0000071 | Brugeren forsøgte at logge på med en forældet adgangskode |
| C0000224 | Brugeren skal ændre sin adgangskode ved næste logon |
| C0000225 | Det er tydeligvis en fejl i Windows og ikke en risiko |
Som nævnt ovenfor er NTLM- og NTLMv2-godkendelse sårbar over for en række ondsindede angreb. Reduktion og eliminering af NTLM-godkendelse fra dit miljø tvinger Windows til at bruge mere sikre protokoller, såsom Kerberos version 5-protokollen. Dette kan dog medføre, at flere NTLM-godkendelsesanmodninger mislykkes inden for domænet, hvilket reducerer produktiviteten.
Det anbefales, at du først gennemgår din sikkerhedslog for forekomster af NTLM-godkendelse og forstår NTLM-trafikken til dine DC'er, og derefter tvinger Windows til at begrænse NTLM-trafik og bruge mere sikre protokoller.
Overvågningsløsninger som ADAudit Plus tilbyder overvågning i realtid, analyse af bruger- og enhedsadfærd og rapporter; tilsammen hjælper disse funktioner med at sikre dit AD-miljø.
Selvom du kan knytte en opgave til sikkerhedsloggen og bede Windows om at sende dig en e-mail, er du begrænset til blot at få en e-mail, når hændelses-ID 4776 genereres. Windows mangler også muligheden for at anvende mere detaljerede filtre, som er nødvendige for at opfylde sikkerhedsanbefalinger.
Med et værktøj som ADAudit Plus kan du ikke blot anvende detaljerede filtre til at fokusere på reelle trusler, du kan også få besked i realtid via SMS.
Udnyt avanceret statistisk analyse og maskinlæringsteknikker til at opdage unormal adfærd i dit netværk.
Opfyld forskellige compliancestandarder som SOX, HIPAA, PCI, FISMA, GLBA og GDPR med compliancerapporter, der er klar til brug.
Gå fra at downloade ADAudit Plus til at modtage underretninger i realtid på mindre end 30 minutter. Med over 200 forudkonfigurerede rapporter og underretninger sørger ADAudit Plus for sikkerhed og compliance i dit Active Directory.