ID d’événement Windows 4776 - Le contrôleur de domaine a tenté de valider les informations d'identification d'un compte.

• Introduction
• Description des champs Événement
• La nécessité d'un outil tiers

Introduction

L'ID d'événement 4776 est enregistré chaque fois qu'un contrôleur de domaine (DC) tente de valider les informations d'identification d'un compte à l'aide de NTLM sur Kerberos. Cet événement est également enregistré pour les tentatives de connexion au compte SAM local sur les stations de travail et les serveurs Windows, car NTLM est le mécanisme d'authentification par défaut pour la connexion locale.

Succès de l'authentification - ID d'événement 4776 (S)

Si les informations d'identification ont été validées avec succès, l'ordinateur d'authentification enregistre cet ID d'événement avec le champ Code de résultat “0x0”.

Échec de l'authentification - ID d'événement 4776 (F)

Si l'ordinateur d'authentification ne parvient pas à valider les informations d'identification, le même ID d'événement 4776 est enregistré, mais le champ Code de résultat n'est pas égal à « 0x0 ». (Afficher tous les codes de résultat.)

Dans le cas de tentatives de connexion à un compte de domaine, le contrôleur de domaine valide les informations d'identification. Cela signifie que l'ID d'événement 4776 est enregistré sur le contrôleur de domaine.

Dans le cas de tentatives de connexion avec un compte SAM local, la station de travail ou le serveur membre valide les informations d'identification. Cela signifie que l'ID d'événement 4776 est enregistré sur le machines locales.

Pour l'authentification Kerberos, voir les ID d'événements 4768, 4769 et 4771.

Bien que l'authentification Kerberos soit la méthode d'authentification préférée pour les environnements Active Directory, certaines applications peuvent encore utiliser NTLM.

Voici quelques exemples courants où NTLM est utilisé à la place de Kerberos dans un environnement Windows :

• Si l'authentification du client se fait par une adresse IP au lieu d'un nom de principal de service (SPN).
• S'il n'y a pas de confiance Kerberos entre les forêts.
• Si un pare-feu bloque le port Kerberos.

ID d’événement 4776 - Le contrôleur de domaine a tenté de valider les informations d'identification d'un compte.

Package d'authentification: Il s'agit toujours de « MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 ".

Compte de connexion: Le nom du compte qui a tenté de se connecter. Le compte peut être un compte d'utilisateur, un compte d'ordinateur ou un principal de sécurité bien connu (par exemple, Tout le monde ou Système local).

Station de travail source: Nom de l'ordinateur d'où provient la tentative de connexion.

Code d’erreur	Description
C0000064	Ce nom d'utilisateur n'existe pas
C000006A	Ce nom d'utilisateur est correct mais le mot de passe est erroné
C0000234	L'utilisateur est actuellement bloqué
C0000072	Le compte est actuellement désactivé
C000006F	L'utilisateur a essayé de se connecter en dehors des restrictions liées au jour de la semaine ou à l'heure du jour
C0000070	L'utilisateur a tenté de se connecter à partir d’une station de travail restreinte
C0000193	L'utilisateur a essayé de se connecter avec un compte expiré
C0000071	L'utilisateur a essayé de se connecter avec un mot de passe périmé
C0000224	L'utilisateur doit modifier son mot de passe lors de la prochaine connexion
C0000225	Il s'agit manifestement d'un bug dans Windows et non d'un risque

Motifs de surveillance de l’ID d'événement 4776

• NTLM ne doit être utilisé que pour les tentatives de connexion locales. Vous devez surveiller l'ID d'événement 4776 pour lister toutes les tentatives d'authentification NTLM dans votre domaine et prêter une attention particulière aux événements générés par des comptes qui ne devraient jamais utiliser NTLM pour l'authentification.
• Si les comptes locaux ne doivent être utilisés que directement sur les machines respectives où leurs informations d'identification sont stockées, et ne jamais utiliser la connexion réseau ou la connexion au bureau à distance, vous devez alors surveiller tous les événements pour lesquels les valeurs de Station de travail source et Ordinateur sont différentes.
• Surveillez cet événement pour détecter plusieurs tentatives de connexion avec un nom d'utilisateur mal orthographié dans un court laps de temps afin de vérifier s'il s'agit d'une attaque par force brute inversée, d'une pulvérisation de mots de passe ou d'une attaque par dénombrement.
• Surveillez cet événement pour détecter plusieurs tentatives de connexion avec un nom d'utilisateur mal orthographié dans un court laps de temps afin de vérifier s'il s'agit d'une attaque par force brute sur votre réseau.
• Les tentatives de connexion à partir de points de terminaison non autorisés, ou les tentatives en dehors des heures de travail, peuvent être des indicateurs d'intentions malveillantes, en particulier pour les comptes de grande valeur.
• Les tentatives de connexion à partir d'un compte arrivé à expiration, désactivé ou verrouillé peuvent indiquer une intention possible de compromettre votre réseau.

Comme nous l'avons vu plus haut, l'authentification NTLM et NTLMv2 est vulnérable à toute une série d'attaques malveillantes. La réduction et l'élimination de l'authentification NTLM de votre environnement obligent Windows à utiliser des protocoles plus sûrs, tels que le protocole Kerberos version 5. Cependant, cela peut entraîner l'échec de plusieurs demandes d'authentification NTLM dans le domaine, ce qui réduit la productivité.

Il est recommandé de vérifier d'abord votre journal de sécurité pour les instances d'authentification NTLM et de comprendre le trafic NTLM vers vos contrôleurs de domaine, puis de forcer Windows à restreindre le trafic NTLM et à utiliser des protocoles plus sûrs.

La nécessité d'une solution d'audit

Les solutions d'audit comme ADAudit Plus offrent une surveillance en temps réel, une analyse du comportement des utilisateurs et entités, ainsi que des rapports. Ensemble, toutes ces fonctionnalités contribuent à sécuriser votre environnement AD.

Surveillance en temps réel, 24 h/24, 7 jours/7

Bien que vous puissiez attacher une tâche au journal de sécurité et demander à Windows de vous envoyer un e-mail, vous êtes limité à recevoir un e-mail chaque fois que l'ID d'événement 4776 est généré. Windows n'a pas non plus la capacité d'appliquer des filtres plus granulaires, pourtant sont nécessaires pour répondre aux recommandations en matière de sécurité.

Par exemple, Windows peut vous envoyer un e-mail chaque fois que l'ID d'événement 4776 est généré, mais il ne pourra pas vous avertir uniquement des tentatives provenant de points de terminaison non autorisés, des tentatives se produisant en dehors des heures de bureau ou des tentatives provenant de comptes arrivés à expiration, désactivés ou verrouillés. L'obtention d'alertes spécifiques réduit le risque de passer à côté de notifications critiques parmi un tas d'alertes faussement positives. Des alertes basées sur des seuils vous permettent de rester à l'affût de tout signe d'activité malveillante dans votre environnement.

Avec un outil comme ADAudit Plus, vous pouvez non seulement appliquer des filtres granulaires pour vous concentrer sur les menaces réelles, mais aussi être averti en temps réel par SMS.

Analyse du comportement des utilisateurs et des entités (UEBA)

Tirez parti des techniques avancées d'analyse statistique et d'apprentissage machine pour détecter les comportements anormaux sur votre réseau.

Des rapports prêts pour la mise en conformité

Respectez diverses normes de conformité, telles que SOX, HIPAA, PCI, FISMA, GLBA et RGPD, grâce à des rapports de conformité prêts à l'emploi.

True turnkey - it doesn't get simpler than this

Go from downloading ADAudit Plus to receiving real-time alerts in less than 30 minutes. With over 200 preconfigured reports and alerts, ADAudit Plus ensures that your Active Directory stays secure and compliant.

Essayez-le maintenant gratuitement !