ID evento 4776 di Windows: il computer ha tentato di convalidare le credenziali per un account.

Introduzione

L'ID evento 4776 viene salvato ogni volta che un controller di dominio (DC) tenta di convalidare le credenziali di un account che utilizza NTLM su Kerberos. Questo evento viene salvato anche in caso di tentativi di accesso all'account SAM locale nelle workstation e nei server Windows; NTLM è il meccanismo di autenticazione predefinito per l'accesso locale.

Autenticazione riuscita: ID evento 4776 (S)

Se le credenziali vengono convalidate correttamente, il computer che effettua l'autenticazione salva questo ID evento con il campo del codice del risultato pari a “0x0”.

Autenticazione non riuscita: ID evento 4776 (F)

Se la convalida delle credenziali da parte del computer che effettua l'autenticazione non riesce, viene salvato lo stesso ID evento 4776, ma il campo del codice del risultato non è “0x0”. (Vedi tutti i codici dei risultati.)

In caso di tentativi di accesso agli account del dominio, il controller di dominio convalida le credenziali. Ciò significa che l'ID evento 4776 viene salvato nel controller di dominio.

In caso di tentativi di accesso con un account SAM locale, la workstation o server membro convalidano le credenziali. Ciò significa che l'ID evento 4776 viene salvato nelle macchine locali.

Per l'autenticazione Kerberos, vedi gli ID evento 4768, 4769 e 4771.

Nonostante l'autenticazione Kerberos sia il metodo di autenticazione preferito per gli ambienti Active Directory, alcune applicazioni potrebbero ancora utilizzare NTLM.

Questi sono alcuni casi comuni in cui NTLM viene utilizzato al posto di Kerberos in un ambiente Windows:

  • Se l'autenticazione del client avviene in base a un indirizzo IP invece che di un nome di un principale di servizio (SPN).
  • Se non esiste trust Kerberos tra le foreste.
  • Se un firewall blocca la porta di Kerberos.

ID evento 4776: il computer ha tentato di convalidare le credenziali per un account.

windows-security-log-event-id-4776

Pacchetto di autenticazione: Questo è sempre "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Account di accesso: Il nome dell'account che ha tentato di effettuare l'accesso. L'account può essere un account utente, un account computer o un principale di sicurezza (per esempio Tutti o Sistema locale).

Workstation di origine: Il nome del computer da cui ha avuto origine il tentativo di accesso.

Codice di errore Descrizione
C0000064 Il nome utente non esiste
C000006A Il nome utente è corretto, ma la password è sbagliata
C0000234 L'utente è al momento bloccato
C0000072 L'account è al momento disabilito
C000006F L'utente ha tentato di effettuare l'accesso al di fuori delle sue restrizioni relative al giorno della settimana o all'orario del giorno
C0000070 L'utente ha tentato di effettuare l'accesso da una workstation con restrizioni
C0000193 L'utente ha tentato di effettuare l'accesso con un account scaduto
C0000071 L'utente ha tentato di effettuare l'accesso con una password non aggiornata
C0000224 L’utente deve modificare la propria password al successivo accesso
C0000225 Evidentemente un bug di Windows e non un rischio

Motivi per effettuare il monitoraggio dell'ID evento 4776

  • NTLM deve essere utilizzato solo per i tentativi di accesso locali. Devi effettuare il monitoraggio dell'ID evento 4776 per elencare tutti i tentativi di autenticazione NTLM nel tuo dominio e fare attenzione agli eventi generati dagli account che non devono mai utilizzare NTLM per l'autenticazione.
  • Se gli account locali devono essere utilizzati direttamente solo sulle macchine in cui sono archiviate le loro credenziali e mai utilizzare l'accesso di rete o la connessione di desktop remoto, devi effettuare il monitoraggio alla ricerca di tutti gli eventi per cui la workstation di origine e il computer hanno valori diversi.
  • Effettua il monitoraggio di questo evento alla ricerca di tentativi di accesso multipli con un nome utente non corretto in un breve intervallo di tempo per controllare se stanno avvenendo attacchi basati su tentativi ripetuti, password spraying o di enumerazione.
  • Effettua il monitoraggio di questo evento alla ricerca di tentativi di accesso multipli con una password non corretta in un breve intervallo di tempo per controllare se stanno avvenendo attacchi basati su tentativi ripetuti alla tua rete.
  • I tentativi di accesso da endpoint non autorizzati e i tentativi al di fuori dell'orario lavorativo possono essere indicatori di intenti malevoli, soprattutto nei casi di account di valore elevato.
  • I tentativi di accesso da account scaduti, disabilitati o bloccati possono indicare un possibile tentativo di compromettere la tua rete.

Come descritto in alto, l'autenticazione NTLM e NTLMv2 è vulnerabile a una varietà di attacchi malevoli. Ridurre ed eliminare l'autenticazione NTLM dal tuo ambiente forza Windows a utilizzare protocolli più sicuri come Kerberos versione 5. Tuttavia, questa situazione potrebbe causare malfunzionamenti in caso di richieste di autenticazione NTLM nel dominio, riducendo la produttività.

È consigliato prima effettuare un controllo dei registri di sicurezza alla ricerca di eventuali istanze di autenticazione NTLM e comprendere il traffico NTLM nei tuoi controller di dominio e poi forzare Windows a limitare il traffico NTLM per utilizzare protocolli più sicuri.

La necessità di una soluzione di controllo

Le soluzioni di controllo come ADAudit Plus offrono monitoraggio in tempo reale, analisi del comportamento di utenti ed entità e report; insieme, queste funzionalità aiutano a proteggere il tuo ambiente AD.

Monitoraggio senza sosta in tempo reale

Sebbene tu possa allegare un'attività al registro di sicurezza e chiedere a Windows di inviarti un'e-mail, ricevi solo un'e-mail quando viene generato l'ID evento 4776. Windows non ha la funzionalità di applicare filtri più dettagliati che sono necessari per soddisfare i requisiti di sicurezza.

Per esempio, Windows può inviarti un'e-mail ogni volta che viene generato un ID evento 4776, ma non può inviarti una notifica solo in caso di tentativi da endpoint non autorizzati, tentativi al di fuori dell'orario lavorativo o tentativi da account scaduti, disabilitati o bloccati. Ottenere avvisi specifici riduce la possibilità di non accorgerti di modifiche critiche a causa dell'elevato numero di falsi positivi. Gli avvisi basati su soglie ti permettono di mantenere un perfetto controllo dei segnali di attività malevole all'interno del tuo ambiente.

Con uno strumento come ADAudit Plus, non solo puoi applicare filtri dettagliati per puntare l'attenzione sulle minacce reale, ma potrai anche ricevere una notifica in tempo reale tramite SMS.

Analisi del comportamento di entità e utenti (UEBA)

Usufruisci di analisi statistiche avanzate e di tecniche di apprendimento automatico per rilevare i comportamenti anomali all’interno della tua rete.

Report conformi

Soddisfa vari standard di conformità come SOX, HIPAA, PCI, FISMA, GLBA e GDPR, con report di conformità pronti all'uso.

Davvero pronti all'uso e semplicissimi

Scarica ADAudit Plus e inizia a ricevere gli avvisi in tempo reale dopo meno di 30 minuti. Grazie a oltre 200 avvisi e report preconfigurati, ADAudit Plus garantisce che la tua Active Directory sia protetta e conforme.

Provalo subito gratis!