L'ID evento 4776 viene salvato ogni volta che un controller di dominio (DC) tenta di convalidare le credenziali di un account che utilizza NTLM su Kerberos. Questo evento viene salvato anche in caso di tentativi di accesso all'account SAM locale nelle workstation e nei server Windows; NTLM è il meccanismo di autenticazione predefinito per l'accesso locale.
Se le credenziali vengono convalidate correttamente, il computer che effettua l'autenticazione salva questo ID evento con il campo del codice del risultato pari a “0x0”.
Se la convalida delle credenziali da parte del computer che effettua l'autenticazione non riesce, viene salvato lo stesso ID evento 4776, ma il campo del codice del risultato non è “0x0”. (Vedi tutti i codici dei risultati.)
In caso di tentativi di accesso agli account del dominio, il controller di dominio convalida le credenziali. Ciò significa che l'ID evento 4776 viene salvato nel controller di dominio.
In caso di tentativi di accesso con un account SAM locale, la workstation o server membro convalidano le credenziali. Ciò significa che l'ID evento 4776 viene salvato nelle macchine locali.
Per l'autenticazione Kerberos, vedi gli ID evento 4768, 4769 e 4771.
Nonostante l'autenticazione Kerberos sia il metodo di autenticazione preferito per gli ambienti Active Directory, alcune applicazioni potrebbero ancora utilizzare NTLM.
Questi sono alcuni casi comuni in cui NTLM viene utilizzato al posto di Kerberos in un ambiente Windows:
Pacchetto di autenticazione: Questo è sempre "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".
Account di accesso: Il nome dell'account che ha tentato di effettuare l'accesso. L'account può essere un account utente, un account computer o un principale di sicurezza (per esempio Tutti o Sistema locale).
Workstation di origine: Il nome del computer da cui ha avuto origine il tentativo di accesso.
Codice di errore | Descrizione |
---|---|
C0000064 | Il nome utente non esiste |
C000006A | Il nome utente è corretto, ma la password è sbagliata |
C0000234 | L'utente è al momento bloccato |
C0000072 | L'account è al momento disabilito |
C000006F | L'utente ha tentato di effettuare l'accesso al di fuori delle sue restrizioni relative al giorno della settimana o all'orario del giorno |
C0000070 | L'utente ha tentato di effettuare l'accesso da una workstation con restrizioni |
C0000193 | L'utente ha tentato di effettuare l'accesso con un account scaduto |
C0000071 | L'utente ha tentato di effettuare l'accesso con una password non aggiornata |
C0000224 | L’utente deve modificare la propria password al successivo accesso |
C0000225 | Evidentemente un bug di Windows e non un rischio |
Come descritto in alto, l'autenticazione NTLM e NTLMv2 è vulnerabile a una varietà di attacchi malevoli. Ridurre ed eliminare l'autenticazione NTLM dal tuo ambiente forza Windows a utilizzare protocolli più sicuri come Kerberos versione 5. Tuttavia, questa situazione potrebbe causare malfunzionamenti in caso di richieste di autenticazione NTLM nel dominio, riducendo la produttività.
È consigliato prima effettuare un controllo dei registri di sicurezza alla ricerca di eventuali istanze di autenticazione NTLM e comprendere il traffico NTLM nei tuoi controller di dominio e poi forzare Windows a limitare il traffico NTLM per utilizzare protocolli più sicuri.
Le soluzioni di controllo come ADAudit Plus offrono monitoraggio in tempo reale, analisi del comportamento di utenti ed entità e report; insieme, queste funzionalità aiutano a proteggere il tuo ambiente AD.
Sebbene tu possa allegare un'attività al registro di sicurezza e chiedere a Windows di inviarti un'e-mail, ricevi solo un'e-mail quando viene generato l'ID evento 4776. Windows non ha la funzionalità di applicare filtri più dettagliati che sono necessari per soddisfare i requisiti di sicurezza.
Con uno strumento come ADAudit Plus, non solo puoi applicare filtri dettagliati per puntare l'attenzione sulle minacce reale, ma potrai anche ricevere una notifica in tempo reale tramite SMS.
Usufruisci di analisi statistiche avanzate e di tecniche di apprendimento automatico per rilevare i comportamenti anomali all’interno della tua rete.
Soddisfa vari standard di conformità come SOX, HIPAA, PCI, FISMA, GLBA e GDPR, con report di conformità pronti all'uso.
Scarica ADAudit Plus e inizia a ricevere gli avvisi in tempo reale dopo meno di 30 minuti. Grazie a oltre 200 avvisi e report preconfigurati, ADAudit Plus garantisce che la tua Active Directory sia protetta e conforme.