ID de evento de Windows 4776: el controlador de dominio intentó validar las credenciales de una cuenta

Introducción

El ID de evento 4776 se registra cada vez que un controlador de dominio (DC) intenta validar las credenciales de una cuenta mediante NTLM sobre Kerberos. Este evento también se registra para los intentos de inicio de sesión en la cuenta SAM local en estaciones de trabajo y servidores de Windows, ya que NTLM es el mecanismo de autenticación predeterminado para el inicio de sesión local.

Autenticación correcta: ID de evento 4776 (S)

Si las credenciales se validaron correctamente, el equipo que realiza la autenticación registra este ID de evento con el campo Código de resultado igual a “0x0”.

Error de autenticación: ID de evento 4776 (F)

Si el equipo de autenticación no puede validar las credenciales, se registra el mismo ID de evento 4776 pero con el campo Código de resultado no igual a “0x0”. (Consulte todos los códigos de resultado).

En el caso de intentos de inicio de sesión de cuenta de dominio, el DC valida las credenciales. Eso significa que el ID de evento 4776 se registra en el DC.

En el caso de intentos de inicio de sesión con una cuenta SAM local, la estación de trabajo o el servidor miembro validan las credenciales. Eso significa que el evento ID 4776 se registra en las máquinas locales.

Para la autenticación Kerberos, consulte los ID de evento 4768, 4769 y 4771.

Aunque la autenticación Kerberos es el método de autenticación preferido para los entornos de Active Directory, es posible que algunas aplicaciones sigan utilizando NTLM.

Estos son algunos casos comunes en los que se usa NTLM sobre Kerberos en un entorno de Windows:

  • Si la autenticación del cliente es por una dirección IP en lugar de un nombre principal de servicio (SPN).
  • Si no existe confianza Kerberos entre bosques.
  • Si un cortafuegos está bloqueando el puerto Kerberos.

ID de evento 4776: el controlador de dominio intentó validar las credenciales de una cuenta.

windows-security-log-event-id-4776

Paquete de autenticación: Siempre es "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Cuenta de inicio de sesión: El nombre de la cuenta que intentó iniciar sesión. La cuenta puede ser una cuenta de usuario, una cuenta de equipo o un principal de seguridad conocido (por ejemplo, Todos o Sistema local).

Estación de trabajo de origen:El nombre del equipo desde el que se originó el intento de inicio de sesión.

Código de error Descripción
C0000064 El nombre de usuario no existe
C000006A El nombre de usuario es correcto pero la contraseña es incorrecta
C0000234 El usuario está actualmente bloqueado
C0000072 La cuenta está actualmente deshabilitada
C000006F El usuario intentó iniciar sesión fuera de sus restricciones de día de la semana o de hora del día
C0000070 El usuario intentó iniciar sesión desde una estación de trabajo restringida
C0000193 El usuario intentó iniciar sesión con una cuenta caducada
C0000071 El usuario intentó iniciar sesión con una contraseña obsoleta
C0000224 El usuario debe cambiar su contraseña en el próximo inicio de sesión
C0000225 Evidentemente un error en Windows y no un riesgo

Razones para monitorizar el evento ID 4776

  • NTLM solo debe usarse para intentos de inicio de sesión locales. Debe monitorizar el ID de evento 4776 para mostrar todos los intentos de autenticación NTLM en su dominio y prestar mucha atención a los eventos generados por cuentas que nunca deben usar NTLM para la autenticación.
  • Si las cuentas locales solo se deben usar directamente en las máquinas correspondientes donde se almacenan sus credenciales, y nunca se usa el inicio de sesión en la red o la conexión de escritorio remoto, entonces debe monitorizar todos los eventos donde la estación de trabajo de origen y el equipo tengan valores diferentes.
  • Monitorice este evento en busca de múltiples intentos de inicio de sesión con un nombre de usuario mal escrito en un breve período de tiempo para comprobar si hay ataques de fuerza bruta inversa, pulverización de contraseñas o de enumeración.
  • Monitorice este evento en busca de múltiples intentos de inicio de sesión con una contraseña mal escrita en un breve período de tiempo para comprobar si hay ataques de fuerza bruta en su red.
  • Los intentos de inicio de sesión desde puntos de conexión no autorizados, o los intentos fuera del horario comercial, podrían ser indicadores de intenciones maliciosas, especialmente para cuentas de alto valor
  • Los intentos de inicio de sesión desde una cuenta vencida, deshabilitada o bloqueada podrían indicar un posible intento de comprometer su red.

Como se mencionó anteriormente, la autenticación NTLM y NTLMv2 es vulnerable a diversos ataques maliciosos. Reducir y eliminar la autenticación NTLM de su entorno obliga a Windows a utilizar protocolos más seguros, como el protocolo Kerberos versión 5. Sin embargo, esto podría provocar que varias solicitudes de autenticación NTLM fallaran dentro del dominio, lo que disminuiría la productividad.

Se recomienda que primero audite su registro de seguridad en busca de instancias de autenticación NTLM y comprenda el tráfico NTLM a sus DC, y luego obligue a Windows a restringir el tráfico NTLM y a usar protocolos más seguros.

La necesidad de una solución de auditoría

Las soluciones de auditoría como ADAudit Plus ofrecen monitorización en tiempo real, análisis e informes de comportamiento de usuarios y entidades; juntas, estas características ayudan a proteger su entorno de AD.

Supervisión en tiempo real 24/ 7

Aunque puede adjuntar una tarea al registro de seguridad y pedirle a Windows que le envíe un correo electrónico, está limitado a simplemente recibir un correo electrónico cada vez que se genere el ID de evento 4776. Windows también carece de la capacidad de aplicar los filtros más pormenorizados que se requieren para cumplir con las recomendaciones de seguridad.

Por ejemplo, Windows puede enviarle un correo electrónico cada vez que se genere el ID de evento 4776, pero no podrá solo notificarle los intentos de puntos de conexión no autorizados, los intentos que se produzcan fuera del horario comercial o los intentos de cuentas vencidas, deshabilitadas o bloqueadas. Obtener alertas específicas reduce la posibilidad de perderse notificaciones críticas entre un montón de alertas de falsos positivos. Las alertas basadas en umbrales le permiten estar al tanto de cualquier signo de actividad maliciosa dentro de su entorno.

Con una herramienta como ADAudit Plus, no solo puede aplicar filtros pormenorizados para centrarse en amenazas reales, sino que también puede recibir notificaciones en tiempo real a través de SMS.

Análisis del comportamiento de usuarios y entidades - UEBA

Saque provecho de técnicas avanzadas de análisis estadístico y aprendizaje automático para detectar comportamientos anómalos dentro de la red.

Informes de cumplimiento normativo

Cumpla diversos requisitos normativos, tales como SOX, HIPAA, PCI, FISMA, GLBA, y GDPR, con informes preconfigurados de cumplimiento normativo.

Auténtico uso inmediato: no hay nada más simple que esto

Pase de descargar ADAudit Plus a recibir alertas en tiempo real en menos de 30 minutos. Con más de 200 informes y alertas preconfigurados, ADAudit Plus garantiza que su Active Directory se mantenga seguro y en cumplimiento.

¡Pruébelo ahora!

 

Las 8 ID de eventos de
Security Event IDs

Al hacer clic en 'Descargar la guía gratuita', usted acepta que sus datos personales sean procesados de acuerdo con la Política de privacidad.

 
 
 
 
Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active Directory Workstation Servidores de archivos Servidores Windows  Cumplimiento Productos relacionados