Windows-gebeurtenis-id 4776 - Er is een poging gedaan de referenties voor een account te valideren

Inleiding

Gebeurtenis-id 4776 wordt telkens in het logboek geregistreerd wanneer een domeincontroller (DC) probeert de referenties van een account te valideren met NTLM over Kerberos. Deze gebeurtenis wordt ook geregistreerd voor aanmeldingspogingen bij de lokale SAM-account in werkstations en Windows-servers, omdat NTLM het standaard verificatiemechanisme is voor het lokaal aanmelden.

Verificatiesucces - Gebeurtenis-id 4776 (S)

Als het valideren van de referenties is gelukt, registreert de verifiërende computer deze gebeurtenis-id met Gelijk aan "0x0" in het veld Resultaatcode.

Verificatiefout - Gebeurtenis-id 4776 (F)

Als de verifiërende computer de referenties niet kan valideren, wordt dezelfde gebeurtenis-id 4776 in het logboek geregistreerd, maar met Niet gelijk aan “0x0” in het veld Resultaatcode. (Bekijk alle resultaatcodes.)

In het geval van aanmeldingspogingen bij de domeinaccount, valideert de DC de referenties. Dat betekent dat gebeurtenis-id 4776 wordt geregistreerd op de DC.

In het geval van aanmeldingspogingen met een lokale SAM-account, valideren het werkstation of de lidserver de referenties. Dat betekent dat gebeurtenis-id 4776 wordt geregistreerd op de lokale machines.

Zie gebeurtenis-id's 4768, 4769 en 4771 voor Kerberos-verificatie.

Hoewel Kerberos-verificatie de voorkeursverificatiemethode is voor Active Directory-omgevingen, kunnen sommige toepassingen nog steeds NTLM gebruiken.

Hier zijn enkele algemene gevallen waarbij NTLM de prioriteit krijgt op Kerberos in een Windows-omgeving:

• • Als de clientverificatie gebeurt via een IP-adres in plaats van een SPN-naam (Service Principal Name).
• • Als er geen Kerberos-vertrouwen bestaat tussen forests.
• • Als een firewall de Kerberos-poort blokkeert.

Gebeurtenis-id 4776 - Er is een poging gedaan de referenties voor een account te valideren.

Verificatiepakket: Dit is altijd "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Aanmeldingsaccount: De naam van de account die heeft geprobeerd aan te melden. De account kan een gebruikersaccount, een computeraccount of een goed gekende beveiligingsprincipal zijn (bijv. Iedereen of Lokaal systeem).

Werkstationbron: De naam van de computer waarvan is geprobeerd aan te melden.

Redenen voor controle van gebeurtenis-id 4776

• • NTLM mag alleen worden gebruikt voor lokale aanmeldingspogingen. U moet gebeurtenis-id 4776 controleren om alle NTLM-verificatiepogingen in uw domein weer te geven en bijzondere aandacht besteden aan gebeurtenissen die zijn gegenereerd door accounts die nooit NTLM zouden mogen gebruiken voor verificatie.
• • Als lokale accounts alleen direct op de respectieve machines waarop hun referenties zijn opgeslagen, mogen worden gebruikt, en nooit de netwerkaanmelding of Verbinding met extern bureaublad gebruiken, moet u alle gebeurtenissen waarbij Werkstationbron en Computer verschillende waarden hebben, controleren.
• • Controleer deze gebeurtenis op meerdere aanmeldingspogingen met een verkeerd gespelde gebruikersnaam binnen een korte periode om te controleren op omgekeerde beveiligingsaanvallen, spraying-aanval op wachtwoorden of opsommingsaanvallen.
• • Controleer deze gebeurtenis op meerdere aanmeldingspogingen met een verkeerd gespeld wachtwoord binnen een korte periode om te controleren op beveiligingsaanvallen op uw netwerk.
• • Aanmeldingspogingen van onbevoegde eindpunten of buiten kantooruren, kunnen wijzen op boosaardige bedoelingen, vooral voor accounts met een hoge waarde.
• • Aanmeldingspogingen vanaf een verlopen, uitgeschakelde of vergrendelde account kunnen wijzen op mogelijke bedoelingen om in te breken op uw netwerk.

Zoals hierboven besproken, zijn NTLM- en NTLMv2-verificatie kwetsbaar voor verschillende boosaardige aanvallen. Verminderen en elimineren van de NTLM-verificatie vanaf uw omgeving forceert Windows om veilige protocollen te gebruiken, zoals versie 5 van het Kerberos-protocol. Hierdoor kunnen echter meerdere NTLM-verificatieaanvragen mislukken binnen het domein waardoor de productiviteit afneemt.

Het is aanbevolen dat u eerst uw beveiligingslogboek controleert op instanties van NTLM-verificatie en het NTLM-verkeer naar uw DC's begrijpt en dan Windows forceert om NTLM-verkeer te beperken en meer beveiligingsprotocollen te gebruiken.

De behoefte aan een controleoplossing

Controleoplossingen, zoals ADAudit Plus, bieden bewaking in realtime, gedragsanalyses van gebruikers en entiteiten, en rapporten. Deze functies samen helpen u bij het beveiligen van uw AD-omgeving.

24/7, controle in realtime

Hoewel u een taak kunt koppelen aan het beveiligingslogboek en Windows kunt vragen om u een e-mail te sturen, kunt u alleen een e-mail ontvangen wanneer gebeurtenis-id 4776 wordt gegenereerd. Windows mist ook de mogelijkheid om meer gedetailleerde filters die vereist zijn om te voldoen aan de beveiligingsaanbevelingen, toe te passen.

Met een hulpprogramma zoals ADAudit Plus, kunt u niet alleen gedetailleerde filters toepassen om u te focussen op echte bedreigingen, maar u kunt ook in realtime via sms op de hoogte worden gebracht.

UEBA (User and entity behavior analytics = gedragsanalyse gebruikers en entiteiten)

Maak gebruik van geavanceerde statistische analyse en technieken van machine learning voor het detecteren van afwijkend gedrag binnen uw netwerk.

Rapporten gereed voor naleving

Voldoe aan verschillende nalevingsnormen, zoals SOX, HIPAA, PCI, FISMA, DSS en GDPR, met gebruiksklare nalevingsrapporten.