Zdarzenie o identyfikatorze 4776 jest rejestrowane za każdym razem, gdy kontroler domeny (DC) próbuje potwierdzić poświadczenia konta przy użyciu protokołu NTLM, a nie Kerberos. To zdarzenie jest również rejestrowane w przypadku prób logowania na lokalne konto SAM w stacjach roboczych i serwerach Windows, ponieważ NTLM jest domyślnym mechanizmem uwierzytelniania dla logowania lokalnego.
Jeśli poświadczenia zostały pomyślnie zweryfikowane, komputer uwierzytelniania rejestruje ten identyfikator zdarzenia z polem „Kod wyniku” równym “0x0”.
Jeśli komputer uwierzytelniania nie dokona weryfikacji poświadczeń, rejestrowane jest to samo zdarzenie o identyfikatorze 4776, ale z polem „Kod wyniku”nie jest równe “0x0”. (Zobacz wszystkie kody wyników.)
W przypadku prób logowania na konto domenowe, kontroler domeny weryfikuje poprawność poświadczeń. Oznacza to, że na kontrolerze domeny zarejestrowane jest zdarzenie o identyfikatorze 4776.
W przypadku prób logowania za pomocą lokalnego konta SAM stacja robocza lub serwer członkowski zatwierdza dane uwierzytelniania. Oznacza to, że na lokalnych komputerach zarejestrowane jest zdarzenie o identyfikatorze 4776.
Informacje na temat uwierzytelniania Kerberos można znaleźć w identyfikatorach zdarzeń 4768, 4769 i 4771.
Pomimo tego, że uwierzytelnianie Kerberos jest preferowaną metodą uwierzytelniania w środowiskach Active Directory, niektóre aplikacje mogą nadal używać protokołu NTLM.
Poniżej przedstawiono kilka typowych przypadków, w których protokół NTLM jest używany zamiast protokołu Kerberos w środowisku Windows:
Pakiet uwierzytelniania: Jest to zawsze „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”.
Konto logowania: Nazwa konta, które próbowało się zalogować. Konto może być kontem użytkownika, kontem komputera lub dobrze znanym podmiotem zabezpieczeń (np. każdy lub system lokalny).
Źródłowa stacja robocza: Nazwa komputera, z którego pochodzi próba logowania.
Kod błędu | Opis |
---|---|
C0000064 | Nazwa użytkownika nie istnieje |
C000006A | Nazwa użytkownika jest prawidłowa, ale hasło jest nieprawidłowe |
C0000234 | Użytkownik jest obecnie zablokowany |
C0000072 | Konto jest obecnie wyłączone |
C000006F | Użytkownik próbował się zalogować poza swoimi ograniczeniami dotyczącymi dnia tygodnia lub pory dnia |
C0000070 | Użytkownik próbował się zalogować z zastrzeżonej stacji roboczej |
C0000193 | Użytkownik próbował się zalogować z wygasłym kontem |
C0000071 | Użytkownik próbował się zalogować z nieaktualnym hasłem |
C0000224 | Użytkownik jest zobowiązany do zmiany hasła przy następnym logowaniu |
C0000225 | Najwyraźniej jest to błąd w systemie Windows, a nie zagrożenie |
Jak omówiono powyżej, uwierzytelnianie NTLM i NTLMv2 jest podatne na różne złośliwe ataki. Ograniczenie i wyeliminowanie uwierzytelniania NTLM ze środowiska zmusza system Windows do korzystania z bardziej bezpiecznych protokołów, takich jak protokół Kerberos w wersji 5. Jednak może to spowodować, że kilka żądań uwierzytelnienia NTLM nie powiedzie się w obrębie domeny, zmniejszając wydajność.
Zaleca się, aby najpierw przeprowadzić inspekcję dziennika zabezpieczeń w poszukiwaniu przypadków wystąpień NTLM i zrozumieć ruch NTLM do kontrolerów domen, a następnie zmusić system Windows do ograniczenia ruchu NTLM i użycia bardziej bezpiecznych protokołów.
Rozwiązania do inspekcji, takie jak ADAudit Plus, oferują monitorowanie w czasie rzeczywistym, analizę zachowań użytkowników i jednostek oraz raporty; funkcje te łącznie pomagają zabezpieczyć środowisko AD.
Chociaż można dołączyć zadanie do dziennika zabezpieczeń i zażądać od systemu Windows wysłania wiadomości e-mail, użytkownik jest ograniczony do otrzymywania wiadomości e-mail za każdym razem, gdy generowane jest zdarzenie o identyfikatorze 4776. W systemie Windows brakuje również możliwości stosowania bardziej szczegółowych filtrów, które są wymagane do spełnienia zaleceń dotyczących zabezpieczeń.
Dzięki narzędziu takiemu jak ADAudit Plus można nie tylko stosować filtry szczegółowe, aby skupić się na rzeczywistych zagrożeniach, ale także otrzymywać powiadomienia w czasie rzeczywistym za pośrednictwem wiadomości SMS.
Wykorzystaj zaawansowaną analizę statystyczną i techniki uczenia maszynowego do wykrywania anomalnych zachowań w sieci.
Spełnij różne normy zgodności, takie jak SOX, HIPAA, PCI, FISMA, GLBA i RODO, dzięki gotowym raportom zgodności.
Przejdź od pobierania ADAudit Plus do otrzymywania alertów w czasie rzeczywistym w mniej niż 30 minut. Dzięki ponad 200 wstępnie skonfigurowanym raportom i alertom ADAudit Plus zapewnia bezpieczeństwo i zgodność usługi Active Directory.