Identyfikator zdarzenia 4776 — Kontroler domeny próbował zweryfikować poświadczenia konta

Wprowadzenie

Zdarzenie o identyfikatorze 4776 jest rejestrowane za każdym razem, gdy kontroler domeny (DC) próbuje potwierdzić poświadczenia konta przy użyciu protokołu NTLM, a nie Kerberos. To zdarzenie jest również rejestrowane w przypadku prób logowania na lokalne konto SAM w stacjach roboczych i serwerach Windows, ponieważ NTLM jest domyślnym mechanizmem uwierzytelniania dla logowania lokalnego.

Uwierzytelnianie powiodło się — Identyfikator zdarzenia 4776 (S)

Jeśli poświadczenia zostały pomyślnie zweryfikowane, komputer uwierzytelniania rejestruje ten identyfikator zdarzenia z polem „Kod wyniku” równym “0x0”.

Uwierzytelnienie nie powiodło się — Identyfikator zdarzenia 4776 (F)

Jeśli komputer uwierzytelniania nie dokona weryfikacji poświadczeń, rejestrowane jest to samo zdarzenie o identyfikatorze 4776, ale z polem „Kod wyniku”nie jest równe “0x0”. (Zobacz wszystkie kody wyników.)

W przypadku prób logowania na konto domenowe, kontroler domeny weryfikuje poprawność poświadczeń. Oznacza to, że na kontrolerze domeny zarejestrowane jest zdarzenie o identyfikatorze 4776.

W przypadku prób logowania za pomocą lokalnego konta SAM stacja robocza lub serwer członkowski zatwierdza dane uwierzytelniania. Oznacza to, że na lokalnych komputerach zarejestrowane jest zdarzenie o identyfikatorze 4776.

Informacje na temat uwierzytelniania Kerberos można znaleźć w identyfikatorach zdarzeń 4768, 4769 i 4771.

Pomimo tego, że uwierzytelnianie Kerberos jest preferowaną metodą uwierzytelniania w środowiskach Active Directory, niektóre aplikacje mogą nadal używać protokołu NTLM.

Poniżej przedstawiono kilka typowych przypadków, w których protokół NTLM jest używany zamiast protokołu Kerberos w środowisku Windows:

  • Jeśli uwierzytelnianie klienta odbywa się za pomocą adresu IP zamiast nazwy głównej usługi (SPN).
  • Jeśli między lasami nie istnieje relacja zaufania przez protokół Kerberos.
  • Jeśli zapora sieciowa blokuje port Kerberos.

Identyfikator zdarzenia 4776 — Kontroler domeny próbował zweryfikować poświadczenia konta.

windows-security-log-event-id-4776

Pakiet uwierzytelniania: Jest to zawsze „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”.

Konto logowania: Nazwa konta, które próbowało się zalogować. Konto może być kontem użytkownika, kontem komputera lub dobrze znanym podmiotem zabezpieczeń (np. każdy lub system lokalny).

Źródłowa stacja robocza: Nazwa komputera, z którego pochodzi próba logowania.

Kod błędu Opis
C0000064 Nazwa użytkownika nie istnieje
C000006A Nazwa użytkownika jest prawidłowa, ale hasło jest nieprawidłowe
C0000234 Użytkownik jest obecnie zablokowany
C0000072 Konto jest obecnie wyłączone
C000006F Użytkownik próbował się zalogować poza swoimi ograniczeniami dotyczącymi dnia tygodnia lub pory dnia
C0000070 Użytkownik próbował się zalogować z zastrzeżonej stacji roboczej
C0000193 Użytkownik próbował się zalogować z wygasłym kontem
C0000071 Użytkownik próbował się zalogować z nieaktualnym hasłem
C0000224 Użytkownik jest zobowiązany do zmiany hasła przy następnym logowaniu
C0000225 Najwyraźniej jest to błąd w systemie Windows, a nie zagrożenie

Powody monitorowania zdarzenia o identyfikatorze 4776

  • Protokół NTLM powinien być używany tylko do lokalnych prób logowania. Należy monitorować zdarzenie o identyfikatorze 4776, aby wyświetlić listę wszystkich prób uwierzytelniania NTLM w domenie i zwrócić baczną uwagę na zdarzenia generowane przez konta, które nigdy nie powinny używać NTLM do uwierzytelniania.
  • Jeśli konta lokalne powinny być używane tylko bezpośrednio na odpowiednich komputerach, gdzie przechowywane są ich poświadczenia, a nigdy nie należy używać logowania sieciowego lub podłączania pulpitu zdalnego, to należy monitorować wszystkie zdarzenia, w których źródłowa stacja robocza i komputer mają różne wartości.
  • Monitoruj to zdarzenie pod kątem wielokrotnych prób logowania z błędną nazwą użytkownika w krótkim okresie, aby sprawdzić, czy nie występują odwrócone ataki siłowe, ataki rozproszone na hasła lub ataki siłowe wyliczania.
  • Monitoruj to zdarzenie pod kątem wielokrotnych prób logowania z błędnie wpisanym hasłem w krótkim okresie, aby sprawdzić, czy w sieci nie występują ataki siłowe.
  • Próby logowania z nieautoryzowanych punktów końcowych lub próby poza godzinami pracy mogą wskazywać na złośliwe zamiary, zwłaszcza w przypadku kont o wysokiej wartości.
  • Próby logowania z konta, którego ważność wygasła, które jest wyłączone lub zablokowane, mogą wskazywać na zamiar narażenia sieci na niebezpieczeństwo.

Jak omówiono powyżej, uwierzytelnianie NTLM i NTLMv2 jest podatne na różne złośliwe ataki. Ograniczenie i wyeliminowanie uwierzytelniania NTLM ze środowiska zmusza system Windows do korzystania z bardziej bezpiecznych protokołów, takich jak protokół Kerberos w wersji 5. Jednak może to spowodować, że kilka żądań uwierzytelnienia NTLM nie powiedzie się w obrębie domeny, zmniejszając wydajność.

Zaleca się, aby najpierw przeprowadzić inspekcję dziennika zabezpieczeń w poszukiwaniu przypadków wystąpień NTLM i zrozumieć ruch NTLM do kontrolerów domen, a następnie zmusić system Windows do ograniczenia ruchu NTLM i użycia bardziej bezpiecznych protokołów.

Potrzeba rozwiązania w zakresie inspekcji

Rozwiązania do inspekcji, takie jak ADAudit Plus, oferują monitorowanie w czasie rzeczywistym, analizę zachowań użytkowników i jednostek oraz raporty; funkcje te łącznie pomagają zabezpieczyć środowisko AD.

Monitorowanie 24/7 w czasie rzeczywistym

Chociaż można dołączyć zadanie do dziennika zabezpieczeń i zażądać od systemu Windows wysłania wiadomości e-mail, użytkownik jest ograniczony do otrzymywania wiadomości e-mail za każdym razem, gdy generowane jest zdarzenie o identyfikatorze 4776. W systemie Windows brakuje również możliwości stosowania bardziej szczegółowych filtrów, które są wymagane do spełnienia zaleceń dotyczących zabezpieczeń.

Na przykład, system Windows może wysłać wiadomość e-mail za każdym razem, gdy wygenerowane zostanie zdarzenie o identyfikatorze 4776, ale nie będzie w stanie powiadomić użytkownika tylko o próbach z nieautoryzowanych punktów końcowych, próbach występujących poza godzinami pracy lub próbach z wygasłych, wyłączonych lub zablokowanych kont. Otrzymanie konkretnych alertów zmniejsza szansę na przegapienie krytycznych powiadomień wśród sterty fałszywych alertów. Alerty oparte na wartościach progowych pozwalają na bieżąco śledzić wszelkie oznaki złośliwej aktywności w środowisku.

Dzięki narzędziu takiemu jak ADAudit Plus można nie tylko stosować filtry szczegółowe, aby skupić się na rzeczywistych zagrożeniach, ale także otrzymywać powiadomienia w czasie rzeczywistym za pośrednictwem wiadomości SMS.

Analiza zachowań użytkowników i jednostek (UEBA)

Wykorzystaj zaawansowaną analizę statystyczną i techniki uczenia maszynowego do wykrywania anomalnych zachowań w sieci.

Raporty przygotowane pod kątem zgodności z przepisami

Spełnij różne normy zgodności, takie jak SOX, HIPAA, PCI, FISMA, GLBA i RODO, dzięki gotowym raportom zgodności.

Wypróbuj teraz za darmo!

Przejdź od pobierania ADAudit Plus do otrzymywania alertów w czasie rzeczywistym w mniej niż 30 minut. Dzięki ponad 200 wstępnie skonfigurowanym raportom i alertom ADAudit Plus zapewnia bezpieczeństwo i zgodność usługi Active Directory.

Wypróbuj teraz za darmo!