Windows Olay Kimliği 4776 - Etki alanı denetleyicisi bir hesabın kimlik bilgilerini doğrulama girişiminde bulundu

Giriş

Olay Kimliği 4776, bir etki alanı denetleyicisi (DC) Kerberos üzerinden NTLM ile bir hesabın kimlik bilgilerini doğrulama girişiminde bulunduğunda kaydedilir. NTLM yerel oturum açma için varsayılan kimlik doğrulama mekanizması olduğundan, bu olay iş istasyonlarında ve Windows sunucularında yerel SAM hesabındaki oturum açma girişimleri için de kaydedilir.

Kimlik Doğrulama Başarılı - Olay Kimliği 4776 (S)

Kimlik bilgileri başarıyla doğrulandığında, kimlik doğrulama yapan bilgisayar bu olay kimliğini Sonuç Kodu alanı "0x0" değerine eşit olacak şekilde kaydeder.

Kimlik Doğrulama Başarısız - Olay Kimliği 4776 (F)

Kimlik doğrulaması yapan bilgisayar kimlik bilgilerini doğrulayamazsa, aynı şekilde olay kimliği 4776 kaydedilir ancak Sonuç Kodu alanı "0x0" değerine eşit olmaz. (Tüm sonuç kodlarını görüntüleyin.)

Etki alanı hesabı oturum açma girişimleri durumunda, DC kimlik bilgilerini doğrular. Bu, olay kimliği 4776'nın DC'ye kaydedildiği anlamına gelir.

Yerel SAM hesabıyla oturum açma girişimleri durumunda, kimlik bilgilerinin doğrulaması iş istasyonu veya üye sunucusu tarafından gerçekleştirilir. Bu, olay kimliği 4776'nın yerel makinelere kaydedildiği anlamına gelir.

Kerberos kimlik doğrulaması için olay kimlikleri 4768, 4769 ve 4771'e bakın.

Her ne kadar Kerberos kimlik doğrulaması Active Directory ortamları için tercih edilen kimlik doğrulama yöntemi olsa da bazı uygulamalarda NTLM kullanılıyor olabilir.

Windows ortamında Kerberos üzerinden NTLM'nin kullanıldığı yaygın durumlardan bazıları aşağıdaki gibidir:

• • İstemci kimlik doğrulamasının bir hizmet asıl adı (SPN) yerine bir IP adresiyle yapılması.
• • Ormanlar arasında Kerberos güveninin olmaması.
• • Bir güvenlik duvarının Kerberos bağlantı noktasını engelliyor olması.

Olay Kimliği 4776 - DC bir hesabın kimlik bilgilerini doğrulama girişiminde bulundu.

Kimlik Doğrulama Paketi: Bu her zaman "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0" olacaktır.

Oturum Açma Hesabı: Oturum açma girişiminde bulunan hesabın adı. Hesap bir kullanıcı hesabı, bir bilgisayar hesabı veya iyi bilinen bir güvenlik asıl hesabı (ör. Herkes veya Yerel Sistem) olabilir.

Kaynak İş İstasyonu: Oturum açma girişiminin gerçekleştirildiği bilgisayarın adı.

Olay kimliği 4776'nın izlenmesi için nedenler

• • NTLM yalnızca yerel oturum açma girişimleri için kullanılmalıdır. Etki alanınızdaki tüm NTLM kimlik doğrulama girişimlerini listelemek için olay kimliği 4776'yı izlemeli ve kimlik doğrulaması için NTLM'yi kesinlikle kullanmaması gereken hesapların neden olduğu olaylara dikkat etmelisiniz.
• • Yerel hesapların yalnızca kimlik bilgilerinin depolandığı ilgili makinelerde doğrudan kullanılması ve ağda oturum açma veya Uzak Masaüstü Bağlantısının hiçbir zaman kullanılmaması gerekiyorsa, Kaynak İş İstasyonu ve Bilgisayarın farklı değerlerde olduğu tüm olayları izlemeniz gerekir.
• • Ters yönde deneme yanılma, parola spreyi veya numaralandırma saldırıları açısından bir kontrol gerçekleştirmek için yanlış yazılmış bir kullanıcı adıyla kısa bir süre içinde birden fazla oturum açma girişiminin gerçekleştirilmesi ile ilgili olarak bu olayı izleyin.
• • Ağınızdaki deneme yanılma saldırıları açısından bir kontrol gerçekleştirmek için yanlış yazılmış bir parolayla kısa bir süre içinde birden fazla oturum açma girişiminin gerçekleştirilmesi ile ilgili olarak bu olayı izleyin.
• • Yetkisiz uç noktalardan veya çalışma saatleri dışında gerçekleştirilen oturum açma girişimleri, özellikle değerli hesaplar için kötü niyetli girişim göstergeleri olabilir.
• • Süresi dolmuş, devre dışı bırakılmış veya kilitlenmiş bir hesaptan gerçekleştirilen oturum açma girişimleri, olası bir ağınızı tehlikeye atma niyetine işaret ediyor olabilir.

Yukarıda açıklandığı gibi, NTLM ve NTLMv2 kimlik doğrulamaları çeşitli kötü amaçlı saldırılara karşı savunmasızdır. Ortamınızda NTLM kimlik doğrulama kullanımını azaltmak ve bu kullanıma son vermek, Windows'u Kerberos sürüm 5 protokolü gibi daha güvenli protokolleri kullanmaya zorlar. Ancak bu durum, etki alanı içinde bazı NTLM kimlik doğrulama isteklerinin başarısız olmasına, bu da üretkenliğin düşmesine neden olabilir.

Öncelikle güvenlik günlüğünüzü NTLM kimlik doğrulaması örnekleri açısından denetlemeniz ve DC'lerinize gelen NTLM trafiğini anlamanız, daha sonra da Windows'u NTLM trafiğini kısıtlamaya ve daha güvenli protokoller kullanmaya zorlamanız önerilir.

Denetim çözümüne yönelik ihtiyaç

ADAudit Plus gibi denetim çözümleri gerçek zamanlı izleme, kullanıcı ve varlık davranış analizlerinin yanı sıra raporlar da sunarak AD ortamınızı güvence altına almanıza yardımcı olur.

7/24, gerçek zamanlı izleme

Güvenlik günlüğüne bir görev ekleyebilir ve Windows'tan size bir e-posta göndermesini isteyebilirsiniz ancak bunun sonucu yalnızca olay kimliği 4776 oluşturulduğunda bir e-posta almanızla sınırlıdır. Windows ayrıca güvenlik önerilerini karşılamak için gereken daha ayrıntılı filtreleri uygulayamamaktadır.

ADAudit Plus gibi bir araçla, yalnızca gerçek tehditlere odaklanabilmek için detaylı filtreler uygulamakla kalmaz, aynı zamanda gerçek zamanlı bildirimleri SMS ile de alabilirsiniz.

Kullanıcı ve varlık davranışı analizleri (UEBA)

Ağınız genelindeki anormal davranışları tespit etmek için gelişmiş istatistiksel çözümlemeler ve makine öğrenimi tekniklerinden yararlanın.

Uyumluluk için hazır raporlar

Kullanıma hazır olarak sağlanan uyumluluk raporlarıyla SOX, HIPAA, PCI, FISMA, GLBA ve GDPR gibi çeşitli uyumluluk standartlarına uygunluğu sağlayabilirsiniz.