计算机验证帐户凭据的尝试--事件ID 4776

您是否注意到一系列安全日志事件 ID 4776（计算机尝试验证Windows 事件查看器中帐户的凭据） ？如果成功的话就没什么好担心的。但如果您看到多次尝试事件 ID 失败，则需要引起注意。您可以通过未知的用户名或登录尝试、拼写错误的名称或有人尝试访问无效帐户来识别事件 ID 4776 故障。

当您遇到事件 ID 4776时，这表示域控制器或计算机正在尝试验证帐户的凭据。这个事件会提供关于验证尝试的来源的关键详细信息。本文将重点讨论此消息的重要性。

事件 ID 4776 是什么？

事件ID 4776是一个日志事件，用于记录域控制器（DC）或本地SAM作为登录服务器使用NTLM（NT LAN Manager）验证账户凭据的情况。此事件适用于域控制器、工作站和Windows服务器。NTLM是本地登录的默认验证系统。

每次在域控制器上的登录尝试都会被记录在DC中，通过NTLM验证凭据的成功或失败会生成事件ID 4776。此外，通过本地SAM账户登录到本地计算机也会生成事件ID 4776。

以下是事件 ID 4776 中包含的元素：

身份验证包– “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0”。登录帐户– 尝试登录的用户或计算机的帐户名。登录帐户也可以是众所周知的安全原则。源工作站– 这显示用于创建登录的客户端计算机名称。错误代码  – 指示验证是成功还是失败。如果错误代码显示 0x0，则表示凭据已成功验证。如果不是 0x0，则表示凭据未经过验证。在这种情况下，该字段将显示身份验证失败 – 事件 ID 4776 (F)。

事件 ID 4776，计算机尝试验证帐户的凭据

尽管事件日志 4776 的失败尝试可能并不总是令人担忧，但有时它可能引起担忧，比如彩虹攻击。遇到这种情况时，您可以按以下步骤排查问题：

1]通过 NTLM 进行 Windows 安全日志事件 ID 4776 验证

3]检查附带的错误代码

随附的错误代码将指示您必须排除故障的方向。

以下是有关Microsoft的 Windows 安全日志事件 ID 4776 的更多信息。

事件 ID 4776 和 4624 有什么区别？

事件 ID 4776表示登录尝试失败，帐户被锁定，可能是由于密码或ID不正确。而事件 ID 4624表示登录成功。当域控制器可访问时，您可以在Windows安全日志中看到事件ID 4776。而当本地计算机中保留凭据或系统无法访问域控制器时，会出现4624。

Kerberos 身份验证失败的事件 ID 是什么？

Kerberos 身份验证错误会触发事件 ID 4771。它会在 Windows 中注册当 Kerberos 的用户预验证尝试失败时发生的安全审核日志消息。此消息通知用户和计算机身份验证失败的原因。