4776 (S、F) ：计算机尝试验证帐户的凭据。

04/19/2017

本文内容

适用范围

Windows 10

Windows Server 2016

事件说明：

每次使用 NTLM 身份验证验证凭据时，都会生成此事件。

此事件仅在提供凭据的权威计算机上发生。 对于域帐户，域控制器是权威的。 对于本地帐户，本地计算机具有权威性。

它显示成功和失败的凭据验证尝试。

它只显示源工作站 (计算机) 尝试从源 (身份验证) 。 例如，如果使用域帐户从 CLIENT-1 到 SERVER-1 进行身份验证，你将在"源工作站"字段中看到**** CLIENT-1。 此事件中不会 (SERVER-1) 有关目标计算机的信息。

如果凭据验证尝试失败，你将看到错误代码参数值不等于******"0x0"失败**事件。

此事件的主要优点是，在使用 NTLM 身份验证时，您可以在域控制器上看到域帐户的所有身份验证尝试。

对于监视本地帐户登录尝试，最好使用事件"4624：帐户已成功登录"，因为它包含更多详细信息且信息性更好。

此事件还会在工作站解锁事件发生时生成。

当域 帐户在本地 登录到域控制器时，不会生成此事件。

注意事项    有关建议，请参阅此事件的安全监控建议。

事件 XML：

-

-

4776

0

0

14336

0

0x8010000000000000

165437

Security

DC01.contoso.local

-

MICROSOFT\_AUTHENTICATION\_PACKAGE\_V1\_0

dadmin

WIN81

0xc0000234

必需服务器角色： 无特定要求。

操作系统的最低版本： Windows Server 2008、Windows Vista。

事件版本： 0。

字段描述：

身份验证包[类型 = UnicodeString]：用于凭据验证的身份验证包的名称。 对于4776事件，它始终为 "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0"。

****   注意  身份验证包是封装用于确定是否允许用户登录的身份验证逻辑的 DLL。 本地安全 (LSA) 向身份验证包发送请求对用户登录进行身份验证。 然后，身份验证包会检查登录信息，并验证或拒绝用户登录尝试。

登录帐户 [类型 = UnicodeString]：其凭据由身份验证包 验证的帐户的名称。 可以是用户名、计算机帐户名或 已知的安全主体 帐户名。 示例：

用户示例：用户

计算机帐户示例：WIN81$

本地系统帐户示例：本地

本地服务帐户示例：本地服务

源工作站 [类型 = UnicodeString]：发起登录尝试的计算机的名称。

错误代码 [Type = HexInt32]：包含 Failure 事件的错误代码。 对于 Success 事件，此参数具有 "0x0" 值。 下表包含此事件的最常见错误代码：

错误代码

描述

0xC0000064

您键入的用户名不存在。 用户名错误。

0xC000006A

密码拼写错误或密码错误的帐户登录。

0xC000006D

- 通用登录失败。

导致出现此现象的一些可能原因：

使用的用户名和/或密码无效

源计算机和目标 计算机之间的 LAN 管理器身份验证级别不匹配。

0xC000006F

帐户在授权时段之外登录。

0xC0000070

帐户从未经授权的工作站登录。

0xC0000071

使用过期密码的帐户登录。

0xC0000072

帐户登录到管理员禁用的帐户。

0xC0000193

帐户使用过期帐户登录。

0xC0000224

标记了"下一次登录时更改密码"的帐户登录。

0xC0000234

帐户已锁定的登录名。

0xc0000371

本地帐户存储不包含指定帐户的机密材料。

0x0

无错误。

表 1. Winlogon 错误代码。

安全监控建议

对于 4776 (S、F) ：计算机尝试验证帐户的凭据。

所需的监视类型

建议

高价值帐户：可能需要监视每个操作的高价值域或本地帐户。

高价值帐户示例包括数据库管理员、内置本地管理员帐户、域管理员、服务帐户、域控制器帐户等。

使用与高价值帐户对应的 "登录 帐户"监视此事件。

异常或恶意操作：可能对检测异常或监视潜在的恶意行为有特定要求。 例如，可能需要在工作时间以外监视帐户的使用。

监视异常或恶意操作时，请使用"登录帐户"**** 值 (其他信息) 监视特定帐户的使用方式或时间。

若要监视特定用户帐户在工作时间之外的活动，请监视相应的 登录帐户 + 源工作站 对。

非活动帐户：可能有非活动帐户，禁用帐户或访客帐户，或者其他不应使用的帐户。

使用不应使用的 "登录帐户" 监视此事件。

帐户允许列表：你可能有一个特定允许列表的帐户，这些帐户是唯一允许执行与特定事件对应的操作的帐户。

如果此事件对应于"仅允许列表"操作，请查看" 登录帐户"， 查看允许列表之外的帐户。

受限使用的计算机：你可能拥有某些用户不应 () 的计算机。

监视目标 源工作站 ，获取来自您关心的 "登录帐户" 的凭据验证请求。

帐户命名约定：组织可能对帐户名称具有特定的命名约定。

监视 "登录帐户" 中不符合命名约定的名称。

如果 NTLM 身份验证不应用于特定帐户，请监视该帐户。 不要忘记，如果帐户登录到存储其用户帐户的设备，本地登录将始终使用 NTLM 身份验证。

如果需要，可以使用此事件收集域中的所有 NTLM 身份验证尝试。 不要忘记，如果帐户登录到存储其用户帐户的设备，本地登录将始终使用 NTLM 身份验证。

如果本地帐户应仅在本地 (例如，不允许网络登录或终端服务登录) ，则需要监视源工作站和计算机** (** 在何处生成事件以及凭据存储位置不同的所有事件) 。 ****

出于所列原因，请考虑跟踪以下错误：

要跟踪的错误

错误可能指示什么

用户使用拼写错误或错误用户帐户进行登录

例如，最近 N 分钟内的 N 事件可能是帐户枚举攻击的指示器，尤其是与高度关键帐户相关。

用户使用拼写错误或错误密码进行登陆

例如，最近 N 分钟内的 N 个事件可能是暴力密码攻击的指示器，尤其是与高度关键帐户相关。

用户在授权时间之外登录

可以指示帐户遭到入侵;与高度关键帐户尤其相关。

用户从未经授权的工作站登录

可以指示帐户遭到入侵;与高度关键帐户尤其相关。

用户登录到管理员已禁用的帐户

例如，最近 N 分钟内的 N 个事件可能是帐户泄露尝试的指示器，与高度关键帐户尤其相关。

用户使用过期帐户登录

可以指示帐户泄露尝试;与高度关键帐户尤其相关。

帐户已锁定的用户登录

可以指示暴力密码攻击;与高度关键帐户尤其相关。