Bemerken Sie eine Reihe von Sicherheitsprotokoll-Ereignis-ID 4776: Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen in der Windows-Ereignisanzeige? Es besteht kein Grund zur Sorge, wenn es ein Erfolg wird. Es ist jedoch besorgniserregend, wenn mehrere fehlgeschlagene Versuche mit der Ereignis-ID angezeigt werden. Sie können den Fehler mit der Ereignis-ID 4776 an unbekannten Benutzernamen oder Anmeldeversuchen, falsch geschriebenen Namen oder daran erkennen, dass jemand versucht, auf ungültige Konten zuzugreifen.

Windows-Sicherheitsprotokoll-Ereignis-Id 4776

Aber wenn du es siehst Ereignis-ID 4776 – Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu validieren oder Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu validierenliefert es Ihnen einige wichtige Details zu den Quellen dieser Versuche. In diesem Beitrag werden wir die Bedeutung dieser Nachricht diskutieren.

Was ist die Ereignis-ID 4776?

Die Ereignis-ID 4776 ist ein Protokollereignis im Domänencontroller (DC) oder lokalen SAM, der als Anmeldeserver verwendet wurde, um die Anmeldeinformationen eines Kontos mithilfe von NTLM (NT LAN Manager) zu überprüfen. Dieses Ereignis wird für Domänencontroller, Arbeitsstationen und Windows-Server protokolliert. NTLM ist das Standardverifizierungssystem für die lokale Anmeldung.

Jedes Mal, wenn ein Anmeldeversuch auf einem Domänencontroller erfolgt, wird dieser im DC aufgezeichnet und sobald er die Anmeldeinformationen (Erfolg/Fehler) über NTLM authentifiziert, protokolliert er die Ereignis-ID 4776. Auch für einen Anmeldeversuch über ein lokales SAM-Konto (Server). /workstation authentifiziert Anmeldeinformationen), wird die Ereignis-ID 4776 am lokalen Computer angemeldet.

Siehe auch  Windows kann Microsoft Office\root\Office16\outlook.exe nicht finden

Nachfolgend sind die Elemente aufgeführt, die in der Ereignis-ID 4776 enthalten sind:

  • Das Authentifizierungspaket – „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0“.
  • Das Anmeldekonto – Kontoname des Benutzers oder Computers, der versucht hat, sich anzumelden. Auch ein Anmeldekonto kann ein bekanntes Sicherheitsprinzip sein.
  • Die Quell-Workstation – Hier wird der Computername des Clients angezeigt, der zum Erstellen der Anmeldung verwendet wurde.
  • Fehlercode – Hier wird angezeigt, ob die Verifizierung erfolgreich war oder fehlgeschlagen ist. Wenn der Fehlercode 0x0 anzeigt, bedeutet dies, dass die Anmeldeinformationen erfolgreich validiert wurden. Wenn es nicht 0x0 ist, bedeutet das, dass die Anmeldeinformationen nicht validiert wurden. In diesem Fall wird das Feld angezeigt Authentifizierungsfehler – Ereignis-ID 4776 (F).

Ereignis-ID 4776: Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen

Während ein fehlgeschlagener Versuch für ein Ereignisprotokoll 4776 möglicherweise nicht immer Anlass zur Sorge gibt, kann es manchmal doch Anlass zur Sorge geben, beispielsweise bei einem Rainbow-Angriff. In einem solchen Fall können Sie die folgenden Schritte ausführen, um das Problem zu beheben:

1]Windows-Sicherheitsprotokoll-Ereignis-ID 4776-Validierung über NTLM

Wenn die Validierung über NTLM erfolgt, können Sie den Benutzer oder die Workstation leicht finden.

Lesen: Die Ereignisanzeige fehlt in Windows

2]Anonyme Validierung des Windows-Sicherheitsprotokolls mit Ereignis-ID 4776

Wenn die Workstation jedoch versucht, sich von außen ohne Namen anzumelden, oder wenn es den Anschein hat, dass es sich um ein gefälschtes Konto handelt, müssen Sie die Quelle der anonymen Workstation identifizieren. In diesem Fall:

  • Installieren Sie Tools von Drittanbietern wie einen Paket-Sniffer auf dem Domänencontroller, um den Datenverkehr neben diesen Ereignissen zu erfassen. Oder Sie können einen Netzwerk-Debugger oder DCDiag verwenden, um die Quelle zu finden.
  • Überprüfen Sie, ob Sie oder der Systemadministrator RDP (Port 3389) für Benutzer geöffnet haben und das Kerberos zur Validierung der Anmeldeinformationen ist. Wenn das RDP geöffnet ist, können Sie entweder eine Firewall oder ein VPN verwenden, um autorisierte Versuche von außen zuzulassen.
Siehe auch  Foto-App stürzt mit Dateisystemfehler in Windows 11/10 ab

3]Überprüfen Sie den zugehörigen Fehlercode

Der zugehörige Fehlercode gibt die Richtung an, in die Sie den Fehler beheben müssen.

Fehlercode Beschreibung
0xC0000064 Der von Ihnen eingegebene Benutzername existiert nicht. Ungültiger Benutzername.
0xC000006A Kontoanmeldung mit einem falsch geschriebenen oder falschen Passwort.
0xC000006D – Allgemeiner Anmeldefehler. Einige der möglichen Ursachen dafür: Es wurde ein ungültiger Benutzername und/oder ein ungültiges Passwort verwendet Nichtübereinstimmung der LAN Manager-Authentifizierungsebene zwischen Quell- und Zielcomputern.
0xC000006F Kontoanmeldung außerhalb der autorisierten Zeiten.
0xC0000070 Kontoanmeldung von einem nicht autorisierten Arbeitsplatz.
0xC0000071 Kontoanmeldung mit abgelaufenem Passwort.
0xC0000072 Die Kontoanmeldung wurde vom Administrator deaktiviert.
0xC0000193 Kontoanmeldung mit abgelaufenem Konto.
0xC0000224 Kontoanmeldung mit der Markierung „Passwort bei nächster Anmeldung ändern“.
0xC0000234 Kontoanmeldung mit gesperrtem Konto.
0xC0000371 Der lokale Kontospeicher enthält kein geheimes Material für das angegebene Konto.
0x0 Keine Fehler.

Hier erfahren Sie mehr über die Windows-Sicherheitsprotokoll-Ereignis-ID 4776 von Microsoft.

Lesen Sie weiter: Benutzerprofildienst-Ereignis-IDs 1500, 1511, 1530, 1533, 1534, 1542

Was ist der Unterschied zwischen der Ereignis-ID 4776 und 4624?

Die Ereignis-ID 4776 weist auf einen fehlgeschlagenen Anmeldeversuch aufgrund eines falschen Passworts oder einer falschen ID hin. Das Konto ist gesperrt, während die Ereignis-ID 4624 auf eine erfolgreiche Anmeldung hinweist. Sie können die Windows-Sicherheitsprotokoll-Ereignis-ID 4776 sehen, wenn auf den Domänencontroller zugegriffen werden kann, während 4624 auftritt, wenn Anmeldeinformationen auf dem lokalen Computer reserviert sind oder das System den Domänencontroller nicht erreichen kann.

Wie lautet die Ereignis-ID für einen Kerberos-Authentifizierungsfehler?

Der Kerberos-Authentifizierungsfehler löst die Ereignis-ID 4771 aus. Er registriert eine Sicherheitsüberwachungsprotokollmeldung in Windows, die auftritt, wenn der Vorabvalidierungsversuch des Benutzers durch Kerberos fehlschlägt. Diese Meldung informiert den Benutzer und den Computer über den Grund für den Authentifizierungsfehler.

Siehe auch  Die besten kostenlosen Canva-Vorlagen für Instagram
Anzeige

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein