域内疯狂审核失败，失败id4776

Toutes les réponses

• 

  

  0

  Connectez-vous pour voter

  您好，
  
  根据我的研究，当通过NTLM进行域身份验证时，会产生事件ID4776。而错误代码0xC0000064和0xC000006A则分别表示不正确的用户名和密码。基于当前的情况，建议通过事件日志中的“Source Workstation”字段对源头计算机进行排查。下面的文档供您参考：
  4776(S, F): The computer attempted to validate the credentials for an account.（英文）
  https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4776
  
  如果需要进一步的帮助，请随时告诉我们。
  
  此致
  Albert

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  vendredi 13 avril 2018 02:05

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  日志名称:          Security
  来源:            Microsoft-Windows-Security-Auditing
  日期:            2018/4/13 14:07:29
  事件 ID:         4776
  任务类别:          凭据验证
  级别:            信息
  关键字:           审核失败
  用户:            暂缺
  计算机:           PDC.*.com
  描述:
  计算机试图验证帐户的凭据。
  
  验证包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  登录帐户:
  源工作站:
  错误代码: 0xC0000064
  事件 Xml:
  <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
      <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
      <EventID>4776</EventID>
      <Version>0</Version>
      <Level>0</Level>
      <Task>14336</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8010000000000000</Keywords>
      <TimeCreated SystemTime="2018-04-13T06:07:29.850540900Z" />
      <EventRecordID>34200810</EventRecordID>
      <Correlation />
      <Execution ProcessID="960" ThreadID="4008" />
      <Channel>Security</Channel>
      <Computer>PDC.*.com</Computer>
      <Security />
    </System>
    <EventData>
      <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
      <Data Name="TargetUserName">
      </Data>
      <Data Name="Workstation">
      </Data>
      <Data Name="Status">0xc0000064</Data>
    </EventData>
  </Event>

  您好，这是其中一个日志，可以看到源工作站这里是空白的，我无法追查下去是哪台。

  
  

  • Modifié 殇风 vendredi 13 avril 2018 06:14

  vendredi 13 avril 2018 06:13

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  您好，
  
  介于这种情况，建议可以通过Network Monitor进行网络抓包，看看进行验证请求的是哪台机器，下载链接如下：
  https://www.microsoft.com/en-us/download/details.aspx?id=4865
  
  此致
  Albert

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  • Marqué comme réponse 殇风 mardi 17 avril 2018 06:37

  vendredi 13 avril 2018 08:45

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  您好，
  
  请问之前提供的信息有帮助吗？如果您使用我们的方法解决了问题，请将其“标记为答复”，以帮助其他社区成员能够快速找到有帮助的答复。
  
  此致
  Albert
  

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  mardi 17 avril 2018 02:08

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  您的问题解决了吗，我有跟您一样的类似问题需要请教。

  mardi 19 février 2019 08:27

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  您好，

      想请教一下，这边遇到了同样的情况，域控服务器出现4776大量审核失败。使用了Network Monitor抓包，通过日志中的ProcessID找到了对应的进程lsass.exe，进而找到了进程对应的数据包。现在想找到审核失败的源IP（因为安全日志信息中源工作站信息缺失），如何该进一步确认哪些数据包是与审核失败安全日志相关的？谢谢！

  mercredi 27 février 2019 05:31

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  同样的问题，抓包，怎么确认那些包是审核失败的的呢

  dimanche 5 mai 2019 07:23

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  服务器向internet开放了远程桌面端口吧……

  ---

  ---

  Visual C++ MVP

  dimanche 5 mai 2019 13:51

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  这个很大可能是域中存在两个相同的spn，造成访问失败。建议通过sespn -x命令查询一下是否存在相同的spn

  • Proposé comme réponse FRINCK vendredi 11 mars 2022 05:42

  vendredi 11 mars 2022 05:42

  Réponse

  |

  Citation