Windows イベント ビューアーにセキュリティ ログ イベント ID 4776、コンピューターがアカウントの資格情報を検証しようとしていますという一連のメッセージが表示されることに気付きましたか? 成功した場合、心配する必要はありません。しかし、イベント ID の失敗の試行が数多く表示される場合は、問題があります。イベント ID 4776 の失敗は、ユーザー名が不明またはログインの試行、名前のスペルミス、または誰かが無効なアカウントにアクセスしようとしている場合に特定できます。
ただし、イベント ID 4776 - ドメイン コントローラーがアカウントの資格情報を検証しようとしていますまたはコンピューターがアカウントの資格情報を検証しようとしていますが表示される場合は、これらの試行のソースに関する重要な詳細情報が提供されます。この投稿では、このメッセージの意味について説明します。
イベント ID 4776 とは何ですか?
イベント ID 4776 は、NTLM (NT LAN Manager) を使用してアカウントの資格情報を検証するためにログオン サーバーとして使用されているドメイン コントローラー (DC) またはローカル SAM のログ イベントです。このイベントは、ドメイン コントローラー、ワークステーション、Windows サーバーに記録されます。NTLM は、ローカル ログオンの既定の検証システムです。
ドメイン コントローラーでログオンが試行されるたびに DC に記録され、資格情報 (成功/失敗) が NTLM で認証されると、イベント ID 4776 が記録されます。また、ローカル SAM アカウント (サーバー/ワークステーションが資格情報を認証) を介してログオンを試行した場合、イベント ID 4776 がローカル マシンに記録されます。
以下は、イベント ID 4776 に含まれる要素です:
- 認証パッケージ– "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0"。
- ログオン アカウント– ログオンを試行したユーザーまたはコンピューターのアカウント名。ログオン アカウントは、よく知られたセキュリティ原則である場合もあります。
- ソース ワークステーション– ログオンを作成するために使用されたクライアントのコンピューター名が示されます。
- エラー コード – 検証が成功したか失敗したかを示します。エラー コードに 0x0 が表示される場合、資格情報が正常に検証されたことを意味します。0x0 以外の場合、資格情報が検証されなかったことを意味します。この場合、フィールドには認証失敗 - イベント ID 4776 (F)が表示されます。
イベント ID 4776、コンピューターがアカウントの資格情報を検証しようとしています
イベント ログ 4776 の失敗の試行が常に心配の原因になるわけではありませんが、レインボー攻撃など、懸念の原因となる場合があります。そのような場合、以下の手順に従って問題をトラブルシューティングできます:
1] Windows セキュリティ ログ イベント ID 4776 の NTLM による検証
検証が NTLM を介して行われた場合、ユーザーまたはワークステーションを簡単に見つけることができます。
2] Windows セキュリティ ログ イベント ID 4776 の匿名検証
ただし、ワークステーションが名前なしで外部からログオンを試行した場合、または偽のアカウントであるように見える場合は、匿名ワークステーションのソースを特定する必要があります。この場合:
- パケット スニファーなどのサードパーティ製のツールをドメイン コントローラーにインストールして、これらのイベントとともにトラフィックを捕捉します。または、ネットワーク デバッガーまたは DCDiag を使用してソースを見つけることができます。
- 自分またはシステム管理者がユーザーに対して RDP (ポート 3389) を開いており、資格情報を検証するために Kerberos を使用しているかどうかを確認します。RDP が開いている場合は、ファイアウォールまたは VPN を使用して外部からの承認された試行を許可できます。
3] 付随するエラー コードを確認します
付随するエラー コードは、トラブルシューティングする必要がある方向を示します。
| エラー コード | 説明 |
|---|---|
| 0xC0000064 | 入力したユーザー名は存在しません。ユーザー名が正しくありません。 |
| 0xC000006A | アカウント ログオンでスペルミスまたは間違ったパスワードを使用しました。 |
| 0xC000006D | – 一般的なログオンの失敗。 考えられる原因の一部: 無効なユーザー名またはパスワードが使用された ソース コンピューターとターゲット コンピューターの間で LAN マネージャー認証レベルが一致しない。 |
| 0xC000006F | 許可された時間外でのアカウント ログオン。 |
| 0xC0000070 | 許可されていないワークステーションからのアカウント ログオン。 |
| 0xC0000071 | パスワードの有効期限が切れたアカウント ログオン。 |
| 0xC0000072 | 管理者によって無効にされたアカウントへのアカウント ログオン。 |
| 0xC0000193 | アカウントの有効期限が切れたアカウント ログオン。 |
| 0xC0000224 | 「次回のログオン時にパスワードを変更」がフラグ設定されたアカウント ログオン。 |
| 0xC0000234 | アカウントがロックされたアカウント ログオン。 |
| 0xC0000371 | ローカル アカウント ストアには、指定されたアカウントの秘密情報が含まれていません。 |
| 0x0 | エラーなし。 |
Microsoft の Windows セキュリティ ログ イベント ID 4776 について詳しくはこちらをご覧ください。
イベント ID 4776 と 4624 の違いは何ですか?
イベント ID 4776 は、アカウントがロックされているため、パスワードまたは ID が正しくないためにログインが失敗したことを示し、イベント ID 4624 はログインが成功したことを示します。ドメイン コントローラーにアクセスできる場合は Windows セキュリティ ログ イベント ID 4776 が表示され、4624 は資格情報がローカル マシンに予約されているか、システムがドメイン コントローラーに到達できない場合に発生します。
Kerberos 認証の失敗のイベント ID は何ですか?
Kerberos 認証エラーはイベント ID 4771 をトリガーします。Kerberos によるユーザーの事前検証の試行が失敗した場合に発生するセキュリティ監査ログ メッセージを Windows に登録します。このメッセージは、ユーザーとコンピューターに認証の失敗の理由を通知します。
コメントする