none
域内疯狂审核失败,失败id4776 RRS feed

  • 问题

  • 开启审核后发现审核失败一直不停,每秒都有新的失败通知,失败账号有admin,administrator,test,test1,user等等,代码是0xC0000064和0xC000006A。服务器是winserver2012的,这种情况会影响正常使用么?要如何解决呢?

    • 在我们能够验证您的帐户前,正文文本不能包含图片和链接。
    • 我要怎么验证我的账户以上传图片更好的描述我的问题?


    2018年4月12日 8:39

答案

全部回复

  • 您好,

    根据我的研究,当通过NTLM进行域身份验证时,会产生事件ID4776。而错误代码0xC0000064和0xC000006A则分别表示不正确的用户名和密码。基于当前的情况,建议通过事件日志中的“Source Workstation”字段对源头计算机进行排查。下面的文档供您参考:
    4776(S, F): The computer attempted to validate the credentials for an account.(英文)
    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4776

    如果需要进一步的帮助,请随时告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月13日 2:05
  • 日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    日期:            2018/4/13 14:07:29
    事件 ID:         4776
    任务类别:          凭据验证
    级别:            信息
    关键字:           审核失败
    用户:            暂缺
    计算机:           PDC.*.com
    描述:
    计算机试图验证帐户的凭据。

    验证包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    登录帐户:
    源工作站:
    错误代码: 0xC0000064
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4776</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>14336</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2018-04-13T06:07:29.850540900Z" />
        <EventRecordID>34200810</EventRecordID>
        <Correlation />
        <Execution ProcessID="960" ThreadID="4008" />
        <Channel>Security</Channel>
        <Computer>PDC.*.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
        <Data Name="TargetUserName">
        </Data>
        <Data Name="Workstation">
        </Data>
        <Data Name="Status">0xc0000064</Data>
      </EventData>
    </Event>

    您好,这是其中一个日志,可以看到源工作站这里是空白的,我无法追查下去是哪台。


    • 已编辑 殇风 2018年4月13日 6:14
    2018年4月13日 6:13
  • 您好,

    介于这种情况,建议可以通过Network Monitor进行网络抓包,看看进行验证请求的是哪台机器,下载链接如下:
    https://www.microsoft.com/en-us/download/details.aspx?id=4865

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 殇风 2018年4月17日 6:37
    2018年4月13日 8:45
  • 您好,

    请问之前提供的信息有帮助吗?如果您使用我们的方法解决了问题,请将其“标记为答复”,以帮助其他社区成员能够快速找到有帮助的答复。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月17日 2:08
  • 您的问题解决了吗,我有跟您一样的类似问题需要请教。
    2019年2月19日 8:27
  • 您好,

        想请教一下,这边遇到了同样的情况,域控服务器出现4776大量审核失败。使用了Network Monitor抓包,通过日志中的ProcessID找到了对应的进程lsass.exe,进而找到了进程对应的数据包。现在想找到审核失败的源IP(因为安全日志信息中源工作站信息缺失),如何该进一步确认哪些数据包是与审核失败安全日志相关的?谢谢!

    2019年2月27日 5:31
  • 同样的问题,抓包,怎么确认那些包是审核失败的的呢
    2019年5月5日 7:23
  • 服务器向internet开放了远程桌面端口吧……


    Visual C++ MVP

    2019年5月5日 13:51