4776(S, F): コンピューターがアカウントの資格情報を検証しようとした。

Event 4776 illustration

サブカテゴリ:  資格情報の検証の監査

イベントの説明:

このイベントは、NTLM 認証を使用して資格情報の検証が行われる度に生成されます。

このイベントは、指定された資格情報の権限を持つコンピューターでのみ発生します。 ドメイン アカウントの場合、ドメイン コントローラーは権限があります。 ローカル アカウントの場合、ローカル コンピューターは権限があります。

資格情報の検証の試行が成功し、失敗したと表示されます。

認証の試行が実行されたコンピューター名 (ソースワークステーション) (認証ソース) だけが表示されます。 たとえば、ドメイン アカウントを使用して CLIENT-1 から SERVER-1 に認証する場合は、[ソース ワークステーション] フィールドに CLIENT-1 が表示 されます。 このイベントでは、移動先コンピューター (SERVER-1) に関する情報は表示されません。

資格情報の検証が失敗した場合は、エラー コード パラメーター**** 値が "" と等しくない Failureイベントが0x0。

このイベントの主な利点は、ドメイン コントローラーで NTLM 認証が使用された場合にドメイン アカウントのすべての認証試行を確認できるという利点です。

ローカル アカウントのログオン試行を監視するには、イベント"4624:アカウントが正常にログオンしました" を使用する方が良いです。詳細が含まれているため、より有益です。

このイベントは、ワークステーションのロック解除イベントが発生した場合にも生成されます。

このイベントは 、ドメイン アカウントがドメイン コントローラーにローカルにログオンしても生成されません。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4776</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14336</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-07-25T04:38:11.003163100Z" /> 
 <EventRecordID>165437</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="500" ThreadID="532" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="PackageName">MICROSOFT\_AUTHENTICATION\_PACKAGE\_V1\_0</Data> 
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="Workstation">WIN81</Data> 
 <Data Name="Status">0xc0000234</Data> 
 </EventData>
 </Event>

必須のサーバーの役割: 特定の要件はありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベントのバージョン: 0.

フィールドの説明:

  • 認証パッケージ [Type = UnicodeString]: 資格情報の検証に使用 された 認証パッケージの名前。 4776イベントの場合、常に "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0" です。

****   メモ  認証パッケージは、ユーザーにログオンを許可するかどうかを判断するために使用される認証ロジックをカプセル化する DLL です。 ローカル セキュリティ機関 (LSA) は、要求を認証パッケージに送信してユーザー ログオンを認証します。 次に、認証パッケージはログオン情報を調べ、ユーザーのログオン試行を認証または拒否します。

  • ログオン アカウント [Type = UnicodeString]: 認証パッケージによって資格情報が検証されたアカウントの 名前です。 ユーザー名、コンピューター アカウント名、または既知のセキュリティ プリンシパル アカウント名を 指定できます。 例:

    • ユーザーの例: dadmin

    • コンピューター アカウントの例: WIN81$

    • ローカル システム アカウントの例: ローカル

    • ローカル サービス アカウントの例: ローカル サービス

  • Source Workstation [Type = UnicodeString]: ログオン試行の発生元コンピューターの名前。

  • エラー コード [Type = HexInt32]: エラー コードがエラー イベントに含まれる。 成功イベントの場合、このパラメーター**** には "0x0" 値があります。 次の表に、このイベントの最も一般的なエラー コードを示します。

エラー コード 説明
0xC0000064 入力したユーザー名が存在しません。 ユーザー名が悪い。
0xC000006A パスワードのスペルミスまたはパスワードの誤りを含むアカウント ログオン。
0xC000006D - 一般的なログオンエラー。
これには、次の原因が考えられるものがあります。
無効なユーザー名またはパスワードが使用された
ソース コンピューターとターゲット コンピューター の LAN マネージャー認証レベルの不一致。
0xC000006F 承認された時間外のアカウント ログオン。
0xC0000070 承認されていないワークステーションからのアカウント ログオン。
0xC0000071 有効期限が切れたパスワードを使用したアカウント ログオン。
0xC0000072 管理者が無効にしたアカウントへのアカウント ログオン。
0xC0000193 有効期限が切れたアカウントを使用したアカウント ログオン。
0xC0000224 [次回ログオン時にパスワードを変更する] フラグが設定されたアカウント ログオン。
0xC0000234 アカウントがロックされたアカウント ログオン。
0xC0000371 ローカル アカウント ストアには、指定したアカウントのシークレット マテリアルが含まれている必要があります。
0x0 エラーはありません。

表 1. Winlogon エラー コード。

セキュリティ監視の推奨事項

4776(S, F): コンピューターがアカウントの資格情報の検証を試みた。

必要な監視の種類 推奨
高い価値を持つアカウント: 高い価値を持つドメインまたはローカル アカウントを使用している場合、各アクションを監視する必要があります。
高い価値を持つアカウントには、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。
価値の高いアカウント またはアカウントに 対応する "ログオン アカウント" でこのイベントを監視します。
異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 異常や悪意のあるアクションを監視する場合は、(他の情報と一緒に ) "Logon Account" 値を使用して、特定のアカウントの使用方法や使用時間を監視します。
勤務時間外の特定のユーザー アカウントのアクティビティを監視するには、適切なログオン アカウントとソース ワークステーションのペア を監視 します。
非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 このイベントは、使用しない "ログオン アカウント" で監視します。
アカウント許可一覧: 特定のイベントに対応するアクションの実行が許可されているアカウントの特定の許可リストがある場合があります。 このイベントが "リストのみ許可する" アクションに対応する場合は、許可リストの外部にあるアカウントの "ログオン アカウント" を確認します。
制限付きコンピューター: 特定のユーザー (アカウント) がログオンしないコンピューターが存在する場合があります。 対象の ソース ワークステーションで 、懸念される "ログオン アカウント" からの資格情報検証要求を監視します。
アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 名前付け規則に準拠 しない名前については、「ログオン アカウント」を監視します。
  • NTLM 認証を特定のアカウントに使用しない場合は、そのアカウントを監視します。 アカウントがユーザー アカウントが保存されているデバイスにログオンする場合、ローカル ログオンは常に NTLM 認証を使用することを忘れないでください。

  • 必要に応じて、このイベントを使用して、ドメイン内のすべての NTLM 認証試行を収集できます。 アカウントがユーザー アカウントが保存されているデバイスにログオンする場合、ローカル ログオンは常に NTLM 認証を使用することを忘れないでください。

  • ローカル アカウントのみをローカルで使用する必要がある場合 (たとえば、ネットワーク ログオンやターミナル サービスログオンが許可されていない場合)、ソース ワークステーションと****コンピューター (イベントが生成され、資格情報が格納されている場所) が異なる値を持つすべてのイベントを監視する必要があります。

  • 次に示す理由で、次のエラーの追跡を検討してください。

追跡するエラー エラーが示す可能性があるもの
スペルミスまたは誤ったユーザー アカウントを使用したユーザー ログオン たとえば、最後の N 分の N イベントは、アカウント列挙攻撃の指標になります。特に重要なアカウントに関連します。
パスワードのスペルミスまたはパスワードの誤りを含むユーザー ログオン たとえば、最後の N 分間の N イベントは、ブルートフォースパスワード攻撃の指標になります。特に重大なアカウントに関連します。
承認された時間外のユーザー ログオン 侵害されたアカウントを示す場合があります。特に重要なアカウントに関連します。
承認されていないワークステーションからのユーザー ログオン 侵害されたアカウントを示す場合があります。特に重要なアカウントに関連します。
管理者が無効にしたアカウントへのユーザー ログオン たとえば、最後の N 分の N イベントは、アカウント侵害の試みを示す指標になります。特に重要なアカウントに関連します。
有効期限が切れたアカウントを使用したユーザー ログオン アカウント侵害の試みを示す場合があります。特に重要なアカウントに関連します。
アカウントがロックされたユーザー ログオン ブルートフォースパスワード攻撃を示す可能性があります。特に重要なアカウントに関連します。