4776(S, F): コンピューターがアカウントの資格情報を検証しようとしました。

Event 4776 illustration

サブカテゴリ: 資格情報の検証の監査

イベントの説明:

このイベントは、NTLM 認証を使用して資格情報の検証が行われるたびに生成されます。

このイベントは、指定された資格情報に対して権限を持つコンピューターでのみ発生します。 ドメイン アカウントの場合、ドメイン コントローラーは権限を持っています。 ローカル アカウントの場合、ローカル コンピューターは権限があります。

資格情報の検証の試行が成功し、失敗したことが示されます。

認証試行が実行されたコンピューター名 (ソース ワークステーション) のみが表示されます (認証ソース)。 たとえば、ドメイン アカウントを使用して CLIENT-1 から SERVER-1 に認証する場合、[ ソース ワークステーション ] フィールドに CLIENT-1 が表示されます。 このイベントでは、対象のコンピューター (SERVER-1) に関する情報は表示されません。

資格情報の検証の試行が失敗した場合、 エラー コード パラメーター値が "0x0" と等しくない Failure イベントが表示されます。

このイベントの主な利点は、ドメイン コントローラーでは、NTLM 認証が使用されたときのドメイン アカウントに対するすべての認証試行を確認できることです。

ローカル アカウントのログオン試行を監視する場合は、イベント "4624: アカウントが正常にログオンしました" を使用することをお勧めします。詳細が含まれており、より有益です。

このイベントは、ワークステーションのロック解除イベントが発生したときにも生成されます。

このイベントは、ドメイン アカウントがドメイン コントローラーにローカルでログオンするときに生成 されません

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4776</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14336</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-07-25T04:38:11.003163100Z" /> 
 <EventRecordID>165437</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="500" ThreadID="532" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="PackageName">MICROSOFT\_AUTHENTICATION\_PACKAGE\_V1\_0</Data> 
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="Workstation">WIN81</Data> 
 <Data Name="Status">0xc0000234</Data> 
 </EventData>
 </Event>

必要なサーバー ロール: 特定の要件はありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン: 0。

フィールドの説明:

  • 認証パッケージ [Type = UnicodeString]: 資格情報の検証に使用された 認証パッケージ の名前。 4776 イベントの場合は常に "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0" です。

メモ  認証パッケージ は、ユーザーのログオンを許可するかどうかを判断するために使用される認証ロジックをカプセル化する DLL です。 ローカル セキュリティ機関 (LSA) は、要求を認証パッケージに送信することで、ユーザー ログオンを認証します。 認証パッケージはログオン情報を調べ、ユーザーのログオン試行を認証または拒否します。

  • ログオン アカウント [Type = UnicodeString]: 認証パッケージによって資格情報が検証されたアカウントの名前。 ユーザー名、コンピューター アカウント名、既知 のセキュリティ プリンシパル アカウント名を指定できます。 例:

    • ユーザー例: dadmin

    • コンピューター アカウントの例: WIN81$

    • ローカル システム アカウントの例: ローカル

    • ローカル サービス アカウントの例: ローカル サービス

  • ソース ワークステーション [Type = UnicodeString]: ログオン試行が発生したコンピューターの名前。

  • エラー コード [Type = HexInt32]: エラー イベントのエラー コードが含まれています。 Success イベントの場合、このパラメーターには "0x0" 値があります。 次の表に、このイベントの最も一般的なエラー コードを示します。

エラー コード 説明
0xC0000064 入力したユーザー名が存在しません。 ユーザー名が正しくありません。
0xC000006A スペルが間違っているか、パスワードが正しくないアカウント ログオン。
0xC000006D - 一般的なログオンエラー。
これには、考えられる原因の一部を次に示します。
無効なユーザー名またはパスワードが使用されました
LAN Manager 認証レベル が、ソース コンピューターとターゲット コンピューターの間で一致しません。
0xC000006F 承認された時間外のアカウント ログオン。
0xC0000070 未承認のワークステーションからのアカウント ログオン。
0xC0000071 パスワードの有効期限が切れたアカウント ログオン。
0xC0000072 管理者が無効にしたアカウントへのアカウント ログオン。
0xC0000193 アカウントの有効期限が切れたアカウント ログオン。
0xC0000224 "次回ログオン時にパスワードを変更する" フラグが設定されたアカウント ログオン。
0xC0000234 アカウントがロックされたアカウント ログオン。
0xC0000371 ローカル アカウント ストアには、指定したアカウントのシークレット マテリアルが含まれていません。
0x0 エラーなし。

表 1. Winlogon エラー コード。

セキュリティ監視の推奨事項

4776(S, F): コンピューターがアカウントの資格情報を検証しようとしました。

必要な監視の種類 推奨
高い価値を持つアカウント: 高い価値を持つドメインまたはローカル アカウントを使用している場合、各アクションを監視する必要があります。
高い価値を持つアカウントには、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。
このイベントは、価値の高いアカウントまたはアカウントに対応する "ログオン アカウント" で監視します。
異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 異常または悪意のあるアクションを監視する場合は、(他の情報と共に) "ログオン アカウント" 値を使用して、特定のアカウントが使用されている方法とタイミングを監視します。
勤務時間外に特定のユーザー アカウントのアクティビティを監視するには、適切な ログオン アカウントとソース ワークステーション のペアを監視します。
非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 このイベントは、使用してはならない "ログオン アカウント" で 監視します。
アカウント許可一覧: 特定のイベントに対応するアクションの実行が許可されているアカウントの特定の許可リストがある場合があります。 このイベントが "リストのみの許可" アクションに対応する場合は、許可リストの外部にあるアカウントの "ログオン アカウント" を 確認します。
制限付き使用コンピューター: 特定のユーザー (アカウント) がログオンしないコンピューターがある場合があります。 対象の ソース ワークステーション で、関心のある "ログオン アカウント" からの資格情報検証要求を監視します。
アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 名前付け規則に準拠していない名前の "ログオン アカウント" を 監視します。
  • 特定のアカウントに NTLM 認証を使用しない場合は、そのアカウントを監視します。 アカウントがユーザー アカウントが保存されているデバイスにログオンする場合、ローカル ログオンでは常に NTLM 認証が使用されることを忘れないでください。

  • このイベントを使用して、必要に応じてドメイン内のすべての NTLM 認証試行を収集できます。 アカウントがユーザー アカウントが保存されているデバイスにログオンする場合、ローカル ログオンでは常に NTLM 認証が使用されることを忘れないでください。

  • ローカル アカウントをローカルでのみ使用する必要がある場合 (たとえば、ネットワーク ログオンやターミナル サービスのログオンが許可されていない場合)、 ソース ワークステーションコンピューター (イベントが生成され、資格情報が格納されている場所) の値が異なるすべてのイベントを監視する必要があります。

  • 一覧に記載されている理由で、次のエラーを追跡することを検討してください。

追跡するエラー エラーが示す内容
スペルミスまたは不適切なユーザー アカウントを使用したユーザー ログオン たとえば、過去 N 分間の N 個のイベントは、特に非常に重要なアカウントに関連する、アカウント列挙攻撃のインジケーターになる可能性があります。
スペルミスまたは不適切なパスワードを使用したユーザー ログオン たとえば、過去 N 分間の N 個のイベントは、ブルートフォース パスワード攻撃のインジケーターであり、特に非常に重要なアカウントに関連します。
承認された時間外のユーザー ログオン 侵害されたアカウントを示すことができます。特に重要なアカウントに関連します。
承認されていないワークステーションからのユーザー ログオン 侵害されたアカウントを示すことができます。特に重要なアカウントに関連します。
管理者によって無効になっているアカウントへのユーザー ログオン たとえば、過去 N 分間の N 個のイベントは、特に非常に重要なアカウントに関連する、アカウント侵害の試行を示すインジケーターになります。
有効期限が切れたアカウントでのユーザー ログオン アカウント侵害の試行を示すことができます。特に重要なアカウントに関連します。
アカウントがロックされたユーザー ログオン ブルート フォース パスワード攻撃を示すことができます。特に重要なアカウントに関連します。