数千个 4776 事件

Question

我面临一个问题，导致 DC 上发生数千个成功的 4776 事件。我发现某种网络打印机枚举导致了它。例如，每次在word中刷新或打开打印机，都会触发大量4776。即使用户不使用计算机，因此计算机被锁定，也会发生这种情况。知道为什么会这样吗？我怀疑这是由于打开名为管道的打印机引起的，我在 ProcMon 创建、关闭 pipeline\spools 打印机路径上的文件中看到。服务器是W2K8 R2，客户端是W10

提前致谢

Answer 1

每次使用 NTLM 身份验证进行凭据验证时，通常都会出现此问题“数千个 4776 事件”。它显示成功和不成功的凭据验证尝试。

只有权威帐户才会出现此错误。对于域
帐户，域控制器具有权威。对于本地帐户，
本地计算机是权威的。当工作站解锁事件发生时，也会生成此事件。

从 4776 事件日志中获取源工作站地址，请检查以下步骤：

• 尝试检查用户是否输入了错误的凭据来运行计划任务、启动服务等。
• 尝试检查凭据管理以了解缓存中是否存在任何旧凭据。
• 挂载网盘时检查是否输入了错误的密码。
• 检查是否有第三方程序缓存了用户错误的密码。

参考文献：

4776 (S, F) 计算机尝试验证帐户的凭据。 (Windows 10) - Windows 安全 |微软文档。

事件 ID 4776 / 0xc00006a - Microsoft Q& ;A。