ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Event ID 4771WarningMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos

L'ID d'événement 4771 indique un échec de pré-authentification Kerberos, généralement causé par des mots de passe incorrects, des comptes expirés ou des problèmes de synchronisation temporelle entre le client et le contrôleur de domaine.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4771Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4771 représente un événement d'audit de sécurité critique qui se produit lorsque l'authentification préalable Kerberos échoue sur un contrôleur de domaine Windows. Le protocole Kerberos exige que les clients prouvent la connaissance de leur mot de passe par une authentification préalable avant que le Centre de Distribution de Clés (KDC) n'émette des tickets d'authentification. Lorsque cette vérification initiale échoue, le contrôleur de domaine enregistre cet événement avec des informations détaillées sur l'échec.

L'événement contient plusieurs champs importants, y compris le nom du compte qui a échoué à l'authentification, l'adresse IP du client, le code d'échec indiquant la raison spécifique de l'échec, et les informations sur le certificat si une authentification basée sur un certificat a été tentée. Les codes d'échec courants incluent 0x18 (mauvais mot de passe), 0x12 (compte désactivé), 0x17 (mot de passe expiré), et 0x25 (écart d'horloge trop important).

D'un point de vue sécurité, l'ID d'événement 4771 sert de système d'alerte précoce pour des attaques potentielles. Plusieurs événements 4771 provenant de la même IP source ciblant différents comptes peuvent indiquer une attaque par pulvérisation de mots de passe, tandis que des échecs répétés contre un seul compte pourraient suggérer une tentative de force brute. Les équipes de sécurité configurent souvent des systèmes SIEM pour alerter sur les modèles de ces événements afin de détecter une activité malveillante avant que les comptes ne soient compromis.

L'événement joue également un rôle crucial dans le dépannage des problèmes d'authentification légitimes. Lorsque les utilisateurs signalent des problèmes de connexion, l'examen des événements 4771 aide les administrateurs à identifier rapidement si le problème provient de mots de passe incorrects, de verrouillages de compte, de certificats expirés ou de problèmes d'infrastructure tels que des problèmes de synchronisation temporelle entre les clients et les contrôleurs de domaine.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Entrées de mot de passe incorrectes - Utilisateurs tapant des mots de passe incorrects ou utilisant des identifiants obsolètes
  • Verrouillages de compte - Comptes désactivés en raison de plusieurs tentatives de connexion échouées ou d'une action administrative
  • Mots de passe expirés - Mots de passe utilisateur ayant dépassé l'âge maximum de la politique de mot de passe du domaine
  • Problèmes de synchronisation temporelle - Décalage d'horloge entre le client et le contrôleur de domaine dépassant la tolérance maximale (typiquement 5 minutes)
  • Comptes d'utilisateur désactivés - Comptes qui ont été désactivés administrativement ou sont inactifs
  • Attaques par pulvérisation de mot de passe - Acteurs malveillants essayant des mots de passe courants sur plusieurs comptes
  • Attaques par force brute - Tentatives de connexion répétées sur des comptes spécifiques avec différents mots de passe
  • Problèmes de compte de service - Services automatisés utilisant des identifiants incorrects ou expirés
  • Échecs d'authentification par certificat - Problèmes d'authentification par carte à puce ou basée sur un certificat
  • Problèmes de connectivité réseau - Problèmes de réseau intermittents causant des expirations de délai d'authentification
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4771 pour comprendre la raison de l'échec et le compte affecté.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4771 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4771 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les événements 4771 récents pour examiner les détails
  6. Notez le Nom du compte, l'Adresse du client, et le Code d'échec dans la description de l'événement
  7. Recoupez le code d'échec : 0x18 (mauvais mot de passe), 0x12 (compte désactivé), 0x17 (mot de passe expiré), 0x25 (décalage horaire)
Astuce pro : Utilisez le code d'échec pour identifier rapidement la cause principale. Le code 0x18 indique des problèmes de mot de passe, tandis que 0x25 pointe vers des problèmes de synchronisation temporelle.
02

Interroger les événements avec PowerShell pour l'analyse des motifs

Utilisez PowerShell pour analyser les modèles dans les événements 4771 et identifier les menaces potentielles pour la sécurité ou les problèmes systémiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents 4771 avec des informations détaillées :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4771} -MaxEvents 100 | 
Select-Object TimeCreated, @{Name='Account';Expression={$_.Properties[0].Value}}, 
@{Name='ClientAddress';Expression={$_.Properties[6].Value}}, 
@{Name='FailureCode';Expression={$_.Properties[4].Value}} | 
Format-Table -AutoSize
  1. Identifiez les modèles en regroupant les événements par adresse client :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4771} -MaxEvents 500 | 
Group-Object @{Expression={$_.Properties[6].Value}} | 
Sort-Object Count -Descending | 
Select-Object Name, Count | Format-Table
  1. Vérifiez les attaques potentielles de pulvérisation de mots de passe en analysant la distribution des comptes :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4771} -MaxEvents 1000 | 
Group-Object @{Expression={$_.Properties[0].Value}} | 
Where-Object {$_.Count -gt 5} | 
Sort-Object Count -Descending
Avertissement : Des nombres élevés d'événements provenant d'adresses IP uniques peuvent indiquer une activité malveillante. Enquêtez immédiatement et envisagez de bloquer les IP suspectes.
03

Vérifier le statut du compte et la politique de mot de passe

Vérifiez l'état du compte utilisateur affecté et vérifiez la conformité à la politique de mot de passe pour résoudre les problèmes d'authentification.

  1. Ouvrez Active Directory Users and Computers (dsa.msc)
  2. Localisez le compte utilisateur affecté mentionné dans l'événement 4771
  3. Cliquez avec le bouton droit sur le compte et sélectionnez Propriétés
  4. Vérifiez l'onglet Compte pour l'état du compte :
    • Vérifiez que Compte est désactivé n'est pas coché
    • Vérifiez si Compte est verrouillé et déverrouillez si nécessaire
    • Examinez les paramètres Expiration du compte
  5. Examinez les paramètres de mot de passe sur l'onglet Compte :
    • Notez si L'utilisateur doit changer le mot de passe à la prochaine connexion est coché
    • Vérifiez le statut Le mot de passe n'expire jamais
  6. Utilisez PowerShell pour vérifier les détails du compte de manière programmatique :
Get-ADUser -Identity "username" -Properties PasswordLastSet, PasswordExpired, 
LockedOut, Enabled, AccountExpirationDate | 
Select-Object Name, Enabled, LockedOut, PasswordExpired, PasswordLastSet, AccountExpirationDate
  1. Réinitialisez le mot de passe si nécessaire :
Set-ADAccountPassword -Identity "username" -Reset -NewPassword (ConvertTo-SecureString "NewPassword123!" -AsPlainText -Force)
Set-ADUser -Identity "username" -ChangePasswordAtLogon $true
04

Vérifier la synchronisation de l'heure et la connectivité réseau

Résolvez les problèmes de synchronisation de l'heure et les problèmes de réseau qui peuvent causer des échecs de pré-authentification Kerberos.

  1. Vérifiez la synchronisation de l'heure sur la machine cliente rencontrant des problèmes d'authentification :
w32tm /query /status
w32tm /query /peers
  1. Comparez l'heure du client avec l'heure du contrôleur de domaine :
$DCTime = Invoke-Command -ComputerName "DC01" -ScriptBlock {Get-Date}
$LocalTime = Get-Date
$TimeDiff = ($DCTime - $LocalTime).TotalMinutes
Write-Host "Différence de temps : $TimeDiff minutes"
  1. Forcez la synchronisation de l'heure si la différence dépasse 5 minutes :
w32tm /resync /force
  1. Testez la connectivité réseau au contrôleur de domaine :
Test-NetConnection -ComputerName "DC01.domain.com" -Port 88
Test-NetConnection -ComputerName "DC01.domain.com" -Port 389
  1. Vérifiez la disponibilité du service Kerberos :
nslookup -type=SRV _kerberos._tcp.domain.com
nltest /dsgetdc:domain.com
  1. Effacez le cache des tickets Kerberos sur le client si la synchronisation de l'heure a été corrigée :
klist purge
klist tickets
Astuce pro : Configurez correctement NTP sur tous les membres du domaine pour éviter les problèmes récurrents de synchronisation de l'heure qui causent des échecs d'authentification.
05

Mettre en œuvre une surveillance avancée et une réponse de sécurité

Configurez une surveillance complète pour l'ID d'événement 4771 afin de détecter les menaces de sécurité et d'automatiser les procédures de réponse.

  1. Créez une vue personnalisée dans l'Observateur d'événements pour la surveillance de 4771 :
    • Dans l'Observateur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
    • Définissez le niveau d'événement sur Avertissement et les ID d'événements sur 4771
    • Ajoutez des sources d'événements : Microsoft-Windows-Security-Auditing
    • Enregistrez sous "Échecs de pré-authentification Kerberos"
  2. Configurez le transfert d'événements Windows pour une surveillance centralisée :
winrm quickconfig
wecutil cs subscription.xml
  1. Créez un script PowerShell pour la détection automatisée des menaces :
# Surveillez les attaques potentielles de pulvérisation de mots de passe
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4771; StartTime=(Get-Date).AddHours(-1)}
$SuspiciousIPs = $Events | Group-Object @{Expression={$_.Properties[6].Value}} | 
Where-Object {$_.Count -gt 10}

foreach ($IP in $SuspiciousIPs) {
    Write-Warning "Activité suspecte de l'IP : $($IP.Name) avec $($IP.Count) tentatives échouées"
    # Ajoutez ici la logique de blocage d'IP
}
  1. Configurez une tâche planifiée pour une surveillance régulière :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor4771.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)
Register-ScheduledTask -TaskName "Monitor Kerberos Failures" -Action $Action -Trigger $Trigger
  1. Configurez la stratégie d'audit pour une journalisation complète :
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable
Avertissement : Les événements 4771 à volume élevé peuvent affecter le stockage des journaux. Mettez en œuvre des stratégies de rotation et d'archivage des journaux pour une conservation à long terme.

Aperçu

L'ID d'événement 4771 se déclenche lorsque la pré-authentification Kerberos échoue lors de la demande d'authentification initiale à un contrôleur de domaine. Cet événement d'audit de sécurité apparaît dans le journal de sécurité lorsqu'un utilisateur ou un service tente de s'authentifier mais fournit des informations d'identification incorrectes ou rencontre des obstacles d'authentification. L'événement capture des détails critiques, y compris le nom du compte cible, l'adresse du client et le code de raison de l'échec.

La pré-authentification est la première étape du processus d'authentification Kerberos où le client prouve la connaissance du mot de passe du compte avant de recevoir un Ticket Granting Ticket (TGT). Lorsque cette étape échoue, Windows enregistre l'ID d'événement 4771 pour aider les administrateurs à identifier les menaces potentielles pour la sécurité, les problèmes de compte ou les problèmes d'infrastructure.

Cet événement apparaît couramment lors d'attaques par force brute, de tentatives de pulvérisation de mots de passe ou de problèmes d'authentification légitimes causés par des mots de passe expirés, des comptes verrouillés ou des problèmes de synchronisation temporelle. Les contrôleurs de domaine génèrent cet événement pour chaque tentative de pré-authentification échouée, ce qui le rend précieux pour la surveillance de la sécurité et le dépannage des problèmes d'authentification dans les environnements Active Directory.

Questions Fréquentes

Que signifie l'ID d'événement 4771 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4771 indique un échec de pré-authentification Kerberos, qui se produit lorsqu'un utilisateur ou un service fournit des identifiants incorrects lors de l'étape d'authentification initiale. Vous devriez vous inquiéter lorsque vous voyez des motifs de multiples événements 4771 provenant de la même adresse IP ciblant différents comptes (indiquant des attaques par pulvérisation de mots de passe) ou des échecs répétés contre le même compte (suggérant des tentatives de force brute). Des événements isolés occasionnels sont normaux et résultent généralement d'erreurs de saisie de mots de passe par les utilisateurs.
Comment puis-je distinguer entre les erreurs d'utilisateur légitimes et les attaques malveillantes dans les événements 4771 ?+
Les erreurs d'utilisateur légitime montrent généralement des événements 4771 sporadiques provenant d'adresses IP internes connues avec des intervalles de temps raisonnables entre les tentatives. Les attaques malveillantes présentent souvent des schémas tels que de multiples tentatives rapides provenant d'IPs externes, ciblant de nombreux comptes différents depuis la même source, ou des tentatives systématiques contre des comptes de service. Utilisez PowerShell pour analyser les schémas d'événements en regroupant les événements par IP source et noms de compte afin d'identifier les activités suspectes nécessitant une enquête.
Quels sont les codes d'échec les plus courants dans l'ID d'événement 4771 et que signifient-ils ?+
Les codes d'erreur les plus courants sont : 0x18 (KDC_ERR_PREAUTH_FAILED) indiquant un mot de passe incorrect ; 0x12 (KDC_ERR_CLIENT_REVOKED) pour les comptes désactivés ; 0x17 (KDC_ERR_PASSWORD_EXPIRED) pour les mots de passe expirés ; 0x25 (KDC_ERR_CLOCK_SKEW_TOO_GREAT) pour les problèmes de synchronisation temporelle dépassant 5 minutes ; et 0x6 (KDC_ERR_C_PRINCIPAL_UNKNOWN) pour les comptes inexistants. Comprendre ces codes aide à identifier rapidement si les problèmes sont liés aux mots de passe, à l'état des comptes ou à des problèmes d'infrastructure.
Comment puis-je empêcher l'ID d'événement 4771 de se reproduire en raison d'échecs d'authentification de compte de service ?+
Les échecs d'authentification des comptes de service résultent souvent de mots de passe expirés ou de configurations de service incorrectes. Tout d'abord, identifiez le compte de service à partir des détails de l'événement 4771, puis vérifiez l'état d'expiration de son mot de passe en utilisant Get-ADUser. Configurez les comptes de service avec des mots de passe non expirants lorsque cela est approprié, ou implémentez des Comptes de Service Gérés (MSA) ou des Comptes de Service Gérés de Groupe (gMSA) qui gèrent automatiquement la rotation des mots de passe. Mettez à jour les configurations de service pour utiliser les bonnes informations d'identification et testez l'authentification en utilisant runas ou PowerShell avec les informations d'identification du compte de service.
L'ID d'événement 4771 peut-il affecter les performances du système, et comment devrais-je gérer la journalisation à haut volume ?+
Les événements 4771 à haut volume lors des attaques peuvent affecter les performances du contrôleur de domaine et consommer un espace de journal important. Le journal de sécurité a une taille finie, et un excès d'événements 4771 peut entraîner l'écrasement d'événements de sécurité importants. Mettez en œuvre le transfert de journaux vers un système SIEM centralisé, configurez des politiques de rétention de journaux appropriées et envisagez d'augmenter la taille du journal de sécurité sur les contrôleurs de domaine. Utilisez le filtrage d'événements et des scripts de réponse automatisés pour gérer les scénarios à haut volume, et mettez en œuvre un blocage au niveau du réseau pour les adresses IP malveillantes confirmées afin de réduire les tentatives d'authentification.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including Kerberos authentication failureshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Kerberos Authentication Technical ReferenceTechnical documentation covering Kerberos protocol implementation and troubleshooting in Windows environmentshttps://docs.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4771#kerberos-authentication

Événements Windows associés

Windows security monitoring dashboard displaying credential access events and audit logs
Event 5615
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 5615 – Sécurité : Accès au coffre-fort du gestionnaire d'informations d'identification

L'ID d'événement 5615 enregistre lorsqu'un utilisateur ou un processus accède au coffre du Gestionnaire d'informations d'identification Windows pour récupérer des informations d'identification, des mots de passe ou des certificats stockés à des fins d'authentification.

18 mars12 min
Windows domain controller monitoring dashboard showing Active Directory authentication events and security logs
Event 4776
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4776 – Microsoft-Windows-Security-Auditing : Authentification du compte d'ordinateur

L'ID d'événement 4776 enregistre les tentatives d'authentification des comptes d'ordinateur dans les environnements Active Directory, suivant la validation par le contrôleur de domaine des informations d'identification de l'ordinateur lors des processus de connexion.

18 mars9 min
Windows Security Event Viewer displaying Event ID 4625 authentication failure logs on a security monitoring dashboard
Event 4625
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les tentatives d'accès non autorisées, les attaques par force brute et résoudre les problèmes d'authentification sur les comptes de domaine et locaux.

18 mars12 min
Windows Security Event Viewer displaying authentication events on a SOC monitoring dashboard
Event 4648
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...