ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows domain controller monitoring dashboard showing Active Directory authentication events and security logs
Event ID 4776InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4776 – Microsoft-Windows-Security-Auditing : Authentification du compte d'ordinateur

L'ID d'événement 4776 enregistre les tentatives d'authentification des comptes d'ordinateur dans les environnements Active Directory, suivant la validation par le contrôleur de domaine des informations d'identification de l'ordinateur lors des processus de connexion.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4776Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4776 représente un composant fondamental de l'audit de sécurité d'Active Directory, spécifiquement conçu pour suivre les événements d'authentification des comptes d'ordinateur. Lorsqu'un ordinateur joint au domaine tente de s'authentifier auprès d'un contrôleur de domaine, le DC valide les informations d'identification de l'ordinateur et enregistre cette activité sous l'ID d'événement 4776. Ce processus se produit plusieurs fois au cours du cycle de vie opérationnel d'un ordinateur, y compris lors de la jonction initiale au domaine, des mises à jour périodiques de mot de passe, de l'authentification de service et du renouvellement de ticket Kerberos.

La structure de l'événement contient plusieurs champs clés qui fournissent des détails d'authentification complets. Le champ Nom du compte d'ordinateur identifie la machine authentifiante, tandis que la Station de travail source indique le système d'origine. Le champ Package d'authentification spécifie le protocole utilisé (généralement NTLM ou Kerberos), et le Processus de connexion décrit le service ou l'application demandeur. Plus important encore, le champ Code de statut indique le succès ou l'échec, avec des codes d'erreur spécifiques aidant à diagnostiquer les problèmes d'authentification.

Dans les environnements Windows modernes, l'ID d'événement 4776 joue un rôle crucial dans la surveillance de la sécurité et le reporting de conformité. Les équipes de sécurité utilisent ces événements pour détecter un comportement anormal des ordinateurs, identifier les comptes de machines compromis et valider les flux d'authentification de domaine appropriés. L'événement soutient également les enquêtes judiciaires en fournissant des horodatages et des informations source pour les activités basées sur l'ordinateur. Avec l'introduction de Windows Server 2025 et des fonctionnalités de sécurité améliorées en 2026, cet événement inclut des métadonnées supplémentaires pour les scénarios hybrides cloud et une meilleure corrélation avec les journaux d'authentification Azure AD.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage de l'ordinateur et authentification de domaine pendant le processus de démarrage
  • Comptes de service s'exécutant sous le contexte de l'ordinateur tentant l'authentification
  • Tâches planifiées s'exécutant avec des identifiants d'ordinateur
  • Renouvellement de ticket Kerberos pour les comptes d'ordinateur
  • Changements de mot de passe de compte d'ordinateur et validation
  • Authentification de service réseau utilisant des identifiants de machine
  • Tentatives d'authentification échouées en raison de mots de passe d'ordinateur incorrects
  • Problèmes de synchronisation temporelle causant des échecs d'authentification
  • Problèmes de réplication du contrôleur de domaine affectant la validation des comptes d'ordinateur
  • Verrouillages de comptes d'ordinateur ou comptes désactivés
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4776 pour comprendre le contexte d'authentification et identifier les problèmes potentiels.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4776 en utilisant l'option de filtre ou la fonctionnalité de recherche
  4. Double-cliquez sur l'événement pour voir des informations détaillées, y compris :
    • Nom du compte d'ordinateur
    • Station de travail source
    • Package d'authentification
    • Code d'état
    • Code de sous-état
  5. Vérifiez le champ Code d'état pour les résultats d'authentification :
    • 0x0 = Succès
    • 0xC0000064 = Le nom d'utilisateur n'existe pas
    • 0xC000006A = Le nom d'utilisateur est correct mais le mot de passe est incorrect
    • 0xC0000234 = Compte utilisateur verrouillé
Astuce pro : Utilisez l'onglet Détails dans l'Observateur d'événements pour voir les données au format XML, qui fournissent des champs supplémentaires non visibles dans l'onglet Général.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement l'ID d'événement 4776 sur plusieurs contrôleurs de domaine ou périodes.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les événements récents d'authentification d'ordinateur :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4776} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les tentatives d'authentification échouées :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4776} | Where-Object {$_.Message -like '*0xC000*'} | Select-Object TimeCreated, Message
  4. Recherchez l'authentification d'un compte d'ordinateur spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4776} | Where-Object {$_.Message -like '*COMPUTERNAME$*'} | Format-Table TimeCreated, Message -Wrap
  5. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4776; StartTime=(Get-Date).AddDays(-7)} | Export-Csv -Path C:\Temp\Computer_Auth_Events.csv -NoTypeInformation
Avertissement : Interroger de grands journaux de sécurité peut affecter les performances du contrôleur de domaine. Utilisez des filtres temporels et limitez les résultats de manière appropriée.
03

Enquêter sur les problèmes de compte d'ordinateur

Lorsque l'ID d'événement 4776 montre des échecs d'authentification, examinez le statut et la configuration du compte d'ordinateur dans Active Directory.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine
  2. Accédez au conteneur Ordinateurs ou recherchez le compte d'ordinateur spécifique
  3. Cliquez avec le bouton droit sur le compte d'ordinateur et sélectionnez Propriétés
  4. Vérifiez l'onglet Compte pour :
    • Statut de désactivation du compte
    • Statut de verrouillage du compte
    • Date de dernier changement de mot de passe
  5. Vérifiez le mot de passe du compte d'ordinateur en utilisant PowerShell :
    Get-ADComputer -Identity "COMPUTERNAME" -Properties PasswordLastSet, Enabled, LockedOut | Select-Object Name, PasswordLastSet, Enabled, LockedOut
  6. Réinitialisez le mot de passe du compte d'ordinateur si nécessaire :
    Reset-ComputerMachinePassword -Server DC01.domain.com
  7. Vérifiez la présence de comptes d'ordinateur en double :
    Get-ADComputer -Filter "Name -eq 'COMPUTERNAME'" | Select-Object Name, DistinguishedName
Astuce pro : Les mots de passe des comptes d'ordinateur changent automatiquement tous les 30 jours par défaut. Vérifiez la valeur de registre HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange si les changements de mot de passe sont désactivés.
04

Analyser les modèles d'authentification et corréler les événements

Effectuer une analyse avancée des modèles d'ID d'événement 4776 pour identifier les problèmes de sécurité ou d'authentification sur le domaine.

  1. Créer une requête complète pour analyser les modèles d'authentification :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4776; StartTime=(Get-Date).AddDays(-30)}
$Analysis = $Events | ForEach-Object {
    $Message = $_.Message
    $Computer = ($Message | Select-String 'Account Name:\s+(.+?)\$').Matches[0].Groups[1].Value
    $Source = ($Message | Select-String 'Source Workstation:\s+(.+)').Matches[0].Groups[1].Value
    $Status = ($Message | Select-String 'Error Code:\s+(0x[0-9A-F]+)').Matches[0].Groups[1].Value
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Computer = $Computer
        Source = $Source
        Status = $Status
        Success = $Status -eq '0x0'
    }
}
$Analysis | Group-Object Computer | Sort-Object Count -Descending
  2. Identifier les ordinateurs avec des taux d'échec élevés :
    $FailureAnalysis = $Analysis | Where-Object {-not $_.Success} | Group-Object Computer | Where-Object {$_.Count -gt 10} | Sort-Object Count -Descending
$FailureAnalysis | Select-Object Name, Count
  3. Vérifier les tentatives d'authentification provenant de sources inattendues :
    $Analysis | Where-Object {$_.Source -ne $_.Computer -and $_.Source -ne ''} | Group-Object Source | Sort-Object Count -Descending
  4. Corréler avec d'autres événements de sécurité pour une analyse complète :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4776,4768,4769); StartTime=(Get-Date).AddHours(-1)} | Sort-Object TimeCreated
05

Configurer la surveillance avancée et les alertes

Implémentez des solutions de surveillance complètes pour l'ID d'événement 4776 afin de détecter de manière proactive les problèmes d'authentification et les menaces de sécurité.

  1. Configurez le transfert d'événements Windows pour centraliser les journaux d'authentification des ordinateurs :
    wecutil cs subscription.xml
    Où subscription.xml contient les règles de collecte de l'ID d'événement 4776
  2. Créez un script de surveillance PowerShell personnalisé :
    # Enregistrez sous Monitor-ComputerAuth.ps1
$LastCheck = (Get-Date).AddMinutes(-5)
$FailedEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4776; StartTime=$LastCheck} | Where-Object {$_.Message -like '*0xC000*'}
if ($FailedEvents.Count -gt 5) {
    Send-MailMessage -To "admin@company.com" -From "monitoring@company.com" -Subject "High Computer Authentication Failures" -Body "$($FailedEvents.Count) failed computer authentications detected" -SmtpServer "mail.company.com"
}
  3. Planifiez le script de surveillance à l'aide du Planificateur de tâches :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-ComputerAuth.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
Register-ScheduledTask -TaskName "ComputerAuthMonitoring" -Action $Action -Trigger $Trigger -RunLevel Highest
  4. Configurez la stratégie d'audit pour assurer la journalisation de l'ID d'événement 4776 :
    auditpol /set /subcategory:"Credential Validation" /success:enable /failure:enable
  5. Implémentez une politique de rétention des journaux dans la stratégie de groupe :
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéJournal des événements
    • Configurez la taille maximale et les paramètres de rétention du journal de sécurité
Avertissement : Une surveillance à haute fréquence peut générer un trafic réseau et des besoins de stockage importants. Ajustez les intervalles de surveillance en fonction des besoins de votre environnement.

Aperçu

L'ID d'événement 4776 se déclenche lorsqu'un contrôleur de domaine valide les informations d'identification du compte d'ordinateur lors des processus d'authentification. Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur les tentatives d'authentification des ordinateurs dans les environnements Active Directory. Contrairement aux événements d'authentification des utilisateurs, 4776 suit spécifiquement la validation des comptes de machines, qui se produit lors du démarrage de l'ordinateur, de l'authentification des services et de l'exécution de tâches planifiées sous le contexte de l'ordinateur.

L'événement est généré sur le contrôleur de domaine authentifiant et inclut des détails critiques tels que le nom de l'ordinateur, le package d'authentification utilisé, le processus de connexion et le statut du résultat. Les administrateurs système s'appuient sur cet événement pour surveiller la sécurité des comptes d'ordinateur, détecter les tentatives d'accès non autorisé aux machines et résoudre les problèmes d'authentification de domaine. L'événement se déclenche pour les tentatives d'authentification des ordinateurs réussies et échouées, ce qui le rend essentiel pour un audit de sécurité complet.

Dans les environnements 2026 avec des contrôleurs de domaine Windows Server 2025, cet événement dispose de capacités de journalisation améliorées et d'une meilleure corrélation avec d'autres événements d'authentification. Les données de l'événement incluent des champs étendus pour les protocoles d'authentification modernes et une meilleure intégration avec les systèmes de surveillance Microsoft Defender for Identity.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 4776 et l'ID d'événement 4768 ?+
L'ID d'événement 4776 suit spécifiquement la validation de l'authentification du compte d'ordinateur, tandis que l'ID d'événement 4768 enregistre les demandes de ticket d'authentification Kerberos (TGT). L'événement 4776 se produit lorsqu'un contrôleur de domaine valide les informations d'identification de l'ordinateur en utilisant NTLM ou pendant la phase initiale de l'authentification Kerberos. L'événement 4768 apparaît lorsqu'un ordinateur ou un utilisateur demande un ticket de concession de ticket Kerberos. Les deux événements peuvent se produire pour la même session d'authentification, avec 4776 gérant la validation des informations d'identification et 4768 gérant l'émission des tickets. Dans les scénarios d'authentification d'ordinateur, vous verrez généralement 4776 en premier, suivi de 4768 si Kerberos est utilisé.
Pourquoi est-ce que je vois des échecs d'ID d'événement 4776 avec le code d'état 0xC0000064 ?+
Le code d'état 0xC0000064 indique 'Le compte spécifié n'existe pas' et se produit généralement lorsqu'un compte d'ordinateur a été supprimé d'Active Directory mais que l'ordinateur tente toujours de s'authentifier. Cela se produit lorsque les ordinateurs sont retirés d'AD sans procédures de désinscription appropriées, ou lorsque des comptes d'ordinateur sont supprimés par erreur. Pour résoudre ce problème, rejoignez l'ordinateur au domaine ou recréez le compte d'ordinateur dans Active Directory. Vous pouvez également vérifier les comptes d'ordinateur orphelins en utilisant PowerShell : Get-ADComputer -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)}.
À quelle fréquence les comptes d'ordinateur doivent-ils s'authentifier et générer l'ID d'événement 4776 ?+
Les comptes d'ordinateur s'authentifient généralement plusieurs fois par jour à travers divers processus. L'authentification initiale se produit lors du démarrage de l'ordinateur, suivie de renouvellements périodiques des tickets Kerberos (par défaut toutes les 10 heures), de changements de mot de passe de l'ordinateur (tous les 30 jours par défaut), et de demandes d'authentification de service. Dans un environnement sain, vous devriez voir l'ID d'événement 4776 pour chaque ordinateur plusieurs fois par jour. Des tentatives d'authentification excessives pourraient indiquer des problèmes de connectivité réseau, des problèmes de synchronisation temporelle, ou des menaces de sécurité potentielles. Surveillez les schémas inhabituels comme les tentatives d'authentification en dehors des heures de bureau ou depuis des postes de travail sources inattendus.
L'ID d'événement 4776 peut-il aider à détecter les comptes d'ordinateur compromis ?+
Oui, l'ID d'événement 4776 est précieux pour détecter les comptes d'ordinateur compromis lorsqu'il est analysé correctement. Recherchez des schémas d'authentification qui dévient du comportement normal, tels que des comptes d'ordinateur s'authentifiant depuis plusieurs postes de travail sources simultanément, des tentatives d'authentification à des heures inhabituelles, ou des tentatives d'authentification échouées répétées suivies de réussites. Corrélez l'ID d'événement 4776 avec d'autres événements de sécurité comme 4768 (demandes de TGT Kerberos) et 4769 (demandes de tickets de service Kerberos) pour obtenir une vue d'ensemble complète. Mettez en place une surveillance automatisée pour alerter sur des schémas suspects, tels que des comptes d'ordinateur s'authentifiant depuis des adresses IP extérieures à votre réseau ou plusieurs tentatives échouées suivies de réinitialisations de mot de passe.
Que dois-je faire si l'ID d'événement 4776 montre des échecs d'authentification pour plusieurs ordinateurs ?+
Les échecs d'authentification multiples des ordinateurs indiquent généralement un problème systémique plutôt que des problèmes individuels d'ordinateur. Tout d'abord, vérifiez l'état de santé du contrôleur de domaine et le statut de réplication en utilisant les outils dcdiag et repadmin. Vérifiez la synchronisation de l'heure sur tous les contrôleurs de domaine et les ordinateurs clients, car un décalage horaire peut entraîner des échecs d'authentification généralisés. Vérifiez les modifications récentes des stratégies de groupe qui pourraient affecter l'authentification des ordinateurs, en particulier les stratégies liées aux paramètres Kerberos ou aux mots de passe des comptes d'ordinateur. Examinez la connectivité réseau entre les ordinateurs et les contrôleurs de domaine, y compris la résolution DNS. Si le problème persiste, examinez les modifications récentes d'Active Directory, les mises à jour de sécurité ou les modifications de l'infrastructure qui pourraient affecter les services d'authentification.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including Event ID 4776 and related authentication events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Active Directory Authentication Troubleshooting GuideOfficial Microsoft troubleshooting documentation for Active Directory authentication problems and related event analysis.https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/troubleshoot-authentication-issues
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#event-id-4776#computer-authentication

Événements Windows associés

Windows security monitoring dashboard displaying credential access events and audit logs
Event 5615
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 5615 – Sécurité : Accès au coffre-fort du gestionnaire d'informations d'identification

L'ID d'événement 5615 enregistre lorsqu'un utilisateur ou un processus accède au coffre du Gestionnaire d'informations d'identification Windows pour récupérer des informations d'identification, des mots de passe ou des certificats stockés à des fins d'authentification.

18 mars12 min
Windows Security Event Viewer displaying Event ID 4625 authentication failure logs on a security monitoring dashboard
Event 4625
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les tentatives d'accès non autorisées, les attaques par force brute et résoudre les problèmes d'authentification sur les comptes de domaine et locaux.

18 mars12 min
ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos
Event 4771
Microsoft-Windows-Security-Auditing
Windows EventWarning

ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos

L'ID d'événement 4771 indique un échec de pré-authentification Kerberos, généralement causé par des mots de passe incorrects, des comptes expirés ou des problèmes de synchronisation temporelle entre le client et le contrôleur de domaine.

18 mars12 min
Windows Security Event Viewer displaying authentication events on a SOC monitoring dashboard
Event 4648
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...