Hangi İşlemin / Programın Kerberos ön kimlik doğrulama hatasına Neden Olduğunu İzleyin (Kod 0x18)

12

2 sunucunun 1'i üzerinden kilitlenen bir alan adı hesabımız var. Yerleşik denetim bize sadece bu kadarını söyler (SERVER1, SERVER2'den kilitlendi).

Hesap 5 dakika içinde kilitlenir, göründüğü kadar dakikada 1 istek.

Başlangıçta hesabın kilidini açtıktan sonra yeni bir SÜREÇ BAŞLANGIÇ oluşup oluşmadığını görmek için procmon (sysinternals'dan) çalıştırmayı denedim. Şüpheli bir şey gelmiyor. Benim iş istasyonunda procmon çalıştırdıktan ve bir UAC kabuğuna (conscent.exe) yükselttikten sonra, yığına benzer gibi görünüyor ntdll.dllve rpct4.dllAD'ye karşı kimlik doğrulaması yapmaya çalıştığınızda (emin değilim).

DC'mizden bir kimlik doğrulama isteğine neden olan işlemi daraltmak için yine de var mı? Her zaman aynı DC'dir, bu yüzden o sitede bir sunucu olması gerektiğini biliyoruz. Wireshark'taki çağrıları aramayı deneyebilirim, ancak hangi sürecin gerçekten tetiklediğini daraltacağından emin değilim.

Hiçbir hizmet, sürücü eşlemesi veya zamanlanmış görev de bu etki alanı hesabını kullanmaz; bu nedenle etki alanı kredilerinin depolandığı bir şey olmalıdır. Herhangi bir sunucuda (kontrol ettik) bu etki alanı hesabıyla açık RDP oturumu yok.

Diğer notlar

Evet, "Başarılı / Başarısız" Oturum Açma Denetimleri söz konusu DC'de etkinleştirildi - hesap gerçekten kilitlenene kadar hiçbir hata olayı kaydedilmiyor.

Daha kazma gösterileri LSASS.exebir hale KERBEROShesap kilidi kez söz konusu DC çağrısı. vpxd.exeBir vCenter işlemi olarak adlandırılan java tarafından (genellikle) önce gelir . AMA, diğer "server2" baktığınızda hesap kilitleme olabilir de (ayrıca), bir çağrı görmüyorum lsass.exeve sadece apache süreçleri ortaya çıkmaktadır. İkisinin tek ilişkisi, SERVER2'nin SERVER1'in vSphere kümesinin (sunucu1 vSphere OS) bir parçası olmasıdır.

DC'de hata

Görünüşe göre, AD tarafından söylenecek olan tek şey, bu bir kimlik doğrulama öncesi Kerberos hatası. Ben kontrol ve hiçbir bilet vardı klistve her durumda zaten bir floş yaptı. Bu kerberos hatasına yola açan ilgili hiçbir fikrim yok.

Index              : 202500597
EntryType          : FailureAudit
InstanceId         : 4771
Message            : Kerberos pre-authentication failed.

                     Account Information:
                         Security ID:        S-1-5-21-3381590919-2827822839-3002869273-5848
                         Account Name:        USER

                     Service Information:
                         Service Name:        krbtgt/DOMAIN

                     Network Information:
                         Client Address:        ::ffff:x.x.x.x
                         Client Port:        61450

                     Additional Information:
                         Ticket Options:        0x40810010
                         Failure Code:        0x18
                         Pre-Authentication Type:    2

                     Certificate Information:
                         Certificate Issuer Name:
                         Certificate Serial Number:
                         Certificate Thumbprint:

                     Certificate information is only provided if a certificate was used for pre-authentication.

                     Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

                     If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
                      in this event might not be present.
windows  windows-server-2008  active-directory  kerberos 
Jaigene Kang
kaynak

Yanıtlar:

5

Oturum açma olayları, oturum açmayı deneyen işlemi kaydeder. Yerel Güvenlik İlkesi'nde (secpol.msc) başarısız oturum açma denetimini (Güvenlik Ayarları> Yerel İlkeler> Denetim İlkesi> Oturum Açma Olaylarını Denetle) etkinleştirin, ardından bir olay için güvenlik olay günlüğüne bakın. İsterseniz Grup İlkesi aracılığıyla da etkinleştirebilirsiniz.

Hem yürütülebilir yolu hem de işlem kimliğini kaydeden bir İşlem Bilgisi bölümü olacaktır.

Misal:

Process Information:
    Process ID:         0x2a4
    Process Name:       C:\Windows\System32\services.exe
Mitch
kaynak
Görünüşe göre bu zaten GPO'larımızda vardı. Nesnenin güvenlik günlüğünde ne zaman değiştirildiğini / kilidinin açıldığını görebiliyorum, ancak bundan sonra kötü girişimler görmüyorum.
Jaigene Kang
@JaiKang, söz konusu sunucular DC olmadıkça, Varsayılan Etki Alanı Denetleyicileri İlkesi'ndeki "Denetim Başarısız Oturumları Denetle" ayarından etkilenmezler. Başarısız oturum açma olayı, kimlik doğrulaması girişiminde bulunan sunucu tarafından günlüğe kaydedilir ve "Varsayılan Etki Alanı İlkesi" veya bu sunucuya uygulanan başka bir bilgisayar ilkesi tarafından ayarlanır.
Mitch
Aslında çözdüm. Denetim ayarlarının "Gelişmiş" bölümünde bazı ayarlar yapmak zorunda kaldım. Orijinal yazımı etkinliklerle güncelledim.
Jaigene Kang
@JaiKang, ön kimlik doğrulama yalnızca bir token döndürmeden önce kimlik bilgilerini doğrulamak için kullanılan işlemdir. Sunucuda, kimlik doğrulama girişiminde bulunan ve işlem kimliğini içeren bir hata denetimi olmalıdır.
Mitch
Ayarlamak zorunda olduğunuz "Gelişmiş" ayarları ayrıntılı olarak açıklayabilir misiniz?
skinneejoe
2

Bugün çok zaman harcadım ve temel sebebini buldum. Yanlış yol gitti - ağ sniffer ile yakalanan bilgilerden (kerberos hata işlem kimliği 566 = lsass.exe). Bilgileri özetleyeyim.

  1. Sorunlu bilgisayarda oturum açın, powershell'i yükseltilmiş haklarla çalıştırın

  2. Denetim oturum açmayı etkinleştir

    auditpol /set /subcategory:"logon" /failure:enable

  3. Kaynağı kontrol et

    Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl

Eğer görürsen:

İşlem bilgisi:

Arayan İşlem Kimliği: 0x140

Arayan İşlem Adı: C: ​​\ Windows \ System32 \ services.exe

Bu, eski şifreyle sorunlu hesaptan çalışan bazı hizmetlerin olduğu anlamına gelir

Alex
kaynak
2

Farklı bir konuyu araştırırken bu eski soruyu buldum, ancak benzer bir sorunu olan herkes için:

Hata kodu 0x18, istemci kimlik doğrulaması yapmaya çalıştığında hesabın zaten devre dışı bırakıldığı veya kilitlendiği anlamına gelir.

Hesabın kilitlenmesine neden olan başarısız giriş denemelerini tanımlayacak olan 0x24 hata koduyla aynı Olay Kimliğini bulmanız gerekir . (Bu, bir yerde kötü bir önbellek şifresi nedeniyle oluştuğunu varsayar.)

Daha sonra, hangi sistemin hatalı kimlik bilgilerini geçtiğini görmek için bu olaylardaki İstemci Adresine bakabilirsiniz . Oradan, eski bir şifre, eşlenmiş bir ağ sürücüsü vb. İle bir hizmet olup olmadığını anlamanız gerekir.

Çeşitli hata kodları vardır, bu nedenle 0x24 kodları olan hiçbir etkinlik yoksa hesap kilitlemesine neyin neden olduğunu belirlemek için 0x18'in dışında bir şey aramalısınız. Kilitlenmeye yol açacak tek hata tipinin 0x24 (kötü şifre) olduğuna inanıyorum, ancak yanlış olabilirim.

Doubled
kaynak
Necro gönderi için özür dilerim ve yorum olarak eklemediğim için özür dilerim ... 50p'mi henüz kazanmadım. :-) Hata kodu 0x18, Ön Onaylama hatasıdır ve kilitli bir hesabı göstermez. Kilitli bir hesap da bir 0x18 kodu tetikleyebilir, ancak iptal kimlik bilgileri yerine bir 0x12 beklenir.
17'de Sjm
0

Bu yukarıdaki notlardan alınmıştır. Bu yazının son yorumunda belirtilen başlatıcısı gibi görünüyor. Java vpxd.exe işlemi çağırıyor.

Diğer notlar Evet, "Başarılı / Başarısız" Oturum Açma Denetimleri söz konusu DC'de etkinleştirildi - hesap gerçekten kilitlenene kadar hiçbir hata olayı kaydedilmiyor.

Daha fazla kazma işlemi, hesabın kilidi açıldıktan sonra LSASS.exe'nin söz konusu DC'ye bir KERBEROS çağrısı yaptığını gösterir. Bir vCenter işlemi olan vpxd.exe tarafından çağrılmış gibi görünen java tarafından (genellikle) önce gelir. AMA, diğer "server2" baktığınızda hesap kilitleme olabilir (ayrıca), lsass.exe bir çağrı görmedim ve sadece apache süreçleri spawned. İkisinin tek ilişkisi, SERVER2'nin SERVER1'in vSphere kümesinin (sunucu1 vSphere OS) bir parçası olmasıdır.

user354506
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.