4768(S, F): se solicitó un vale de autenticación Kerberos (TGT).

Ilustración del evento 4768.

Subcategoría:  Auditar el servicio de autenticación Kerberos

Descripción del evento:

Este evento se genera cada vez que el Centro de distribución de claves emite un vale de concesión de vales de Kerberos (TGT).

Este evento solo se genera en controladores de dominio.

Si se produce un error en el problema de TGT, verá el evento Failure con el campo Código de resultado no igual a "0x0".

Este evento no genera códigos de resultado: 0x10 y 0x18. Evento "4771: Error de autenticación previa de Kerberos". genera en su lugar.

Nota

Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4768</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14339</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-07T18:13:46.074535600Z" /> 
 <EventRecordID>166747</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1496" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="TargetDomainName">CONTOSO.LOCAL</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="ServiceName">krbtgt</Data> 
 <Data Name="ServiceSid">S-1-5-21-3457937927-2839227994-823803824-502</Data> 
 <Data Name="TicketOptions">0x40810010</Data> 
 <Data Name="Status">0x0</Data> 
 <Data Name="TicketEncryptionType">0x12</Data> 
 <Data Name="PreAuthType">15</Data> 
 <Data Name="IpAddress">::ffff:10.0.0.12</Data> 
 <Data Name="IpPort">49273</Data> 
 <Data Name="CertIssuerName">contoso-DC01-CA-1</Data> 
 <Data Name="CertSerialNumber">1D0000000D292FBE3C6CDDAFA200020000000D</Data> 
 <Data Name="CertThumbprint">564DFAEE99C71D62ABC553E695BD8DBC46669413</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Controlador de dominio de Active Directory.

Versión mínima del sistema operativo: Windows Server 2008.

Versiones de eventos: 0.

Descripciones del campo:

Información de la cuenta:

  • Nombre de cuenta [Type = UnicodeString]: nombre de la cuenta para la que se solicitó el vale (TGT). El nombre de la cuenta de equipo termina con $ carácter.

    • Ejemplo de cuenta de usuario: dadmin

    • Ejemplo de cuenta de equipo: WIN81$

  • Nombre de dominio proporcionado [Tipo = UnicodeString]: nombre del dominio kerberos al que pertenece Nombre de cuenta . Esto puede aparecer en una variedad de formatos, incluidos los siguientes:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    Nota

    Un dominio kerberos es un conjunto de nodos administrados que comparten la misma base de datos kerberos. La base de datos Kerberos reside en el sistema de equipo maestro kerberos, que debe mantenerse en una sala físicamente segura. El dominio de Active Directory es el ejemplo de Dominio kerberos en el mundo de Microsoft Windows Active Directory.

  • Id. de usuario [Type = SID]: SID de la cuenta para la que se solicitó el vale (TGT). El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Por ejemplo: CONTOSO\dadmin o CONTOSO\WIN81$.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un administrador de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

Información del servicio:

  • Nombre del servicio [Type = UnicodeString]: el nombre del servicio en el dominio kerberos al que se envió la solicitud TGT. Normalmente tiene el valor "krbtgt" para las solicitudes TGT, lo que significa que el servicio de emisión de vales de concesión de vales.

    • Para eventos de error, el nombre del servicio suele tener el siguiente formato: krbtgt/REALM_NAME. Por ejemplo: krbtgt/CONTOSO.
  • Id. de servicio [Type = SID]: SID de la cuenta de servicio en el dominio kerberos al que se envió la solicitud TGT. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Los controladores de dominio tienen una cuenta de servicio específica (krbtgt) que usa el servicio Centro de distribución de claves (KDC) para emitir vales kerberos. Tiene un SID predefinido integrado: S-1-5-21-DOMAIN[](/previous-versions/windows/it-pro/windows-2000-server/cc962011(v=technet.10))_IDENTIFIER-502.

Información de red:

  • Dirección de cliente [Type = UnicodeString]: dirección IP del equipo desde el que se recibió la solicitud TGT. Los formatos pueden variar e incluyen lo siguiente:

    • Dirección IPv6 o IPv4 .

    • ::ffff:IPv4_address.

    • ::1 - localhost.

  • Puerto de cliente [Type = UnicodeString]: número de puerto de origen de conexión de red de cliente (conexión de solicitud TGT).

    • 0 para las solicitudes locales (localhost).

Información adicional:

  • Opciones de vale [Type = HexInt32]: se trata de un conjunto de marcas de vale diferentes en formato hexadecimal.

    Por ejemplo:

    • Opciones de vale: 0x40810010

    • Vista binaria: 01000000100000010000000000010000

    • Con la numeración de 0 bits de MSB tenemos bit 1, 8, 15 y 27 establecido = Reenviable, Renovable, Canónica, Renovable-ok.

Nota

En la tabla siguiente se usa la numeración de bits "MSB 0" , porque los documentos RFC usan este estilo. En "MSB 0", la numeración de bits de estilo comienza desde la izquierda.

MSB illustration

Los valores más comunes:

  • 0x40810010- Reenviable, Renovable, Canónica, Renovable-ok

  • 0x40810000: reenviable, renovable, canónico

  • 0x60810010 : reenviable, reenviado, renovable, canónico, renovable-ok

Poco Nombre de marca Descripción
0 Reservados -
1 Reenviable (solo TGT). Indica al servicio de concesión de vales que puede emitir un nuevo TGT (basado en el TGT presentado) con una dirección de red diferente basada en el TGT presentado.
2 Reenviado Indica que se ha reenviado un TGT o que se ha emitido un vale desde un TGT reenviado.
3 Proxiable (solo TGT). Indica al servicio de concesión de vales que puede emitir vales con una dirección de red que difiere de la del TGT.
4 Proxy Indica que la dirección de red del vale es diferente de la del TGT usado para obtener el vale.
5 Allow-postdate Los vales posdatados NO DEBEN ser compatibles con KILE (extensión de protocolo Kerberos de Microsoft).
6 Postdatado Los vales posdatados NO DEBEN ser compatibles con KILE (extensión de protocolo Kerberos de Microsoft).
7 No válido Esta marca indica que un vale no es válido y que el KDC debe validarlo antes de usarlo. Los servidores de aplicaciones deben rechazar los vales que tienen esta marca establecida.
8 Renovable Se usa en combinación con los campos End Time y Renew Till para hacer que los vales con períodos de vida prolongados se renueven periódicamente en el KDC.
9 Inicial Indica que se emitió un vale mediante el intercambio del servicio de autenticación (AS) y no se emitió en función de un TGT.
10 Autenticación previa Indica que el KDC autenticó el cliente antes de que se emita un vale. Esta marca suele indicar la presencia de un autenticador en el vale. También puede marcar la presencia de credenciales tomadas de un inicio de sesión de tarjeta inteligente.
11 Opt-hardware-auth Esta marca estaba diseñada originalmente para indicar que se usó la autenticación compatible con hardware durante la autenticación previa. Esta marca ya no se recomienda en el protocolo Kerberos V5. LOS CONTROLADORES DE DOMINIO NO DEBEN emitir un vale con esta marca establecida. Los KDC NO DEBEN conservar esta marca si la establece otro KDC.
12 Transited-policy-checked KILE NO DEBE comprobar si hay dominios transitados en servidores o KDC. Los servidores de aplicaciones DEBEN omitir la marca TRANSITED-POLICY-CHECKED.
13 Aceptar como delegado El KDC DEBE establecer la marca OK-AS-DELEGATE si la cuenta de servicio es de confianza para la delegación.
14 Solicitud anónima KILE no usa esta marca.
15 Name-canonicalize Para solicitar referencias, el cliente Kerberos DEBE solicitar explícitamente la opción KDC "canonicalize" para AS-REQ o TGS-REQ.
16-25 Inusitado -
26 Disable-transited-check De forma predeterminada, el KDC comprobará el campo transitado de un TGT con respecto a la directiva del dominio local antes de emitir vales derivados basados en el TGT. Si esta marca se establece en la solicitud, la comprobación del campo transitado está deshabilitada. Los vales emitidos sin el rendimiento de esta comprobación se anotarán mediante el valor de restablecimiento (0) de la marca TRANSITED-POLICY-CHECKED, que indica al servidor de aplicaciones que el campo transitado debe comprobarse localmente. Se anima a los KDC, pero no se les exige que respeten
la opción DISABLE-TRANSITED-CHECK.
No debe estar en uso, porque kile no admite la marca Transited-policy-checked.
27 Renewable-ok La opción RENEWABLE-OK indica que un billete renovable será aceptable si no se puede proporcionar de otro modo un billete con la vida solicitada, en cuyo caso se puede emitir un billete renovable con una renovación hasta que sea igual a la hora de finalización solicitada. El valor del campo renew-till puede seguir estando limitado por los límites locales o los límites seleccionados por la entidad de seguridad o el servidor individuales.
28 Enc-tkt-in-skey No hay información.
29 Inusitado -
30 Renovar La opción RENEW indica que la solicitud actual es para una renovación. El vale proporcionado se cifra en la clave secreta del servidor en el que es válido. Esta opción solo se respetará si el vale que se va a renovar tiene su marca RENEWABLE establecida y si el tiempo en su campo de renovación hasta no ha pasado. El vale que se va a renovar se pasa en el campo padata como parte del encabezado de autenticación.
31 Validación Esta opción solo la usa el servicio de concesión de vales. La opción VALIDATE indica que la solicitud es validar un vale postdatado. No debe estar en uso, ya que los vales posdatados no son compatibles con KILE.

Tabla 2. Marcas de vale de Kerberos

Nota

KILE (extensión de protocolo Kerberos de Microsoft): extensiones de protocolo Kerberos usadas en sistemas operativos de Microsoft. Estas extensiones proporcionan capacidad adicional para la información de autorización, incluidas las pertenencias a grupos, la información interactiva de inicio de sesión y los niveles de integridad.

  • Código de resultado [Type = HexInt32]: código de resultado hexadecimal de la operación de problema de TGT. "Tabla 3. Códigos de error de problema de TGT/TGS." contiene la lista de los códigos de error más comunes para este evento.
Código Nombre del código Descripción Posibles causas
0x0 KDC_ERR_NONE Sin error No se encontró ningún error.
0x1 KDC_ERR_NAME_EXP La entrada del cliente en la base de datos KDC ha expirado No hay información.
0x2 KDC_ERR_SERVICE_EXP La entrada del servidor en la base de datos KDC ha expirado No hay información.
0x3 KDC_ERR_BAD_PVNO No se admite el número de versión de Kerberos solicitado No hay información.
0x4 KDC_ERR_C_OLD_MAST_KVNO Clave del cliente cifrada en la clave maestra antigua No hay información.
0x5 KDC_ERR_S_OLD_MAST_KVNO Clave del servidor cifrada en la clave maestra antigua No hay información.
0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN El cliente no se encuentra en la base de datos Kerberos El nombre de usuario no existe.
0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Servidor no encontrado en la base de datos Kerberos Este error puede producirse si el controlador de dominio no encuentra el nombre del servidor en Active Directory. Este error es similar a KDC_ERR_C_PRINCIPAL_UNKNOWN, salvo que se produce cuando no se encuentra el nombre del servidor.
0x8 KDC_ERR_PRINCIPAL_NOT_UNIQUE Varias entradas principales en la base de datos KDC Este error se produce si existen nombres de entidad de seguridad duplicados. Los nombres principales únicos son fundamentales para garantizar la autenticación mutua. Por lo tanto, los nombres principales duplicados están estrictamente prohibidos, incluso en varios reinos. Sin nombres de entidad de seguridad únicos, el cliente no tiene ninguna manera de garantizar que el servidor con el que se comunica sea el correcto.
0x9 KDC_ERR_NULL_KEY El cliente o servidor tiene una clave nula (clave maestra) No se encontró ninguna clave maestra para el cliente o el servidor. Normalmente, significa que el administrador debe restablecer la contraseña en la cuenta.
0xA KDC_ERR_CANNOT_POSTDATE Ticket (TGT) no apto para postdating Este error puede producirse si un cliente solicita la posdación de un vale kerberos. Posdating es el acto de solicitar que la hora de inicio de un vale se establezca en el futuro.
También puede producirse si hay una diferencia de tiempo entre el cliente y el KDC.
0xB KDC_ERR_NEVER_VALID La hora de inicio solicitada es posterior a la hora de finalización Hay una diferencia de tiempo entre el KDC y el cliente.
0xC KDC_ERR_POLICY La hora de inicio solicitada es posterior a la hora de finalización Este error suele ser el resultado de las restricciones de inicio de sesión en vigor en la cuenta de un usuario. Por ejemplo, restricción de estación de trabajo, requisito de autenticación de tarjeta inteligente o restricción de tiempo de inicio de sesión.
0xD KDC_ERR_BADOPTION KDC no puede dar cabida a la opción solicitada Expiración inminente de un TGT.
El SPN al que el cliente intenta delegar las credenciales no está en su lista Permitido delegar en
0xE KDC_ERR_ETYPE_NOTSUPP KDC no admite el tipo de cifrado. En general, este error se produce cuando el KDC o un cliente recibe un paquete que no puede descifrar.
0xF KDC_ERR_SUMTYPE_NOSUPP KDC no admite el tipo de suma de comprobación. El KDC, servidor o cliente recibe un paquete para el que no tiene una clave del tipo de cifrado adecuado. El resultado es que el equipo no puede descifrar el vale.
0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC no admite el tipo PADATA (datos de autenticación previa) Se está intentando iniciar sesión con tarjeta inteligente y no se puede encontrar el certificado adecuado. Esto puede ocurrir porque se está consultando a la entidad de certificación (CA) incorrecta o no se puede ponerse en contacto con la entidad de certificación adecuada.
También puede ocurrir cuando un controlador de dominio no tiene un certificado instalado para tarjetas inteligentes (plantillas de autenticación de controlador de dominio o controlador de dominio).
Este código de error no puede producirse en el evento "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa de Kerberos".
0x11 KDC_ERR_TRTYPE_NO_SUPP KDC no admite el tipo transitado. No hay información.
0x12 KDC_ERR_CLIENT_REVOKED Se han revocado las credenciales del cliente Esto puede deberse a una deshabilitación explícita o a otras restricciones vigentes en la cuenta. Por ejemplo: cuenta deshabilitada, expirada o bloqueada.
0x13 KDC_ERR_SERVICE_REVOKED Se han revocado las credenciales del servidor No hay información.
0x14 KDC_ERR_TGT_REVOKED TGT ha sido revocado Dado que el KDC remoto puede cambiar su clave PKCROSS mientras haya vales PKCROSS activos, DEBE almacenar en caché las claves PKCROSS antiguas hasta que expire el último vale PKCROSS emitido. De lo contrario, el KDC remoto responderá a un cliente con un mensaje KRB-ERROR de tipo KDC_ERR_TGT_REVOKED. Consulte RFC1510 para obtener más detalles.
0x15 KDC_ERR_CLIENT_NOTYET El cliente aún no es válido: inténtelo de nuevo más tarde No hay información.
0x16 KDC_ERR_SERVICE_NOTYET El servidor aún no es válido: inténtelo de nuevo más tarde No hay información.
0x17 KDC_ERR_KEY_EXPIRED La contraseña ha expirado: cambie la contraseña para restablecerla. La contraseña del usuario ha expirado.
Este código de error no puede producirse en el evento "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa de Kerberos".
0x18 KDC_ERR_PREAUTH_FAILED La información previa a la autenticación no era válida Se proporcionó una contraseña incorrecta.
Este código de error no puede producirse en el evento "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa de Kerberos".
0x19 KDC_ERR_PREAUTH_REQUIRED Se requiere autenticación previa adicional Este error suele producirse en escenarios de interoperabilidad de UNIX. MIT-Kerberos clientes no solicitan autenticación previa cuando envían un mensaje KRB_AS_REQ. Si se requiere autenticación previa (valor predeterminado), los sistemas Windows enviarán este error. La mayoría de los clientes MIT-Kerberos responderán a este error proporcionando la autenticación previa, en cuyo caso se puede omitir el error, pero es posible que algunos clientes no respondan de esta manera.
0x1A KDC_ERR_SERVER_NOMATCH KDC no conoce el servidor solicitado No hay información.
0x1D KDC_ERR_SVC_UNAVAILABLE KDC no está disponible No hay información.
0x1F KRB_AP_ERR_BAD_INTEGRITY Error en la comprobación de integridad en el campo descifrado El autenticador se cifró con algo distinto de la clave de sesión. El resultado es que el cliente no puede descifrar el mensaje resultante. La modificación del mensaje podría ser el resultado de un ataque o podría deberse a ruido de red.
0x20 KRB_AP_ERR_TKT_EXPIRED El vale ha expirado Cuanto menor sea el valor de la configuración de directiva Kerberos "Duración máxima del vale de usuario", más probable es que se produzca este error. Dado que la renovación de vales es automática, no debe hacer nada si recibe este mensaje.
0x21 KRB_AP_ERR_TKT_NYV El vale aún no es válido El vale presentado al servidor aún no es válido (en relación con la hora del servidor). La causa más probable es que los relojes del KDC y el cliente no se sincronicen.
Si se intenta la autenticación Kerberos entre dominios, también debe comprobar la sincronización de tiempo entre el KDC en el dominio de destino y el KDC en el dominio del cliente.
0x22 KRB_AP_ERR_REPEAT La solicitud es una reproducción Este error indica que un autenticador específico se ha mostrado dos veces: el KDC ha detectado que este vale de sesión duplica uno que ya ha recibido.
0x23 KRB_AP_ERR_NOT_US El billete no es para nosotros El servidor ha recibido un vale destinado a un dominio diferente.
0x24 KRB_AP_ERR_BADMATCH El vale y el autenticador no coinciden Krb_TGS_REQ se envía al KDC incorrecto.
Hay una falta de coincidencia de cuentas durante la transición del protocolo.
0x25 KRB_AP_ERR_SKEW El sesgo del reloj es demasiado grande Este error se registra si un equipo cliente envía una marca de tiempo cuyo valor difiere del de la marca de tiempo del servidor en más de los minutos que se encuentran en la configuración "Tolerancia máxima para la sincronización de reloj del equipo" en la directiva Kerberos.
0x26 KRB_AP_ERR_BADADDR La dirección de red en el encabezado de la capa de red no coincide con la dirección dentro del vale Los vales de sesión PUEDEN incluir las direcciones desde las que son válidas. Este error puede producirse si la dirección del equipo que envía el vale es diferente de la dirección válida del vale. Una posible causa de esto podría ser un cambio de dirección de protocolo de Internet (IP). Otra causa posible es cuando se pasa un vale a través de un servidor proxy o NAT. El cliente no es consciente del esquema de direcciones usado por el servidor proxy, por lo que, a menos que el programa provocara que el cliente solicitara un vale de servidor proxy con la dirección de origen del servidor proxy, el vale podría no ser válido.
0x27 KRB_AP_ERR_BADVERSION Los números de versión del protocolo no coinciden (PVNO) Cuando una aplicación recibe un mensaje KRB_SAFE, lo comprueba. Si se produce algún error, se notifica un código de error para su uso por parte de la aplicación.
El mensaje se comprueba primero comprobando que los campos de tipo y versión del protocolo coinciden con la versión actual y KRB_SAFE, respectivamente. Una falta de coincidencia genera un KRB_AP_ERR_BADVERSION.
Consulte RFC4120 para obtener más detalles.
0x28 KRB_AP_ERR_MSG_TYPE No se admite el tipo de mensaje Este mensaje se genera cuando el servidor de destino detecta que el formato del mensaje es incorrecto. Esto se aplica a los mensajes KRB_AP_REQ, KRB_SAFE, KRB_PRIV y KRB_CRED.
Este error también se genera si se intenta usar el protocolo UDP con la autenticación de usuario a usuario.
0x29 KRB_AP_ERR_MODIFIED Secuencia de mensajes modificada y suma de comprobación no coincidía Los datos de autenticación se cifraron con la clave incorrecta para el servidor previsto.
Los datos de autenticación se modificaron en tránsito por un error de hardware o software, o por un atacante.
El cliente envió los datos de autenticación al servidor incorrecto porque los datos DNS incorrectos provocaron que el cliente enviara la solicitud al servidor incorrecto.
El cliente envió los datos de autenticación al servidor incorrecto porque los datos DNS no se encontraban actualizados en el cliente.
0x2A KRB_AP_ERR_BADORDER Mensaje desordenado (posible alteración) Este evento genera mensajes KRB_SAFE y KRB_PRIV si se incluye un número de secuencia incorrecto o si se espera un número de secuencia pero no está presente. Consulte RFC4120 para obtener más detalles.
0x2C KRB_AP_ERR_BADKEYVER La versión especificada de la clave no está disponible Este error se puede generar en el servidor durante la recepción del mensaje KRB_AP_REQ no válido. Si la versión de clave indicada por el vale en KRB_AP_REQ no es una que el servidor puede usar (por ejemplo, indica una clave antigua y el servidor ya no posee una copia de la clave antigua), se devuelve el error KRB_AP_ERR_BADKEYVER.
0x2D KRB_AP_ERR_NOKEY Clave de servicio no disponible Este error se puede generar en el servidor durante la recepción del mensaje KRB_AP_REQ no válido. Dado que es posible que el servidor se registre en varios dominios, con claves diferentes en cada uno, el campo de dominio en la parte sin cifrar del vale en KRB_AP_REQ se usa para especificar qué clave secreta debe usar el servidor para descifrar ese vale. Se devuelve el código de error KRB_AP_ERR_NOKEY si el servidor no tiene la clave adecuada para descifrar el vale.
0x2E KRB_AP_ERR_MUT_FAIL Error de autenticación mutua No hay información.
0x2F KRB_AP_ERR_BADDIRECTION Dirección del mensaje incorrecta No hay información.
0x30 KRB_AP_ERR_METHOD Se requiere un método de autenticación alternativo Según RFC4120 , este mensaje de error está obsoleto.
0x31 KRB_AP_ERR_BADSEQ Número de secuencia incorrecto en el mensaje No hay información.
0x32 KRB_AP_ERR_INAPP_CKSUM Tipo inadecuado de suma de comprobación en el mensaje (la suma de comprobación puede no ser compatible) Cuando KDC recibe el mensaje KRB_TGS_REQ lo descifra y, después, la suma de comprobación proporcionada por el usuario en authenticator debe comprobarse con respecto al contenido de la solicitud. El mensaje debe rechazarse si las sumas de comprobación no coinciden (con un código de error de KRB_AP_ERR_MODIFIED) o si la suma de comprobación no es a prueba de colisión (con un código de error de KRB_AP_ERR_INAPP_CKSUM).
0x33 KRB_AP_PATH_NOT_ACCEPTED No se puede acceder a la ruta de acceso deseada No hay información.
0x34 KRB_ERR_RESPONSE_TOO_BIG Demasiados datos El tamaño de un vale es demasiado grande para transmitirse de forma confiable a través de UDP. En un entorno de Windows, este mensaje es puramente informativo. Un equipo que ejecuta un sistema operativo Windows probará automáticamente TCP si se produce un error en UDP.
0x3C KRB_ERR_GENERIC Error genérico La pertenencia a grupos ha sobrecargado el PAC.
No se han propagado varios cambios de contraseña recientes.
Error del subsistema criptográfico causado por quedarse sin memoria.
SPN demasiado largo.
SPN tiene demasiadas partes.
0x3D KRB_ERR_FIELD_TOOLONG El campo es demasiado largo para esta implementación Cada solicitud (KRB_KDC_REQ) y la respuesta (KRB_KDC_REP o KRB_ERROR) enviadas a través de la secuencia TCP están precedidas por la longitud de la solicitud como 4 octetos en orden de bytes de red. El bit alto de la longitud está reservado para la expansión futura y debe establecerse actualmente en cero. Si un KDC que no entiende cómo interpretar un bit alto establecido de la codificación de longitud recibe una solicitud con el bit de orden alto del conjunto de longitud, debe devolver un mensaje KRB-ERROR con el error KRB_ERR_FIELD_TOOLONG y DEBE cerrar el flujo TCP.
0x3E KDC_ERR_CLIENT_NOT_TRUSTED Error en la confianza del cliente o no se implementa Esto suele ocurrir cuando se revoca el certificado de tarjeta inteligente del usuario o la entidad de certificación raíz que emitió el certificado de tarjeta inteligente (en una cadena) no es de confianza para el controlador de dominio.
0x3F KDC_ERR_KDC_NOT_TRUSTED Error en la confianza del servidor KDC o no se pudo comprobar El campo trustedCertifiers contiene una lista de entidades de certificación de confianza para el cliente, en el caso de que el cliente no posea el certificado de clave pública del KDC. Si el KDC no tiene ningún certificado firmado por ninguno de los trustedCertifiers, devuelve un error de tipo KDC_ERR_KDC_NOT_TRUSTED. Consulte RFC1510 para obtener más detalles.
0x40 KDC_ERR_INVALID_SIG La firma no es válida Este error está relacionado con PKINIT. Si existe una relación de confianza de PKI, el KDC comprueba la firma del cliente en AuthPack (firma de solicitud TGT). Si se produce un error, el KDC devuelve un mensaje de error de tipo KDC_ERR_INVALID_SIG.
0x41 KDC_ERR_KEY_TOO_WEAK Se necesita un nivel de cifrado más alto Si el campo clientPublicValue se rellena, lo que indica que el cliente desea usar Diffie-Hellman contrato de clave, el KDC comprueba que los parámetros cumplen su directiva. Si no lo hacen (por ejemplo, el tamaño primo es insuficiente para el tipo de cifrado esperado), el KDC devuelve un mensaje de error de tipo KDC_ERR_KEY_TOO_WEAK.
0x42 KRB_AP_ERR_USER_TO_USER_REQUIRED Se requiere autorización de usuario a usuario En el caso de que la aplicación cliente no sepa que un servicio requiere autenticación de usuario a usuario, y solicita y recibe un KRB_AP_REP convencional, el cliente enviará la solicitud KRB_AP_REP y el servidor responderá con un token KRB_ERROR como se describe en RFC1964, con un tipo de mensaje de KRB_AP_ERR_USER_TO_USER_REQUIRED.
0x43 KRB_AP_ERR_NO_TGT No se presentó ningún TGT o está disponible En la autenticación de usuario a usuario si el servicio no posee un vale de concesión de vales, debe devolver el error KRB_AP_ERR_NO_TGT.
0x44 KDC_ERR_WRONG_REALM Dominio o entidad de seguridad incorrectos Aunque este error rara vez se produce, se produce cuando un cliente presenta un TGT entre dominios a un dominio distinto del especificado en el TGT. Normalmente, esto se debe a dns configurado incorrectamente.

Tabla 3. Códigos de error de problema de TGT/TGS

  • Tipo de cifrado de vales [Type = HexInt32]: el conjunto criptográfico que se usó para el TGT emitido.

Tabla 4. Tipos de cifrado Kerberos

Tipo Nombre de tipo Descripción
0x1 DES-CBC-CRC Deshabilitado de forma predeterminada a partir de Windows 7 y Windows Server 2008 R2.
0x3 DES-CBC-MD5 Deshabilitado de forma predeterminada a partir de Windows 7 y Windows Server 2008 R2.
0x11 AES128-CTS-HMAC-SHA1-96 Se admite a partir de Windows Server 2008 y Windows Vista.
0x12 AES256-CTS-HMAC-SHA1-96 Se admite a partir de Windows Server 2008 y Windows Vista.
0x17 RC4-HMAC Conjunto predeterminado para sistemas operativos anteriores a Windows Server 2008 y Windows Vista.
0x18 RC4-HMAC-EXP Conjunto predeterminado para sistemas operativos anteriores a Windows Server 2008 y Windows Vista.
0xFFFFFFFF o 0xffffffff - Este tipo se muestra en Eventos de error de auditoría.
  • Tipo de autenticación previa [Type = UnicodeString]: el número de código del tipo de autenticación previa que se usó en la solicitud TGT.

Tabla 5. Tipos de autenticación previa de Kerberos

Tipo Nombre de tipo Descripción
0 - Inicie sesión sin autenticación previa.
2 PA-ENC-TIMESTAMP Se trata de un tipo normal para la autenticación con contraseña estándar.
11 PA-ETYPE-INFO El KDC envía el tipo de autenticación previa ETYPE-INFO en un KRB-ERROR que indica un requisito de autenticación previa adicional. Normalmente se usa para notificar a un cliente de qué clave usar para el cifrado de una marca de tiempo cifrada con el fin de enviar un valor de autenticación previa PA-ENC-TIMESTAMP.
Nunca se ha visto este tipo de autenticación previa en el entorno de Microsoft Active Directory.
15 PA-PK-AS-REP_OLD Se usa para la autenticación de inicio de sesión de tarjeta inteligente.
16 PA-PK-AS-REQ Solicitud enviada a KDC en escenarios de autenticación de tarjeta inteligente.
17 PA-PK-AS-REP Este tipo también debe usarse para la autenticación con tarjeta inteligente, pero en determinados entornos de Active Directory, nunca se ve.
19 PA-ETYPE-INFO2 El KDC envía el tipo de autenticación previa ETYPE-INFO2 en un KRB-ERROR que indica un requisito de autenticación previa adicional. Normalmente se usa para notificar a un cliente de qué clave usar para el cifrado de una marca de tiempo cifrada con el fin de enviar un valor de autenticación previa PA-ENC-TIMESTAMP.
Nunca se ha visto este tipo de autenticación previa en el entorno de Microsoft Active Directory.
20 PA-SVR-REFERRAL-INFO Se usa en vales de referencia de KDC.
138 PA-ENCRYPTED-CHALLENGE Inicie sesión mediante la protección de Kerberos (FAST). Se admite a partir de Windows Server 2012 controladores de dominio y clientes de Windows 8.
- Este tipo se muestra en Eventos de error de auditoría.

Información del certificado:

  • Nombre del emisor de certificados [Type = UnicodeString]: el nombre de la entidad de certificación que emitió el certificado de tarjeta inteligente. Rellenado en el campo Emitido por en el certificado.

  • Número de serie del certificado [Type = UnicodeString]: número de serie del certificado de tarjeta inteligente. Se puede encontrar en el campo Número de serie del certificado.

  • Huella digital del certificado [Type = UnicodeString]: huella digital del certificado de tarjeta inteligente. Puede encontrarse en el campo Huella digital del certificado.

Recomendaciones de supervisión de seguridad.

Para 4768(S, F): se solicitó un vale de autenticación Kerberos (TGT).

Tipo de supervisión necesaria Recomendación
Cuentas de gran valor: Es posible que tenga un dominio o cuentas locales de gran valor para las que necesita supervisar cada acción.
Algunos ejemplos de cuentas de gran valor son administradores de bases de datos, cuentas de administrador local integradas, administradores de dominio, cuentas de servicio, cuentas de controlador de dominio, etc.
Supervise este evento con el "Id. de usuario" que corresponde a la cuenta o cuentas de alto valor.
Anomalías o acciones malintencionadas: Es posible que tenga necesidades específicas a la hora de detectar anomalías o de supervisar posibles acciones malintencionadas. Por ejemplo, puede que necesite supervisar el uso de una cuenta fuera de horario laboral. Cuando supervise anomalías o acciones malintencionadas, use el "Id. de usuario" (con otra información) para supervisar cómo o cuándo se usa una cuenta determinada.
Cuentas no activas: Puede que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deban usarse. Supervise este evento con el "Id. de usuario" que corresponde a las cuentas que nunca se deben usar.
Lista de cuentaspermitidas: es posible que tenga una lista de cuentas específica que sean las únicas permitidas para realizar acciones correspondientes a eventos concretos. Si este evento corresponde a una acción "allowlist-only", revise el "Id. de usuario" para las cuentas que están fuera de la lista de permitidos.
Cuentas externas: Puede que esté supervisando las cuentas de otro dominio o cuentas "externas" que no pueden realizar determinadas acciones (representadas por determinados eventos específicos). Supervise este evento para ver el "Nombre de dominio proporcionado" correspondiente a otro dominio o ubicación "externa".
Convenciones de nomenclatura de cuentas: Puede que su organización cuente con convenciones de nomenclatura específicas para los nombres de cuenta. Supervise el "Id. de usuario" para ver los nombres que no cumplen las convenciones de nomenclatura.
  • Puede realizar un seguimiento de todos los eventos 4768 en los que la dirección de cliente no procede del intervalo de direcciones IP internas o no de los intervalos de direcciones IP privadas.

  • Si sabe que el nombre de la cuenta debe usarse solo desde la lista conocida de direcciones IP, realice un seguimiento de todos los valores de dirección de cliente para este nombre de cuenta en eventos 4768 . Si la dirección de cliente no procede de la lista de permitidos, genere la alerta.

  • Todas las direcciones de = ::1 cliente significan autenticación local. Si conoce la lista de cuentas que deben iniciar sesión en los controladores de dominio, debe supervisar todas las posibles infracciones, donde la dirección = ::1 de cliente y el nombre de cuenta no pueden iniciar sesión en ningún controlador de dominio.

  • Se deben examinar todos los eventos 4768 con el valor > de campo Puerto de cliente 0 y < 1024, porque se usó un puerto conocido para la conexión saliente.

  • Considere también la posibilidad de supervisar los campos que se muestran en la tabla siguiente para detectar los problemas enumerados:

Campo Problema que se va a detectar
Nombre del emisor de certificados El nombre de la entidad de certificación no es de la PKI.
Nombre del emisor de certificados El nombre de la entidad de certificación no está autorizado para emitir certificados de autenticación de tarjeta inteligente.
Tipo de autenticación previa El valor es 0, lo que significa que no se usó la autenticación previa. Todas las cuentas deben usar la autenticación previa, excepto las cuentas configuradas con "No requerir autenticación previa de Kerberos", lo que supone un riesgo para la seguridad. Para obtener más información, consulte la tabla 5. Tipos de autenticación previa de Kerberos.
Tipo de autenticación previa El valor no es 15 cuando la cuenta debe usar una tarjeta inteligente para la autenticación. Para obtener más información, consulte la tabla 5. Tipos de autenticación previa de Kerberos.
Tipo de autenticación previa El valor no es 2 cuando solo se usa la autenticación con contraseña estándar en la organización. Para obtener más información, consulte la tabla 5. Tipos de autenticación previa de Kerberos.
Tipo de autenticación previa El valor no es 138 cuando la protección de Kerberos está habilitada para todas las comunicaciones Kerberos de la organización. Para obtener más información, consulte la tabla 5. Tipos de autenticación previa de Kerberos.
Tipo de cifrado de vales El valor es 0x1 o 0x3, lo que significa que se usó el algoritmo DES. DES no debe estar en uso, debido a la baja seguridad y las vulnerabilidades conocidas. Está deshabilitada de forma predeterminada a partir de Windows 7 y Windows Server 2008 R2. Para obtener más información, consulte la tabla 4. Tipos de cifrado Kerberos.
Tipo de cifrado de vales A partir de Windows Vista y Windows Server 2008, supervise valores distintos de 0x11 y 0x12. Estos son los valores esperados, empezando por estos sistemas operativos, y representan algoritmos de la familia AES. Para obtener más información, consulte la tabla 4. Tipos de cifrado Kerberos.
Código de resultado 0x6 (el nombre de usuario no existe), si ve, por ejemplo, N eventos en los últimos N minutos. Esto puede ser un indicador de ataque de enumeración de cuentas, especialmente para cuentas muy críticas.
Código de resultado 0x7 (el servidor no se encuentra en la base de datos Kerberos). Este error puede producirse si el controlador de dominio no encuentra el nombre del servidor en Active Directory.
Código de resultado 0x8 (varias entradas principales en la base de datos KDC). Esto le ayudará a encontrar SPN duplicados más rápido.
Código de resultado 0x9 (el cliente o el servidor tiene una clave nula (clave maestra)). Este error puede ayudarle a identificar problemas con la autenticación Kerberos más rápido.
Código de resultado 0xA (Ticket (TGT) no apto para postdating). Los sistemas de Microsoft no deben solicitar vales posdatados. Estos eventos podrían ayudar a identificar la actividad de anomalías.
Código de resultado 0xC (la hora de inicio solicitada es posterior a la hora de finalización), si ve, por ejemplo, N eventos en los últimos N minutos. Esto puede ser un indicador de un intento de compromiso de cuenta, especialmente para cuentas muy críticas.
Código de resultado 0xE (KDC no admite el tipo de cifrado). En general, este error se produce cuando el KDC o un cliente recibe un paquete que no puede descifrar. Supervise estos eventos porque esto no debe ocurrir en un entorno de Active Directory estándar.
Código de resultado 0xF (KDC no admite el tipo de suma de comprobación). Supervise estos eventos porque esto no debe ocurrir en un entorno de Active Directory estándar.
Código de resultado 0x12 (se han revocado las credenciales del cliente), si ve, por ejemplo, N eventos en los últimos N minutos. Esto puede ser un indicador de actividad de anomalías o ataque por fuerza bruta, especialmente para cuentas muy críticas.
Código de resultado 0x1F (error al comprobar la integridad en el campo descifrado). El autenticador se cifró con algo distinto de la clave de sesión. El resultado es que el KDC no puede descifrar el TGT. La modificación del mensaje podría ser el resultado de un ataque o podría deberse a ruido de red.
Código de resultado 0x22 (la solicitud es una reproducción). Este error indica que un autenticador específico se mostró dos veces: el KDC ha detectado que este vale de sesión duplica uno que ya ha recibido. Podría ser una señal de intento de ataque.
Código de resultado 0x29 (secuencia de mensajes modificada y suma de comprobación no coinciden). Los datos de autenticación se cifraron con la clave incorrecta para el servidor previsto. Los datos de autenticación se modificaron en tránsito por un error de hardware o software, o por un atacante. Supervise estos eventos porque esto no debe ocurrir en un entorno de Active Directory estándar.
Código de resultado 0x3C (error genérico). Este error puede ayudarle a identificar más rápidamente los problemas con la autenticación Kerberos.
Código de resultado 0x3E (error o no se implementa la confianza del cliente). Este error le ayuda a identificar los intentos de inicio de sesión con certificados revocados y las situaciones en las que un controlador de dominio no confía en la entidad de certificación raíz que emitió el certificado de tarjeta inteligente (a través de una cadena).
Código de resultado errores de 0x3F, 0x40 0x41 . Estos errores pueden ayudarle a identificar más rápidamente problemas relacionados con tarjetas inteligentes con la autenticación Kerberos.