4768(S, F): Kerberos 認証チケット (TGT) が要求されました。
サブカテゴリ: Kerberos 認証サービスの監査
イベントの説明:
このイベントは、キー配布センターが Kerberos チケット許可チケット (TGT) を発行するたびに生成されます。
このイベントは、ドメイン コントローラーでのみ生成されます。
TGT の問題が失敗した場合、 結果コード フィールドが "0x0" と等しくない Failure イベントが表示されます。
このイベントは、 結果コード (0x10と0x18) には生成されません。 イベント "4771: Kerberos の事前認証に失敗しました。 代わりに が生成されます。
注意
推奨事項については、このイベントの セキュリティ監視に関する推奨事項 を参照してください。
イベント XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4768</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14339</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-08-07T18:13:46.074535600Z" />
<EventRecordID>166747</EventRecordID>
<Correlation />
<Execution ProcessID="520" ThreadID="1496" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">dadmin</Data>
<Data Name="TargetDomainName">CONTOSO.LOCAL</Data>
<Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="ServiceName">krbtgt</Data>
<Data Name="ServiceSid">S-1-5-21-3457937927-2839227994-823803824-502</Data>
<Data Name="TicketOptions">0x40810010</Data>
<Data Name="Status">0x0</Data>
<Data Name="TicketEncryptionType">0x12</Data>
<Data Name="PreAuthType">15</Data>
<Data Name="IpAddress">::ffff:10.0.0.12</Data>
<Data Name="IpPort">49273</Data>
<Data Name="CertIssuerName">contoso-DC01-CA-1</Data>
<Data Name="CertSerialNumber">1D0000000D292FBE3C6CDDAFA200020000000D</Data>
<Data Name="CertThumbprint">564DFAEE99C71D62ABC553E695BD8DBC46669413</Data>
</EventData>
</Event>
必要なサーバー ロール: Active Directory ドメイン コントローラー。
OS の最小バージョン: Windows Server 2008。
イベント バージョン: 0。
フィールドの説明:
アカウント情報:
アカウント名 [Type = UnicodeString]: (TGT) チケットが要求されたアカウントの名前。 コンピューター アカウント名は文字で $ 終わります。
ユーザー アカウントの例: dadmin
コンピューター アカウントの例: WIN81$
指定された領域名 [Type = UnicodeString]: アカウント名 が属する Kerberos 領域の名前。 これは、次のようなさまざまな形式で表示できます。
ドメイン NETBIOS 名の例: CONTOSO
小文字の完全なドメイン名: contoso.local
大文字の完全なドメイン名: CONTOSO.LOCAL
注意
Kerberos Realm は、同じ Kerberos データベースを共有するマネージド ノードのセットです。 Kerberos データベースは Kerberos マスター コンピューター システム上にあり、物理的にセキュリティで保護された部屋に保持する必要があります。 Active Directory ドメインは、Microsoft Windows Active Directory の世界における Kerberos Realm の例です。
ユーザー ID [Type = SID]: (TGT) チケットが要求されたアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。
たとえば、CONTOSO\dadmin または CONTOSO\WIN81$ です。
- NULL SID – この値は 、4768 エラー イベントに表示されます。
注意
**セキュリティ識別子 (SID)** は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「[セキュリティ識別子](/windows/access-protection/access-control/security-identifiers)」を参照してください。
サービス情報:
サービス名 [Type = UnicodeString]: TGT 要求が送信された Kerberos 領域のサービスの名前。 通常、TGT 要求の値 "krbtgt" があります。これは、チケット付与チケット発行サービスを意味します。
- エラー イベントの場合、 サービス名 の形式は通常、 krbtgt/REALM_NAMEです。 例: krbtgt/CONTOSO。
サービス ID [Type = SID]: TGT 要求が送信された Kerberos Realm 内のサービス アカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。
ドメイン コントローラーには、Kerberos チケットを発行するためにキー配布センター (KDC) サービスによって使用される特定のサービス アカウント (krbtgt) があります。 これには、S-1-5-21-DOMAIN[](/previous-versions/windows/it-pro/windows-2000-server/cc962011(v=technet.10))_IDENTIFIER-502 という定義済みの SID が組み込まれています。
- NULL SID – この値は 、4768 エラー イベントに表示されます。
ネットワーク情報:
クライアント アドレス [Type = UnicodeString]: TGT 要求を受信したコンピューターの IP アドレス。 形式はさまざまで、次のようなものがあります。
IPv6 または IPv4 アドレス。
::ffff:IPv4_address。
::1 - localhost。
クライアント ポート [Type = UnicodeString]: クライアント ネットワーク接続のソース ポート番号 (TGT 要求接続)。
- ローカル (localhost) 要求の場合は 0。
追加情報:
チケット オプション [Type = HexInt32]: これは、16 進形式の異なるチケット フラグのセットです。
例:
チケット オプション: 0x40810010
バイナリ ビュー: 01000000100000010000000000010000
MSB 0 ビット番号を使用すると、ビット 1、8、15、27 セット = 転送可能、再生可能、正規化、再生可能-ok があります。
注意
次の表では、RFC ドキュメントでこのスタイルが使用されるため、 "MSB 0" ビット番号が使用されています。 "MSB 0" では、スタイルのビット番号は左から始まります。
最も一般的な値:
0x40810010 - 転送可能、再生可能、正規化、再生可能 OK
0x40810000 - 転送可能、再生可能、正規化
0x60810010 - 転送可能、転送、再生可能、正規化、再生可能 OK
| ビット | フラグ名 | 説明 |
|---|---|---|
| 0 | 予約済み | - |
| 1 | 転送可能 | (TGT のみ)。 提示された TGT に基づいて別のネットワーク アドレスを使用して、提示された TGT に基づいて新しい TGT を発行できることをチケット付与サービスに伝えます。 |
| 2 | 転送 | TGT が転送されたか、転送された TGT からチケットが発行されたことを示します。 |
| 3 | Proxiable | (TGT のみ)。 TGT 内とは異なるネットワーク アドレスでチケットを発行できることをチケット付与サービスに伝えます。 |
| 4 | プロキシ | チケット内のネットワーク アドレスが、チケットの取得に使用される TGT 内のネットワーク アドレスと異なっていることを示します。 |
| 5 | Allow-postdate | 期限切れのチケットは 、KILE (Microsoft Kerberos プロトコル拡張機能) ではサポートされません。 |
| 6 | 先日付 | 期限切れのチケットは 、KILE (Microsoft Kerberos プロトコル拡張機能) ではサポートされません。 |
| 7 | ライセンスが無効 | このフラグは、チケットが無効であることを示し、使用する前に KDC によって検証する必要があります。 アプリケーション サーバーは、このフラグが設定されているチケットを拒否する必要があります。 |
| 8 | 再生 | 有効期間が長いチケットを KDC で定期的に更新するには、[終了時刻] フィールドと [更新時間] フィールドと組み合わせて使用します。 |
| 9 | 初期 | チケットが認証サービス (AS) 交換を使用して発行され、TGT に基づいて発行されなかったことを示します。 |
| 10 | 事前認証 | チケットが発行される前に、クライアントが KDC によって認証されたことを示します。 通常、このフラグは、チケットに認証子が存在していることを示します。 また、スマート カード ログオンから取得された資格情報の存在にフラグを設定することもできます。 |
| 11 | Opt-hardware-auth | このフラグは、もともと、事前認証中にハードウェアでサポートされている認証が使用されたことを示すことを目的としていました。 このフラグは、Kerberos V5 プロトコルでは推奨されなくなりました。 KDC は、このフラグが設定されたチケットを発行してはなりません。 KDC は、別の KDC によって設定されている場合、このフラグを保持しないでください。 |
| 12 | Transited-policy-checked | KILE は、サーバーまたは KDC 上のトランジットドメインをチェックしないでください。 アプリケーション サーバーは、TRANSITED-POLICY-CHECKED フラグを無視する必要があります。 |
| 13 | Ok-as-delegate | サービス アカウントが委任に対して信頼されている場合、KDC は OK-AS-DELEGATE フラグを設定する必要があります。 |
| 14 | Request-anonymous | KILE はこのフラグを使用しません。 |
| 15 | 名前正規化 | 紹介を要求するには、Kerberos クライアントが AS-REQ または TGS-REQ の KDC オプションを "正規化" することを明示的に要求する必要があります。 |
| 16-25 | 未使用 | - |
| 26 | disable-transited-check | 既定では、KDC は TGT に基づいて派生チケットを発行する前に、TGT の転送済みフィールドをローカル領域のポリシーと照合します。 要求でこのフラグが設定されている場合、転送されたフィールドのチェックは無効になります。 このチェックのパフォーマンスなしで発行されたチケットは、TRANSITED-POLICY-CHECKED フラグのリセット (0) 値によって通知され、転送されたフィールドをローカルでチェックする必要があることをアプリケーション サーバーに示します。 KDC は推奨されますが、尊重する必要はありません DISABLE-TRANSITED-CHECK オプション。 Transited-policy-checked フラグは KILE でサポートされていないため、使用しないでください。 |
| 27 | Renewable-ok | RENEWABLE-OK オプションは、要求された有効期間のチケットを提供できない場合は、再生可能なチケットを受け入れることを示します。その場合、要求された終了時刻と等しい更新までの更新チケットを発行できます。 renew-till フィールドの値は、引き続きローカル制限、または個々のプリンシパルまたはサーバーによって選択された制限によって制限される場合があります。 |
| 28 | Enc-tkt-in-skey | 情報がありません。 |
| 29 | 未使用 | - |
| 30 | 更新 | RENEW オプションは、現在の要求が更新用であることを示します。 指定されたチケットは、有効なサーバーの秘密キーで暗号化されます。 このオプションは、更新するチケットに RENEWABLE フラグが設定されている場合、および renew-till フィールド内の時刻が経過していない場合にのみ適用されます。 更新するチケットは、認証ヘッダーの一部として padata フィールドに渡されます。 |
| 31 | 検証 | このオプションは、チケット付与サービスでのみ使用されます。 VALIDATE オプションは、要求が先日付のチケットを検証することを示します。 期限切れのチケットは KILE でサポートされていないため、使用しないでください。 |
表 2. Kerberos チケット フラグ
注意
KILE (Microsoft Kerberos プロトコル拡張機能) – Microsoft オペレーティング システムで使用される Kerberos プロトコル拡張機能。 これらの拡張機能は、グループ メンバーシップ、対話型ログオン情報、整合性レベルなど、承認情報の追加機能を提供します。
- 結果コード [Type = HexInt32]: TGT issue 操作の 16 進数の結果コード。 "表 3. TGT/TGS でエラー コードが発行されます。 には、このイベントの最も一般的なエラー コードの一覧が含まれています。
| コード | コード名 | 説明 | 考えられる原因 |
|---|---|---|---|
| 0x0 | KDC_ERR_NONE | エラーなし | エラーが見つかりませんでした。 |
| 0x1 | KDC_ERR_NAME_EXP | KDC データベース内のクライアントのエントリの有効期限が切れています | 情報がありません。 |
| 0x2 | KDC_ERR_SERVICE_EXP | KDC データベース内のサーバーのエントリの有効期限が切れています | 情報がありません。 |
| 0x3 | KDC_ERR_BAD_PVNO | 要求された Kerberos バージョン番号がサポートされていません | 情報がありません。 |
| 0x4 | KDC_ERR_C_OLD_MAST_KVNO | 古いマスター キーで暗号化されたクライアントのキー | 情報がありません。 |
| 0x5 | KDC_ERR_S_OLD_MAST_KVNO | 古いマスター キーで暗号化されたサーバーのキー | 情報がありません。 |
| 0x6 | KDC_ERR_C_PRINCIPAL_UNKNOWN | Kerberos データベースにクライアントが見つかりません | ユーザー名が存在しません。 |
| 0x7 | KDC_ERR_S_PRINCIPAL_UNKNOWN | Kerberos データベースにサーバーが見つかりません | このエラーは、ドメイン コントローラーが Active Directory でサーバーの名前を見つけることができない場合に発生する可能性があります。 このエラーは KDC_ERR_C_PRINCIPAL_UNKNOWN に似ていますが、サーバー名が見つからない場合に発生します。 |
| 0x8 | KDC_ERR_PRINCIPAL_NOT_UNIQUE | KDC データベース内の複数のプリンシパル エントリ | このエラーは、重複するプリンシパル名が存在する場合に発生します。 相互認証を確保するには、一意のプリンシパル名が重要です。 したがって、重複するプリンシパル名は、複数の領域にまたがる場合でも、厳密に禁止されます。 一意のプリンシパル名がないと、クライアントは、通信しているサーバーが正しいことを保証する方法はありません。 |
| 0x9 | KDC_ERR_NULL_KEY | クライアントまたはサーバーに null キー (マスター キー) があります | クライアントまたはサーバーのマスター キーが見つかりませんでした。 通常、管理者はアカウントのパスワードをリセットする必要があることを意味します。 |
| 0xA | KDC_ERR_CANNOT_POSTDATE | チケット (TGT) は、投稿の対象になりません | このエラーは、クライアントが Kerberos チケットの投稿を要求した場合に発生する可能性があります。 後付けとは、チケットの開始時刻を将来に設定することを要求する行為です。 また、クライアントと KDC の間に時間差がある場合にも発生する可能性があります。 |
| 0xB | KDC_ERR_NEVER_VALID | 要求された開始時刻が終了時刻より後である | KDC とクライアントには時間差があります。 |
| 0xC | KDC_ERR_POLICY | 要求された開始時刻が終了時刻より後である | このエラーは通常、ユーザーのアカウントに対するログオン制限の結果です。 たとえば、ワークステーションの制限、スマート カード認証の要件、ログオン時間の制限などです。 |
| 0xD | KDC_ERR_BADOPTION | KDC は、要求されたオプションに対応できません | TGT の有効期限が切れる。 クライアントが資格情報を委任しようとしている SPN が、その Allowed-to-delegate-to リストにありません |
| 0xE | KDC_ERR_ETYPE_NOTSUPP | KDC では暗号化の種類がサポートされていません | 一般に、このエラーは、KDC またはクライアントが復号化できないパケットを受信したときに発生します。 |
| 0xF | KDC_ERR_SUMTYPE_NOSUPP | KDC ではチェックサムの種類はサポートされません | KDC、サーバー、またはクライアントは、適切な暗号化の種類のキーを持たないパケットを受信します。 その結果、コンピューターはチケットの暗号化を解除できません。 |
| 0x10 | KDC_ERR_PADATA_TYPE_NOSUPP | KDC では、PADATA の種類 (事前認証データ) はサポートされません | スマート カードログオンが試行されており、適切な証明書を見つけられない。 これは、間違った証明機関 (CA) が照会されているか、適切な CA に接続できないために発生する可能性があります。 また、ドメイン コントローラーにスマート カード (ドメイン コントローラーまたはドメイン コントローラー認証テンプレート) 用の証明書がインストールされていない場合にも発生する可能性があります。 このエラー コードは、イベント "4768" では発生しません。 Kerberos 認証チケット (TGT) が要求されました。 "4771" で発生します。 Kerberos の事前認証に失敗しました" イベント。 |
| 0x11 | KDC_ERR_TRTYPE_NO_SUPP | KDC では、転送された型はサポートされていません | 情報がありません。 |
| 0x12 | KDC_ERR_CLIENT_REVOKED | クライアントの資格情報が取り消されました | これは、明示的に無効にした場合や、アカウントに対するその他の制限が原因である可能性があります。 たとえば、アカウントの無効化、期限切れ、ロックアウトなどです。 |
| 0x13 | KDC_ERR_SERVICE_REVOKED | サーバーの資格情報が取り消されました | 情報がありません。 |
| 0x14 | KDC_ERR_TGT_REVOKED | TGT が取り消されました | リモート KDC は、アクティブな PKCROSS チケットがある間に PKCROSS キーを変更する可能性があるため、最後に発行された PKCROSS チケットの有効期限が切れるまで、古い PKCROSS キーをキャッシュする必要があります。 それ以外の場合、リモート KDC は KDC_ERR_TGT_REVOKED 型の KRB-ERROR メッセージでクライアントに応答します。 詳細については 、RFC1510 を参照してください。 |
| 0x15 | KDC_ERR_CLIENT_NOTYET | クライアントがまだ有効ではありません。後でもう一度やり直してください | 情報がありません。 |
| 0x16 | KDC_ERR_SERVICE_NOTYET | サーバーがまだ有効ではありません。後でもう一度やり直してください | 情報がありません。 |
| 0x17 | KDC_ERR_KEY_EXPIRED | パスワードの有効期限が切れている - パスワードをリセットするように変更する | ユーザーのパスワードの有効期限が切れています。 このエラー コードは、イベント "4768" では発生しません。 Kerberos 認証チケット (TGT) が要求されました。 "4771" で発生します。 Kerberos の事前認証に失敗しました" イベント。 |
| 0x18 | KDC_ERR_PREAUTH_FAILED | 事前認証情報が無効でした | 間違ったパスワードが指定されました。 このエラー コードは、イベント "4768" では発生しません。 Kerberos 認証チケット (TGT) が要求されました。 "4771" で発生します。 Kerberos の事前認証に失敗しました" イベント。 |
| 0x19 | KDC_ERR_PREAUTH_REQUIRED | 追加の事前認証が必要 | このエラーは、UNIX の相互運用性のシナリオでよく発生します。 クライアントMIT-Kerberos KRB_AS_REQ メッセージを送信するときに事前認証を要求しません。 事前認証が必要な場合 (既定値)、Windows システムはこのエラーを送信します。 ほとんどのMIT-Kerberosクライアントは、事前認証を行うことでこのエラーに応答します。この場合、エラーは無視できますが、一部のクライアントはこの方法で応答しない可能性があります。 |
| 0x1A | KDC_ERR_SERVER_NOMATCH | KDC は、要求されたサーバーについて知りません | 情報がありません。 |
| 0x1D | KDC_ERR_SVC_UNAVAILABLE | KDC は使用できません | 情報がありません。 |
| 0x1F | KRB_AP_ERR_BAD_INTEGRITY | 復号化されたフィールドの整合性チェックに失敗しました | 認証子は、セッション キー以外の何かで暗号化されました。 その結果、クライアントは結果のメッセージの暗号化を解除できません。 メッセージの変更は、攻撃の結果であるか、ネットワーク ノイズが原因である可能性があります。 |
| 0x20 | KRB_AP_ERR_TKT_EXPIRED | チケットの有効期限が切れています | Kerberos ポリシー設定の [ユーザー チケットの最大有効期間] の値が小さいほど、このエラーが発生する可能性が高くなります。 チケットの更新は自動であるため、このメッセージを受け取った場合は何もする必要はありません。 |
| 0x21 | KRB_AP_ERR_TKT_NYV | チケットはまだ有効ではありません | サーバーに提示されたチケットはまだ有効ではありません (サーバー時刻との関係にあります)。 最も考えられる原因は、KDC 上のクロックとクライアントが同期されていないことです。 領域間 Kerberos 認証が試行されている場合は、ターゲット 領域の KDC とクライアント領域の KDC の間の時刻同期も確認する必要があります。 |
| 0x22 | KRB_AP_ERR_REPEAT | 要求は再生です | このエラーは、特定の認証子が 2 回表示されたことを示します。KDC は、このセッション チケットが既に受信したチケットと重複していることを検出しました。 |
| 0x23 | KRB_AP_ERR_NOT_US | チケットは私たちのものではありません | サーバーは、別の領域用のチケットを受け取っています。 |
| 0x24 | KRB_AP_ERR_BADMATCH | チケットと認証子が一致しない | KRB_TGS_REQが間違った KDC に送信されています。 プロトコルの移行中にアカウントの不一致があります。 |
| 0x25 | KRB_AP_ERR_SKEW | クロック スキューが大きすぎます | このエラーは、クライアント コンピューターが Kerberos ポリシーの [コンピューターのクロック同期の最大許容度] 設定で見つかった分数を超える、サーバーのタイムスタンプと異なる値のタイムスタンプを送信した場合にログに記録されます。 |
| 0x26 | KRB_AP_ERR_BADADDR | ネットワークレイヤーヘッダーのネットワークアドレスがチケット内のアドレスと一致しない | セッション チケットには、有効なアドレスが含まれる場合があります。 このエラーは、チケットを送信するコンピューターのアドレスが、チケット内の有効なアドレスと異なる場合に発生する可能性があります。 その原因として、インターネット プロトコル (IP) アドレスの変更が考えられます。 もう 1 つの考えられる原因は、チケットがプロキシ サーバーまたは NAT を介して渡される場合です。 クライアントはプロキシ サーバーによって使用されるアドレス スキームを認識していないので、プログラムによってクライアントがプロキシ サーバーのソース アドレスを持つプロキシ サーバー チケットを要求しない限り、チケットが無効になる可能性があります。 |
| 0x27 | KRB_AP_ERR_BADVERSION | プロトコルのバージョン番号が一致しない (PVNO) | アプリケーションが KRB_SAFE メッセージを受信すると、それを検証します。 エラーが発生した場合は、アプリケーションで使用するエラー コードが報告されます。 メッセージは、プロトコルのバージョンと型のフィールドが現在のバージョンと KRB_SAFE それぞれ一致することを確認することによって最初に確認されます。 不一致では、KRB_AP_ERR_BADVERSIONが生成されます。 詳細については 、RFC4120 を参照してください。 |
| 0x28 | KRB_AP_ERR_MSG_TYPE | メッセージの種類がサポートされていません | このメッセージは、ターゲット サーバーでメッセージ形式が間違っていると検出されたときに生成されます。 これは、KRB_AP_REQ、KRB_SAFE、KRB_PRIV、および KRB_CRED メッセージに適用されます。 このエラーは、UDP プロトコルの使用がユーザー間認証で試行されている場合にも生成されます。 |
| 0x29 | KRB_AP_ERR_MODIFIED | メッセージ ストリームが変更され、チェックサムが一致しませんでした | 認証データは、目的のサーバーに対して間違ったキーで暗号化されました。 認証データは、ハードウェアまたはソフトウェアのエラー、または攻撃者によって転送中に変更されました。 DNS データが正しくないと、クライアントが間違ったサーバーに要求を送信したため、クライアントは認証データを間違ったサーバーに送信しました。 クライアントで DNS データが古いため、クライアントは認証データを間違ったサーバーに送信しました。 |
| 0x2A | KRB_AP_ERR_BADORDER | メッセージが順序外 (改ざんの可能性) | このイベントは、正しくないシーケンス番号が含まれている場合、またはシーケンス番号が予期されているが存在しない場合は、KRB_SAFE メッセージと KRB_PRIV メッセージに対して生成されます。 詳細については 、RFC4120 を参照してください。 |
| 0x2C | KRB_AP_ERR_BADKEYVER | 指定されたバージョンのキーは使用できません | このエラーは、無効な KRB_AP_REQ メッセージの受信中にサーバー側で生成される可能性があります。 KRB_AP_REQ のチケットによって示されるキー バージョンが、サーバーで使用できるバージョンではない場合 (たとえば、古いキーを示し、サーバーが古いキーのコピーを所有しなくなった場合)、KRB_AP_ERR_BADKEYVER エラーが返されます。 |
| 0x2D | KRB_AP_ERR_NOKEY | サービス キーは使用できません | このエラーは、無効な KRB_AP_REQ メッセージの受信中にサーバー側で生成される可能性があります。 サーバーを複数の領域に登録し、それぞれに異なるキーを使用して登録できるため、KRB_AP_REQ 内のチケットの暗号化されていない部分の領域フィールドを使用して、サーバーがそのチケットの暗号化を解除するために使用するシークレット キーを指定します。 サーバーにチケットを解読するための適切なキーがない場合、KRB_AP_ERR_NOKEY エラー コードが返されます。 |
| 0x2E | KRB_AP_ERR_MUT_FAIL | 相互認証に失敗しました | 情報がありません。 |
| 0x2f | KRB_AP_ERR_BADDIRECTION | メッセージの方向が正しくありません | 情報がありません。 |
| 0x30 | KRB_AP_ERR_METHOD | 代替認証方法が必要 | RFC4120 によると、このエラー メッセージは廃止されました。 |
| 0x31 | KRB_AP_ERR_BADSEQ | メッセージのシーケンス番号が正しくありません | 情報がありません。 |
| 0x32 | KRB_AP_ERR_INAPP_CKSUM | メッセージ内の不適切な種類のチェックサム (チェックサムがサポートされていない可能性があります) | KDC が KRB_TGS_REQ メッセージを受信すると、暗号化が解除され、その後、Authenticator のユーザーが指定したチェックサムを要求の内容と照合する必要があります。 チェックサムが一致しない (KRB_AP_ERR_MODIFIEDのエラー コードがある) 場合、またはチェックサムが競合防止でない場合 (KRB_AP_ERR_INAPP_CKSUM のエラー コードを含む) 場合は、メッセージを拒否する必要があります。 |
| 0x33 | KRB_AP_PATH_NOT_ACCEPTED | 目的のパスに到達できません | 情報がありません。 |
| 0x34 | KRB_ERR_RESPONSE_TOO_BIG | データが多すぎます | チケットのサイズが大きすぎて、UDP 経由で確実に送信できません。 Windows 環境では、このメッセージは純粋に情報です。 WINDOWS オペレーティング システムを実行しているコンピューターは、UDP が失敗した場合に TCP を自動的に試します。 |
| 0x3C | KRB_ERR_GENERIC | 一般的なエラー | グループ メンバーシップによって PAC がオーバーロードされました。 最近のパスワードの変更が複数反映されていません。 メモリ不足によって発生する暗号化サブシステム エラー。 SPN が長すぎます。 SPN にはパーツが多すぎます。 |
| 0x3D | KRB_ERR_FIELD_TOOLONG | この実装にはフィールドが長すぎます | TCP ストリーム経由で送信される各要求 (KRB_KDC_REQ) と応答 (KRB_KDC_REP または KRB_ERROR) には、ネットワーク バイト順の 4 オクテットとして要求の長さが先行します。 長さの上位ビットは将来の拡張のために予約されており、現在は 0 に設定する必要があります。 長さのエンコードの設定された高ビットを解釈する方法を理解していない KDC が、長さセットの上位ビットを持つ要求を受け取る場合は、エラー KRB_ERR_FIELD_TOOLONG を含む KRB-ERROR メッセージを返す必要があります。TCP ストリームを閉じる必要があります。 |
| 0x3E | KDC_ERR_CLIENT_NOT_TRUSTED | クライアントの信頼が失敗したか、実装されていません | これは通常、ユーザーのスマート カード証明書が取り消されるか、(チェーン内の) スマート カード証明書を発行したルート証明機関がドメイン コントローラーによって信頼されていない場合に発生します。 |
| 0x3f | KDC_ERR_KDC_NOT_TRUSTED | KDC サーバーの信頼に失敗したか、確認できませんでした | trustedCertifiers フィールドには、クライアントが KDC の公開キー証明書を所有していない場合に、クライアントによって信頼されている証明機関の一覧が含まれます。 KDC に trustedCertifiers によって署名された証明書がない場合、KDC_ERR_KDC_NOT_TRUSTED 型のエラーが返されます。 詳細については 、RFC1510 を参照してください。 |
| 0x40 | KDC_ERR_INVALID_SIG | 署名が無効です | このエラーは PKINIT に関連しています。 PKI 信頼関係が存在する場合、KDC は AuthPack (TGT 要求署名) でクライアントの署名を検証します。 失敗した場合、KDC は KDC_ERR_INVALID_SIG 型のエラー メッセージを返します。 |
| 0x41 | KDC_ERR_KEY_TOO_WEAK | より高い暗号化レベルが必要です | クライアントがキー アグリーメントを Diffie-Hellman使用することを示す clientPublicValue フィールドが入力されている場合、KDC はパラメーターがそのポリシーを満たしているかどうかを確認します。 そうでない場合 (たとえば、想定される暗号化の種類に対して素数サイズが不十分な場合)、KDC は KDC_ERR_KEY_TOO_WEAK 型のエラー メッセージを返します。 |
| 0x42 | KRB_AP_ERR_USER_TO_USER_REQUIRED | ユーザー間の承認が必要です | クライアント アプリケーションが、サービスでユーザーからユーザーへの認証が必要であることを認識していない場合は、次の手順を実行します。 と は従来の KRB_AP_REP を要求して受信します。クライアントは KRB_AP_REP 要求を送信し、サーバーは RFC1964 で説明されているように KRB_ERROR トークンで応答し、メッセージの種類は KRB_AP_ERR_USER_TO_USER_REQUIRED。 |
| 0x43 | KRB_AP_ERR_NO_TGT | TGT が提示されなかったか、使用できませんでした | ユーザー間認証では、サービスにチケット許可チケットがない場合は、エラー KRB_AP_ERR_NO_TGT が返されます。 |
| 0x44 | KDC_ERR_WRONG_REALM | ドメインまたはプリンシパルが正しくありません | このエラーはほとんど発生しませんが、クライアントが TGT で指定された領域以外の領域にクロス領域 TGT を提示すると発生します。 通常、これは正しく構成されていない DNS の結果です。 |
表 3. TGT/TGS でエラー コードが発生する
- チケット暗号化の種類 [Type = HexInt32]: 発行された TGT に使用された暗号化スイート。
表 4. Kerberos 暗号化の種類
| 型 | 型名 | 説明 |
|---|---|---|
| 0x1 | DES-CBC-CRC | 既定では、Windows 7 および Windows Server 2008 R2 以降では無効になっています。 |
| 0x3 | DES-CBC-MD5 | 既定では、Windows 7 および Windows Server 2008 R2 以降では無効になっています。 |
| 0x11 | AES128-CTS-HMAC-SHA1-96 | Windows Server 2008 および Windows Vista 以降でサポートされます。 |
| 0x12 | AES256-CTS-HMAC-SHA1-96 | Windows Server 2008 および Windows Vista 以降でサポートされます。 |
| 0x17 | RC4-HMAC | Windows Server 2008 および Windows Vista より前のオペレーティング システムの既定のスイート。 |
| 0x18 | RC4-HMAC-EXP | Windows Server 2008 および Windows Vista より前のオペレーティング システムの既定のスイート。 |
| 0xFFFFFFFFまたは0xffffffff | - | この種類は、監査エラー イベントに表示されます。 |
- 事前認証の種類 [Type = UnicodeString]: TGT 要求で使用された 認証前 の種類のコード番号。
表 5. Kerberos の事前認証の種類
| 型 | 型名 | 説明 |
|---|---|---|
| 0 | - | 事前認証なしでログオンします。 |
| 2 | PA-ENC-TIMESTAMP | これは、標準パスワード認証の通常の種類です。 |
| 11 | PA-ETYPE-INFO | ETYPE-INFO 事前認証の種類は、追加の事前認証の要件を示す KRB-ERROR で KDC によって送信されます。 通常は、PA-ENC-TIMESTAMP の事前認証値を送信する目的で、暗号化されたタイムスタンプの暗号化に使用するキーをクライアントに通知するために使用されます。 Microsoft Active Directory 環境でこの事前認証の種類が表示されることはありません。 |
| 15 | PA-PK-AS-REP_OLD | スマート カードログオン認証に使用されます。 |
| 16 | PA-PK-AS-REQ | スマート カード認証シナリオで KDC に送信された要求。 |
| 17 | PA-PK-AS-REP | この種類はスマート カード認証にも使用する必要がありますが、特定の Active Directory 環境では表示されません。 |
| 19 | PA-ETYPE-INFO2 | ETYPE-INFO2 事前認証の種類は、追加の事前認証の要件を示す KRB-ERROR で KDC によって送信されます。 通常は、PA-ENC-TIMESTAMP の事前認証値を送信する目的で、暗号化されたタイムスタンプの暗号化に使用するキーをクライアントに通知するために使用されます。 Microsoft Active Directory 環境でこの事前認証の種類が表示されることはありません。 |
| 20 | PA-SVR-REFERRAL-INFO | KDC 紹介チケットで使用されます。 |
| 138 | PA-ENCRYPTED-CHALLENGE | Kerberos Armoring (FAST) を使用したログオン。 Windows Server 2012 ドメイン コントローラーとWindows 8 クライアントからサポートされます。 |
| - | この種類は、監査エラー イベントに表示されます。 |
証明書情報:
証明書発行者名 [Type = UnicodeString]: スマート カード証明書を発行した証明機関の名前。 証明書の [ 発行済み ] フィールドに入力されます。
証明書シリアル番号 [Type = UnicodeString]: スマート カード証明書のシリアル番号。 証明書の [シリアル番号 ] フィールドに表示されます。
証明書拇印 [Type = UnicodeString]: スマート カード証明書の拇印。 証明書の 拇印 フィールドにあります。
セキュリティ監視の推奨事項
4768(S, F): Kerberos 認証チケット (TGT) が要求されました。
| 必要な監視の種類 | 推奨 |
|---|---|
| 高い価値を持つアカウント: 高い価値を持つドメインまたはローカル アカウントを使用している場合、各アクションを監視する必要があります。 高い価値を持つアカウントには、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。 |
このイベントは、価値の高いアカウントまたはアカウントに対応する "ユーザー ID" で監視します。 |
| 異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 | 異常または悪意のあるアクションを監視する場合は、 "ユーザー ID" (他の情報と共に) を使用して、特定のアカウントが使用されている方法とタイミングを監視します。 |
| 非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 | このイベントは、使用してはならないアカウントに対応する "ユーザー ID" で 監視します。 |
| アカウント許可一覧: 特定のイベントに対応するアクションの実行が許可されているアカウントの特定の許可リストがある場合があります。 | このイベントが "allowlist-only" アクションに対応する場合は、許可リストの外部にあるアカウントの "ユーザー ID" を 確認します。 |
| 外部アカウント: 別のドメインのアカウント、または特定のアクション (ある特定のイベントによって表される) を実行することを許可されていない “外部の” アカウントを監視している可能性があります。 | このイベントで、別のドメインまたは "外部" の場所に対応する "指定された領域名 " を監視します。 |
| アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 | 名前付け規則に準拠していない名前の "ユーザー ID" を 監視します。 |
クライアント アドレスが内部 IP アドレス範囲からではないか、プライベート IP アドレス範囲からではない 4768 イベントをすべて追跡できます。
既知の IP アドレスの一覧からのみアカウント名を使用する必要があることがわかっている場合は、このアカウント名のすべてのクライアント アドレス値を 4768 イベントで追跡します。 クライアント アドレスが許可リストからでない場合は、アラートを生成します。
すべてのクライアント アドレスは、ローカル認証を意味します =
::1。 ドメイン コントローラーにログオンする必要があるアカウントの一覧がわかっている場合は、クライアント アドレス =::1と アカウント名 がドメイン コントローラーへのログオンを許可されていない、考えられるすべての違反を監視する必要があります。既知のポートが送信接続に使用されていたため、クライアント ポート フィールド値 > 0 と < 1024 を持つ 4768 イベントをすべて調べる必要があります。
また、次の表に示すフィールドを監視して、一覧表示されている問題を検出することも検討してください。
| フィールド | 検出する問題 |
|---|---|
| 証明書発行者名 | 証明機関名は PKI からのものではありません。 |
| 証明書発行者名 | 証明機関名は、スマート カード認証証明書を発行する権限がありません。 |
| 事前認証の種類 | 値は 0 です。これは、事前認証が使用されなかったことを意味します。 セキュリティ リスクである "Kerberos 事前認証を必要としない" で構成されたアカウントを除き、すべてのアカウントで事前認証を使用する必要があります。 詳細については、表 5 を参照してください 。Kerberos の事前認証の種類。 |
| 事前認証の種類 | アカウントで認証にスマート カードを使用する必要がある場合、値は 15 ではありません 。 詳細については、表 5 を参照してください 。Kerberos の事前認証の種類。 |
| 事前認証の種類 | 標準パスワード認証のみが組織内で使用されている場合、値は 2 ではありません 。 詳細については、表 5 を参照してください 。Kerberos の事前認証の種類。 |
| 事前認証の種類 | 組織内のすべての Kerberos 通信に対して Kerberos Armoring が有効になっている場合、値は 138 ではありません 。 詳細については、表 5 を参照してください 。Kerberos の事前認証の種類。 |
| チケット暗号化の種類 | 値は 0x1 または 0x3です。これは、DES アルゴリズムが使用されたことを意味します。 セキュリティと既知の脆弱性が低いため、DES を使用しないでください。 既定では、Windows 7 および Windows Server 2008 R2 以降では無効になっています。 詳細については、表 4 を参照してください 。Kerberos 暗号化の種類。 |
| チケット暗号化の種類 | Windows Vista および Windows Server 2008 以降では、 0x11と0x12以外の値を監視します。 これらは、これらのオペレーティング システムから始まる予期される値であり、AES ファミリ アルゴリズムを表します。 詳細については、表 4 を参照してください 。Kerberos 暗号化の種類。 |
| 結果コード | 0x6 (ユーザー名が存在しません)、たとえば、過去 N 分間の N 個のイベントが表示される場合。 これは、特に非常に重要なアカウントの場合、アカウント列挙攻撃のインジケーターになる可能性があります。 |
| 結果コード | 0x7 (サーバーが Kerberos データベースに見つかりません)。 このエラーは、ドメイン コントローラーが Active Directory でサーバーの名前を見つけることができない場合に発生する可能性があります。 |
| 結果コード | 0x8 (KDC データベース内の複数のプリンシパル エントリ)。 これにより、重複する SPN をより迅速に見つけることができます。 |
| 結果コード | 0x9 (クライアントまたはサーバーに null キー (マスター キー) があります)。 このエラーは、Kerberos 認証の問題をより迅速に特定するのに役立ちます。 |
| 結果コード | 0xA (チケット (TGT) は、投稿の対象になりません)。 Microsoft システムでは、先日のチケットを要求しないでください。 これらのイベントは、異常アクティビティを識別するのに役立ちます。 |
| 結果コード | 0xC (要求された開始時刻は終了時刻より後です)、たとえば、過去 N 分の N 個のイベントが表示される場合。 これは、特に非常に重要なアカウントの場合、アカウント侵害の試みの指標になる可能性があります。 |
| 結果コード | 0xE (KDC では暗号化の種類はサポートされていません)。 一般に、このエラーは、KDC またはクライアントが復号化できないパケットを受信したときに発生します。 これは標準の Active Directory 環境では発生しないため、これらのイベントを監視します。 |
| 結果コード | 0xF (KDC ではチェックサムの種類はサポートされません)。 これは標準の Active Directory 環境では発生しないため、これらのイベントを監視します。 |
| 結果コード | 0x12 (クライアントの資格情報が取り消されました)、たとえば、過去 N 分間の N 個のイベントが表示される場合。 これは、特に非常に重要なアカウントの場合、異常アクティビティまたはブルートフォース攻撃のインジケーターになる可能性があります。 |
| 結果コード | 0x1F (復号化されたフィールドの整合性チェックに失敗しました)。 認証子は、セッション キー以外の何かで暗号化されました。 その結果、KDC は TGT の暗号化を解除できません。 メッセージの変更は、攻撃の結果であるか、ネットワーク ノイズが原因である可能性があります。 |
| 結果コード | 0x22 (要求は再生です)。 このエラーは、特定の認証子が 2 回表示されたことを示します。KDC は、このセッション チケットが既に受信したチケットと重複していることを検出しました。 攻撃の試みの兆候である可能性があります。 |
| 結果コード | 0x29 (メッセージ ストリームが変更され、チェックサムが一致しませんでした)。 認証データは、目的のサーバーに対して間違ったキーで暗号化されました。 認証データは、ハードウェアまたはソフトウェアのエラー、または攻撃者によって転送中に変更されました。 これは標準の Active Directory 環境では発生しないため、これらのイベントを監視します。 |
| 結果コード | 0x3C (汎用エラー)。 このエラーは、Kerberos 認証に関する問題をより迅速に特定するのに役立ちます。 |
| 結果コード | 0x3E (クライアント信頼が失敗したか、実装されていません)。 このエラーは、失効した証明書を使用したログオン試行と、スマート カード証明書を発行したルート証明機関 (チェーン経由) がドメイン コントローラーによって信頼されていない状況を特定するのに役立ちます。 |
| 結果コード | 0x3F、 0x40、 0x41 エラー。 これらのエラーは、Kerberos 認証に関するスマート カード関連の問題をより迅速に特定するのに役立ちます。 |
フィードバック
フィードバックの送信と表示