4769(S, F): запрос на обслуживание Kerberos.
Подкатегории: Аудит операций с билетами службы Kerberos
Описание события:
Это событие создает каждый раз, когда центр распространения ключей получает запрос на запрос на билет службы предоставления билетов Kerberos (TGS).
Это событие создается только на контроллерах домена.
Если ошибка TGS завершается сбоем, вы увидите событие сбоя с полем "Код сбоя ", не равным "0x0".
Как правило, вы увидите много событий сбоя с кодом сбоя "0x20", что просто означает, что срок действия билета TGS истек. Это информационные сообщения, которые практически не имеют значения для безопасности.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-08-07T18:13:46.043256100Z" />
<EventRecordID>166746</EventRecordID>
<Correlation />
<Execution ProcessID="520" ThreadID="1496" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">dadmin@CONTOSO.LOCAL</Data>
<Data Name="TargetDomainName">CONTOSO.LOCAL</Data>
<Data Name="ServiceName">WIN2008R2$</Data>
<Data Name="ServiceSid">S-1-5-21-3457937927-2839227994-823803824-2102</Data>
<Data Name="TicketOptions">0x40810000</Data>
<Data Name="TicketEncryptionType">0x12</Data>
<Data Name="IpAddress">::ffff:10.0.0.12</Data>
<Data Name="IpPort">49272</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{F85C455E-C66E-205C-6B39-F6C60A7FE453}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>
Обязательные роли сервера: Контроллер домена Active Directory.
Минимальная версия ОС: Windows Server 2008.
Версии события: 0.
Описания полей:
Сведения об учетной записи:
Имя учетной записи [Type = UnicodeString]: имя пользователя учетной записи, запросив билет, в синтаксисе имени участника-пользователя (UPN). Имя учетной записи компьютера заканчивается символом $ в части имени пользователя. Обычно это поле имеет следующий формат значений: user_account_name@FULL_DOMAIN_NAME.
Пример учетной записи пользователя: dadmin@CONTOSO.LOCAL
Пример учетной записи компьютера: WIN81$@CONTOSO. МЕСТНЫХ
Примечание Хотя это поле имеет формат имени участника-пользователя, оно не является значением атрибута UserPrincipalName учетной записи пользователя. Это "нормализованное" имя или неявное имя участника-пользователя. Он создается на основе имени пользователя SamAccountName и доменного имени Active Directory.
Этот параметр в этом событии является необязательным и в некоторых случаях может быть пустым.
Домен учетной записи [Type = UnicodeString]: имя области Kerberos, к которой принадлежит имя учетной записи . Он может выглядеть в различных форматах, включая следующие:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Этот параметр в этом событии является необязательным и в некоторых случаях может быть пустым.
GUID входа [Type = GUID]: GUID, который может помочь сопоставить это событие (на контроллере домена) с другими событиями (на целевом компьютере, для которого была выдана служба TGS), которые могут содержать тот же GUID входа. Эти события: "4624: учетная запись успешно вошел в систему", "4648(S): попытка входа с использованием явных учетных данных" и "4964(S): специальные группы назначены новому входу".
Этот параметр может не быть записан в событии и в этом случае отображается как "{00000000-0000-0000-0000-000000000000}".
Примечание GUID — это аббревиатура от "Глобальный уникальный идентификатор". Это 128-разрядное целое число, используемое для идентификации ресурсов, действий или экземпляров.
Сведения о службе:
Имя службы [Type = UnicodeString]: имя учетной записи или компьютера, для которого был запрошен билет TGS.
- Этот параметр в этом событии является необязательным и в некоторых случаях может быть пустым.
Идентификатор службы [Type = SID]: идентификатор безопасности учетной записи или объекта компьютера, для которого был запрошен билет TGS. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности не удается разрешить, в событии будут отображаться исходные данные.
- NULL SID — это значение отображается в разделе События сбоя.
Примечание. . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.
Сведения о сети:
Адрес клиента [Type = UnicodeString]: IP-адрес компьютера, с которого был получен запрос TGS. Форматы различаются и включают в себя следующее:
IPv6 или IPv4-адрес .
::ffff:IPv4_address.
::1 — localhost.
Порт клиента [Type = UnicodeString]: номер исходного порта сетевого подключения клиента (подключение запроса TGS).
- 0 для локальных запросов (localhost).
Дополнительные сведения:
Параметры билета: [Type = HexInt32]: это набор различных флагов билета в шестнадцатеричном формате.
Пример.
Параметры билета: 0x40810010
Двоичное представление: 01000000100000010000000000010000
Используя 0-битовую нумерацию MSB , у нас есть биты 1, 8, 15 и 27: переадресация, возобновляемые, канонические, возобновляемые ок.
Примечание В приведенной ниже таблице "MSB 0" используется битовая нумеровка, так как в документах RFC используется этот стиль. В стиле "MSB 0" битовая нумеровка начинается слева.
Наиболее распространенные значения:
0x40810010 — переадресация, возобновление, канонизация, возобновляемые возможности
0x40810000 — переадресация, возобновление, канонизация
0x60810010 — переадресация, перенаправление, возобновление, канонизация, возобновляемые возможности
| Разрядной | Имя флага | Описание |
|---|---|---|
| 0 | Защищены | - |
| 1 | Переадресация | (Только TGT). Сообщает службе предоставления билетов, что она может выдать новое TGT (на основе представленного TGT) с другим сетевым адресом в зависимости от представленного TGT. |
| 2 | Пересылаются | Указывает, что TGT был переадресован или что билет был выдан из переадресованного TGT. |
| 3 | Прокси-сервер | (Только TGT). Сообщает службе предоставления билетов, что она может выдавать билеты с сетевым адресом, который отличается от адреса в TGT. |
| 4 | Прокси-сервер | Указывает, что сетевой адрес в билете отличается от адреса в TGT, используемого для получения билета. |
| 5 | Разрешить постдать | Добавленные билеты не должны поддерживаться в KILE (расширение протокола Microsoft Kerberos). |
| 6 | Postdated | Добавленные билеты не должны поддерживаться в KILE (расширение протокола Microsoft Kerberos). |
| 7 | Недопустимо | Этот флаг указывает, что билет недопустим, и перед использованием он должен быть проверен KDC. Серверы приложений должны отклонять билеты, для которых установлен этот флаг. |
| 8 | Возобновляемых источников | Используется в сочетании с полями "Время окончания" и "Продлить до конца", чтобы периодически продлевать билеты с длительным сроком жизни в KDC. |
| 9 | Первоначального | Указывает, что билет был выдан с помощью обмена службой проверки подлинности (AS), а не выдан на основе TGT. |
| 10 | Предварительная проверка подлинности | Указывает, что клиент прошел проверку подлинности центра обработки данных до выдачи билета. Этот флаг обычно указывает на наличие средства проверки подлинности в билете. Он также может пометить наличие учетных данных, полученных при входе со смарт-карты. |
| 11 | Opt-hardware-auth | Изначально этот флаг должен был указывать на то, что во время предварительной проверки подлинности использовалась поддерживаемая оборудованием проверка подлинности. Этот флаг больше не рекомендуется использовать в протоколе Kerberos версии 5. KDCs не должны выдавать билет с этим набором флагов. KDCs НЕ ДОЛЖНЫ сохранять этот флаг, если он задан другим KDC. |
| 12 | Транзитная проверка политики | KILE НЕ ДОЛЖЕН проверять наличие передаваемых доменов на серверах или KDC. Серверы приложений ДОЛЖНЫ игнорировать флаг TRANSITED-POLICY-CHECKED. |
| 13 | Ok-as-delegate | KDC должен задать флаг OK-AS-DELEGATE, если учетная запись службы является доверенной для делегирования. |
| 14 | Анонимный запрос | KILE не использует этот флаг. |
| 15 | Канонизация имени | Чтобы запросить рефералы, клиент Kerberos должен явно запросить параметр "канонизировать" KDC для AS-REQ или TGS-REQ. |
| 16-25 | Неиспользуемые | - |
| 26 | Отключить транзитную проверку | По умолчанию KDC проверяет транзитное поле TGT в соответствии с политикой локальной области, прежде чем выдавать производные билеты на основе TGT. Если этот флаг установлен в запросе, проверка транзитного поля отключена. Билеты, выданные без выполнения этой проверки, будут отмечены значением сброса (0) флага TRANSITED-POLICY-CHECKED, указывая серверу приложений, что транзитное поле должно быть проверено локально. KDCs поощряются, но не обязаны соблюдать параметр DISABLE-TRANSITED-CHECK. Не следует использовать, так как флаг транзитной политики не поддерживается KILE. |
| 27 | Возобновляемые источники | Параметр RENEWABLE-OK указывает, что возобновляемый билет будет приемлемым, если билет с запрошенным сроком жизни не может быть предоставлен иным образом. В этом случае возобновляемый билет может быть выдан с продлением до указанного времени окончания. Значение поля renew-till по-прежнему может быть ограничено локальными ограничениями или ограничениями, выбранными отдельным субъектом или сервером. |
| 28 | Enc-tkt-in-skey | Нет сведений. |
| 29 | Неиспользуемые | - |
| 30 | Продлить | Параметр RENEW указывает, что настоящий запрос на продление. Предоставленный билет шифруется в секретном ключе для сервера, на котором он действителен. Этот параметр будет учитываться только в том случае, если для билета, который будет продлен, установлен флаг RENEWABLE и если время в поле возобновления до не прошло. Запрос для продления передается в поле padata как часть заголовка проверки подлинности. |
| 31 | Проверка | Этот параметр используется только службой предоставления билетов. Параметр VALIDATE указывает, что запрос предназначен для проверки размещенного билета. Не следует использовать, так как опубликованные билеты не поддерживаются KILE. |
| ## Таблица 4. Типы шифрования Kerberos |
- Тип шифрования билетов: [Type = HexInt32]: криптографический набор, который использовался для выданных TGS.
| Тип | Имя типа | Описание |
|---|---|---|
| 0x1 | DES-CBC-CRC | Отключено по умолчанию, начиная с Windows 7 и Windows Server 2008 R2. |
| 0x3 | DES-CBC-MD5 | Отключено по умолчанию, начиная с Windows 7 и Windows Server 2008 R2. |
| 0x11 | AES128-CTS-HMAC-SHA1-96 | Поддерживается начиная с Windows Server 2008 и Windows Vista. |
| 0x12 | AES256-CTS-HMAC-SHA1-96 | Поддерживается начиная с Windows Server 2008 и Windows Vista. |
| 0x17 | RC4-HMAC | Набор по умолчанию для операционных систем до Windows Server 2008 и Windows Vista. |
| 0x18 | RC4-HMAC-EXP | Набор по умолчанию для операционных систем до Windows Server 2008 и Windows Vista. |
| 0xFFFFFFFF или 0xffffffff | - | Этот тип отображается в разделе События сбоя аудита. |
- Код сбоя [Type = HexInt32]: шестнадцатеричный код результата операции проблемы TGS. В таблице ниже приведен список наиболее распространенных кодов ошибок для этого события:
| Код | Имя кода | Описание | Возможные причины |
|---|---|---|---|
| 0x0 | KDC_ERR_NONE | Нет ошибки | Ошибки не найдены. |
| 0x1 | KDC_ERR_NAME_EXP | Истек срок действия записи клиента в базе данных KDC | Нет сведений. |
| 0x2 | KDC_ERR_SERVICE_EXP | Истек срок действия записи сервера в базе данных KDC | Нет сведений. |
| 0x3 | KDC_ERR_BAD_PVNO | Запрошенный номер версии Kerberos не поддерживается | Нет сведений. |
| 0x4 | KDC_ERR_C_OLD_MAST_KVNO | Ключ клиента, зашифрованный в старом главном ключе | Нет сведений. |
| 0x5 | KDC_ERR_S_OLD_MAST_KVNO | Ключ сервера, зашифрованный в старом главном ключе | Нет сведений. |
| 0x6 | KDC_ERR_C_PRINCIPAL_UNKNOWN | Клиент не найден в базе данных Kerberos | Имя пользователя не существует. |
| 0x7 | KDC_ERR_S_PRINCIPAL_UNKNOWN | Сервер не найден в базе данных Kerberos | Эта ошибка может возникнуть, если контроллер домена не может найти имя сервера в Active Directory. Эта ошибка аналогична KDC_ERR_C_PRINCIPAL_UNKNOWN, за исключением того, что она возникает, когда не удается найти имя сервера. |
| 0x8 | KDC_ERR_PRINCIPAL_NOT_UNIQUE | Несколько основных записей в базе данных KDC | Эта ошибка возникает при наличии повторяющихся имен субъектов. Уникальные имена субъектов имеют решающее значение для обеспечения взаимной проверки подлинности. Таким образом, повторяющиеся имена субъектов строго запрещены, даже в нескольких областях. Без уникальных имен субъектов клиент не может убедиться, что сервер, с которым он взаимодействует, является правильным. |
| 0x9 | KDC_ERR_NULL_KEY | Клиент или сервер имеет ключ NULL (главный ключ) | Главный ключ для клиента или сервера не найден. Обычно это означает, что администратор должен сбросить пароль учетной записи. |
| 0xA | KDC_ERR_CANNOT_POSTDATE | Билет (TGT) не подходит для публикации | Эта ошибка может возникнуть, если клиент запрашивает отправку билета Kerberos. Postdating — это действие запроса на то, чтобы время начала билета было задано в будущем. Это также может произойти, если между клиентом и KDC существует разница во времени. |
| 0xB | KDC_ERR_NEVER_VALID | Запрошенное время начала позже времени окончания | Между KDC и клиентом существует разница во времени. |
| 0xC | KDC_ERR_POLICY | Запрошенное время начала позже времени окончания | Эта ошибка обычно возникает из-за ограничений входа в учетную запись пользователя. Например, ограничение рабочей станции, требование проверки подлинности смарт-карты или ограничение времени входа. |
| 0xD | KDC_ERR_BADOPTION | KDC не может разместить запрошенный параметр | Грядущем истечении срока действия TGT. Имя субъекта-службы, которому клиент пытается делегировать учетные данные, отсутствует в списке Разрешено делегировать. |
| 0xE | KDC_ERR_ETYPE_NOTSUPP | KDC не поддерживает тип шифрования | Как правило, эта ошибка возникает, когда KDC или клиент получает пакет, который не может расшифровать. |
| 0xF | KDC_ERR_SUMTYPE_NOSUPP | KDC не поддерживает тип контрольной суммы | KDC, сервер или клиент получает пакет, для которого у него нет ключа соответствующего типа шифрования. В результате компьютер не может расшифровать билет. |
| 0x10 | KDC_ERR_PADATA_TYPE_NOSUPP | KDC не поддерживает тип PADATA (данные предварительной проверки подлинности) | Попытка входа с помощью смарт-карты не удается найти соответствующий сертификат. Это может произойти из-за того, что запрашивается неправильный центр сертификации (ЦС) или не удается связаться с соответствующим ЦС. Это также может произойти, если на контроллере домена не установлен сертификат для смарт-карт (шаблоны проверки подлинности контроллера домена или контроллера домена). Этот код ошибки не может возникнуть в событии "4768. Запрошен билет проверки подлинности Kerberos (TGT). Это происходит в "4771. Сбой предварительной проверки подлинности Kerberos". |
| 0x11 | KDC_ERR_TRTYPE_NO_SUPP | KDC не поддерживает передаваемый тип | Нет сведений. |
| 0x12 | KDC_ERR_CLIENT_REVOKED | Учетные данные клиента отозваны | Это может быть вызвано явным отключением или другими ограничениями, введенными в учетной записи. Например, учетная запись отключена, истек срок действия или заблокирована. |
| 0x13 | KDC_ERR_SERVICE_REVOKED | Учетные данные для сервера отозваны | Нет сведений. |
| 0x14 | KDC_ERR_TGT_REVOKED | TGT отозван | Так как удаленный KDC может изменить свой ключ PKCROSS, пока билеты PKCROSS все еще активны, он ДОЛЖЕН кэшировать старые ключи PKCROSS до истечения срока действия последнего выданного билета PKCROSS. В противном случае удаленный KDC ответит клиенту сообщением KRB-ERROR типа KDC_ERR_TGT_REVOKED. Дополнительные сведения см. в статье RFC1510 . |
| 0x15 | KDC_ERR_CLIENT_NOTYET | Клиент еще не действителен — повторите попытку позже | Нет сведений. |
| 0x16 | KDC_ERR_SERVICE_NOTYET | Сервер еще не действителен — повторите попытку позже | Нет сведений. |
| 0x17 | KDC_ERR_KEY_EXPIRED | Срок действия пароля истек — измените пароль для сброса | Срок действия пароля пользователя истек. Этот код ошибки не может возникнуть в событии "4768. Запрошен билет проверки подлинности Kerberos (TGT). Это происходит в "4771. Сбой предварительной проверки подлинности Kerberos". |
| 0x18 | KDC_ERR_PREAUTH_FAILED | Недопустимые сведения о предварительной проверке подлинности | Указан неправильный пароль. Этот код ошибки не может возникнуть в событии "4768. Запрошен билет проверки подлинности Kerberos (TGT). Это происходит в "4771. Сбой предварительной проверки подлинности Kerberos". |
| 0x19 | KDC_ERR_PREAUTH_REQUIRED | Требуется дополнительная предварительная проверка подлинности | Эта ошибка часто возникает в сценариях взаимодействия UNIX. MIT-Kerberos клиенты не запрашивают предварительную проверку подлинности при отправке сообщения KRB_AS_REQ. Если требуется предварительная проверка подлинности (по умолчанию), системы Windows отправят эту ошибку. Большинство клиентов MIT-Kerberos ответят на эту ошибку путем предварительной проверки подлинности. В этом случае эту ошибку можно игнорировать, но некоторые клиенты могут не отвечать таким образом. |
| 0x1A | KDC_ERR_SERVER_NOMATCH | KDC не знает о запрашиваемом сервере | Нет сведений. |
| 0x1B | KDC_ERR_MUST_USE_USER2USER | Субъект-сервер, допустимый только для user2user | Эта ошибка возникает из-за отсутствия имени субъекта-службы. |
| 0x1F | KRB_AP_ERR_BAD_INTEGRITY | Сбой проверки целостности расшифрованного поля | Средство проверки подлинности было зашифровано с помощью другого ключа сеанса. В результате клиент не может расшифровать полученное сообщение. Изменение сообщения может быть результатом атаки или сетевым шумом. |
| 0x20 | KRB_AP_ERR_TKT_EXPIRED | Срок действия билета истек | Чем меньше значение параметра политики Kerberos "Максимальное время существования билета пользователя", тем больше вероятность возникновения этой ошибки. Так как продление билета выполняется автоматически, вам не нужно ничего делать, если вы получите это сообщение. |
| 0x21 | KRB_AP_ERR_TKT_NYV | Билет еще не действителен | Билет, представленный серверу, еще не действителен (в связи с временем сервера). Наиболее вероятная причина заключается в том, что часы в KDC и клиенте не синхронизированы. При попытке проверки подлинности Kerberos между несколькими областями следует проверить синхронизацию времени между KDC в целевой области и KDC в клиентской области. |
| 0x22 | KRB_AP_ERR_REPEAT | Запрос является воспроизведением | Эта ошибка указывает на то, что определенный аутентификатор появился дважды: KDC обнаружил, что этот билет сеанса дублирует уже полученный. |
| 0x23 | KRB_AP_ERR_NOT_US | Билет не для нас | Сервер получил билет, предназначенный для другой области. |
| 0x24 | KRB_AP_ERR_BADMATCH | Билет и средство проверки подлинности не совпадают | KRB_TGS_REQ отправляется в неправильный KDC. При переходе протокола существует несоответствие учетных записей. |
| 0x25 | KRB_AP_ERR_SKEW | Перекос часов слишком велик | Эта ошибка регистрируется, если клиентский компьютер отправляет метку времени, значение которой отличается от значения метки времени сервера на большее количество минут, указанное в параметре "Максимальная допустимость синхронизации часов компьютера" в политике Kerberos. |
| 0x26 | KRB_AP_ERR_BADADDR | Сетевой адрес в заголовке сетевого уровня не совпадает с адресом внутри билета | Билеты сеанса могут содержать адреса, с которых они действительны. Эта ошибка может возникнуть, если адрес компьютера, отправляющего билет, отличается от допустимого адреса в билете. Возможной причиной этого может быть изменение IP-адреса. Другой возможной причиной является передача билета через прокси-сервер или NAT. Клиент не знает о схеме адресов, используемой прокси-сервером, поэтому, если программа не заставила клиента запросить билет прокси-сервера с исходным адресом прокси-сервера, билет может быть недопустимым. |
| 0x27 | KRB_AP_ERR_BADVERSION | Номера версий протокола не совпадают (PVNO) | Когда приложение получает сообщение KRB_SAFE, оно проверяет его. Если возникает какая-либо ошибка, код ошибки отображается для использования приложением. Сначала проверяется, что поля версии протокола и типа соответствуют текущей версии и KRB_SAFE соответственно. Несоответствие создает KRB_AP_ERR_BADVERSION. Дополнительные сведения см. в статье RFC4120 . |
| 0x28 | KRB_AP_ERR_MSG_TYPE | Тип сообщения не поддерживается | Это сообщение создается, когда целевой сервер обнаруживает неправильный формат сообщения. Это относится к сообщениям KRB_AP_REQ, KRB_SAFE, KRB_PRIV и KRB_CRED. Эта ошибка также возникает при попытке использовать протокол UDP с проверкой подлинности типа "пользователь—пользователь". |
| 0x29 | KRB_AP_ERR_MODIFIED | Изменен поток сообщений и контрольная сумма не совпадает | Данные проверки подлинности были зашифрованы неправильным ключом для предполагаемого сервера. Данные проверки подлинности были изменены при передаче из-за ошибки оборудования или программного обеспечения или злоумышленника. Клиент отправил данные проверки подлинности на неправильный сервер, так как неверные данные DNS заставили клиента отправить запрос на неправильный сервер. Клиент отправил данные проверки подлинности на неправильный сервер, так как dns-данные на клиенте устарели. |
| 0x2A | KRB_AP_ERR_BADORDER | Сообщение не по порядку (возможное изменение) | Это событие создает сообщения KRB_SAFE и KRB_PRIV, если указан неправильный порядковый номер или если порядковый номер ожидается, но отсутствует. Дополнительные сведения см. в статье RFC4120 . |
| 0x2C | KRB_AP_ERR_BADKEYVER | Указанная версия ключа недоступна | Эта ошибка может возникнуть на стороне сервера при получении недопустимого сообщения KRB_AP_REQ. Если версия ключа, указанная билетом в KRB_AP_REQ, не является версией, которую сервер может использовать (например, указывает старый ключ, а сервер больше не имеет копию старого ключа), возвращается ошибка KRB_AP_ERR_BADKEYVER. |
| 0x2D | KRB_AP_ERR_NOKEY | Ключ службы недоступен | Эта ошибка может возникнуть на стороне сервера при получении недопустимого сообщения KRB_AP_REQ. Так как сервер может быть зарегистрирован в нескольких областях с разными ключами в каждой, поле области в незашифрованной части билета в KRB_AP_REQ используется для указания секретного ключа, который сервер должен использовать для расшифровки этого билета. Если у сервера нет нужного ключа для расшифровки билета, возвращается код ошибки KRB_AP_ERR_NOKEY. |
| 0x2E | KRB_AP_ERR_MUT_FAIL | Сбой взаимной проверки подлинности | Нет сведений. |
| 0x2F | KRB_AP_ERR_BADDIRECTION | Неправильное направление сообщения | Нет сведений. |
| 0x30 | KRB_AP_ERR_METHOD | Требуется альтернативный метод проверки подлинности | В соответствии с RFC4120 это сообщение об ошибке устарело. |
| 0x31 | KRB_AP_ERR_BADSEQ | Неправильный порядковый номер в сообщении | Нет сведений. |
| 0x32 | KRB_AP_ERR_INAPP_CKSUM | Недопустимый тип контрольной суммы в сообщении (контрольная сумма может не поддерживаться) | Когда KDC получает сообщение KRB_TGS_REQ расшифровывает его, и после того, как указанная пользователем контрольная сумма в Authenticator должна быть проверена на соответствие содержимому запроса, и сообщение ДОЛЖНО быть отклонено, если контрольные суммы не совпадают (с кодом ошибки KRB_AP_ERR_MODIFIED) или если контрольная сумма не является доказательством столкновения (с кодом ошибки KRB_AP_ERR_INAPP_CKSUM). |
| 0x33 | KRB_AP_PATH_NOT_ACCEPTED | Желаемый путь недостижим | Нет сведений. |
| 0x34 | KRB_ERR_RESPONSE_TOO_BIG | Слишком много данных | Размер билета слишком велик для надежной передачи через UDP. В среде Windows это сообщение является исключительно информационным. Компьютер под управлением операционной системы Windows будет автоматически пытаться использовать TCP в случае сбоя UDP. |
| 0x3C | KRB_ERR_GENERIC | Общая ошибка | Членство в группе перегрузило PAC. Несколько последних изменений паролей не распространяются. Ошибка подсистемы шифрования, вызванная нехваткой памяти. Слишком длинное имя субъекта-службы. В имени субъекта-службы слишком много частей. |
| 0x3D | KRB_ERR_FIELD_TOOLONG | Поле слишком длинное для этой реализации | Каждому запросу (KRB_KDC_REQ) и ответу (KRB_KDC_REP или KRB_ERROR), отправляемой через tcp-поток, предшествует длина запроса в виде 4 октетов в порядке сетевых байтов. Большой бит длины зарезервирован для будущего расширения и в настоящее время должен быть установлен в ноль. Если KDC, который не понимает, как интерпретировать кодировку набора с высоким битом длины, получает запрос с битом большого порядка в наборе длины, он ДОЛЖЕН вернуть сообщение KRB-ERROR с ошибкой KRB_ERR_FIELD_TOOLONG и ДОЛЖЕН закрыть поток TCP. |
| 0x3E | KDC_ERR_CLIENT_NOT_TRUSTED | Сбой доверия клиента или не реализован | Обычно это происходит, когда сертификат смарт-карты пользователя отозван или корневой центр сертификации, выдающий сертификат смарт-карты (в цепочке), не является доверенным контроллером домена. |
| 0x3F | KDC_ERR_KDC_NOT_TRUSTED | Сбой доверия к серверу KDC или не удалось проверить | Поле trustedCertifiers содержит список центров сертификации, которым доверяет клиент, в том случае, если у клиента нет сертификата открытого ключа KDC. Если центр сертификации не имеет сертификата, подписанного доверенными сертификатами, он возвращает ошибку типа KDC_ERR_KDC_NOT_TRUSTED. Дополнительные сведения см. в статье RFC1510 . |
| 0x40 | KDC_ERR_INVALID_SIG | Сигнатура недействительна | Эта ошибка связана с PKINIT. Если отношение доверия PKI существует, KDC проверяет подпись клиента в AuthPack (подпись запроса TGT). В случае сбоя KDC возвращает сообщение об ошибке типа KDC_ERR_INVALID_SIG. |
| 0x41 | KDC_ERR_KEY_TOO_WEAK | Требуется более высокий уровень шифрования | Если поле clientPublicValue заполнено, указывающее, что клиент хочет использовать Diffie-Hellman ключевое соглашение, центр управления ключом проверяет, соответствуют ли параметры его политике. Если это не так (например, основной размер недостаточно для ожидаемого типа шифрования), центр обработки данных отправляет обратно сообщение об ошибке типа KDC_ERR_KEY_TOO_WEAK. |
| 0x42 | KRB_AP_ERR_USER_TO_USER_REQUIRED | Требуется авторизация между пользователями | В случае, если клиентское приложение не знает, что служба требует проверки подлинности между пользователями, и запрашивает и получает обычный KRB_AP_REP, клиент отправляет запрос KRB_AP_REP, а сервер ответит маркером KRB_ERROR, как описано в RFC1964, с типом msg KRB_AP_ERR_USER_TO_USER_REQUIRED. |
| 0x43 | KRB_AP_ERR_NO_TGT | TGT не представлено или доступно | При проверке подлинности между пользователями, если у службы нет билета для предоставления билета, она должна вернуть ошибку KRB_AP_ERR_NO_TGT. |
| 0x44 | KDC_ERR_WRONG_REALM | Неправильный домен или субъект | Хотя эта ошибка возникает редко, она возникает, когда клиент представляет TGT между областями, отличной от указанной в TGT. Как правило, это происходит из-за неправильной настройки DNS. |
- Транзитные службы [Type = UnicodeString]: это поле содержит список имен субъектов-служб, которые были запрошены при использовании делегирования Kerberos.
Примечание Имя субъекта-службы — это имя, по которому клиент однозначно идентифицирует экземпляр службы. При установке нескольких экземпляров службы на компьютерах в лесу каждый экземпляр должен иметь собственное имя субъекта-службы. При наличии нескольких имен, которые клиенты могут использовать для проверки подлинности, у данного экземпляра службы может быть несколько имен. Например, имя субъекта-службы всегда включает имя главного компьютера, на котором запущен экземпляр службы, поэтому экземпляр службы может зарегистрировать имя субъекта-службы для каждого имени или псевдонима своего узла.
Рекомендации по контролю безопасности
Для 4769(S, F): запрошен билет службы Kerberos.
| Тип требуемого мониторинга | Рекомендации |
|---|---|
| Учетные записи большой ценности: у вас может быть домен или локальные учетные записи большой ценности, для которых необходимо отслеживать каждое действие. Примеры учетных записей большой ценности: учетные записи администраторов баз данных, встроенная учетная запись локального администратора, учетные записи администраторов домена, учетные записи служб, учетные записи контроллеров домена и т. д. |
Отслеживайте это событие с помощью параметра "Сведения об учетной записи\Имя учетной записи" , соответствующего высокоценной учетной записи или учетным записям. |
| Аномалии и вредоносные действия: у вас могут быть особые требования касательно обнаружения аномалий или отслеживания потенциально вредоносных действий. Например, вам может потребоваться отслеживать использование учетной записи во внерабочее время. | При мониторинге аномалий или вредоносных действий используйте "Сведения об учетной записи\Имя учетной записи" (с другими сведениями), чтобы отслеживать, как и когда используется определенная учетная запись. |
| Неактивные учетные записи: у вас, возможно, есть неактивные, отключенные или гостевые учетные записи, а также другие учетные записи, которые не должны использоваться. | Отслеживайте это событие с помощью параметра "Сведения об учетной записи\Имя учетной записи" , соответствующего учетным записям, которые никогда не следует использовать. |
| Внешние учетные записи. Вы можете отслеживать учетные записи из другого домена или "внешние" учетные записи, которым запрещено выполнять определенные действия (представленные определенными событиями). | Отслеживайте это событие для "Сведения об учетной записи\Домен учетной записи" , соответствующего другому домену или "внешнему" расположению. |
| Ограничение использования компьютеров или устройств: у вас могут быть определенные компьютеры или устройства, на которых определенные люди (учетные записи) обычно не должны выполнять никаких действий. | Отслеживайте целевой компьютер (или другое целевое устройство) на наличие действий, выполняемых "Сведения об учетной записи\Имя учетной записи" , о которых вас беспокоит. |
| Соглашения об именовании учетных записей: в вашей организации могут быть определенные соглашения об именовании учетных записей. | Отслеживайте идентификатор пользователя для имен, которые не соответствуют соглашениям об именовании. |
Если вы знаете, что имя учетной записи никогда не должно запрашивать какие-либо билеты для определенной учетной записи компьютера или учетной записи службы (т. е. никогда не получать доступ) к определенной учетной записи компьютера или учетной записи службы, отслеживайте события 4769 с соответствующими полями Имя учетной записи и Идентификатор службы .
Вы можете отслеживать все события 4769, в которых адрес клиента не относится к вашему внутреннему диапазону IP-адресов или не из частных диапазонов IP-адресов.
Если вы знаете, что имя учетной записи должно иметь возможность запрашивать билеты (следует использовать) только из известного списка разрешенных IP-адресов, отслеживайте все значения клиентского адреса для этого имени учетной записи в событиях 4769 . Если адрес клиента не указан в списке разрешенных IP-адресов, создайте оповещение.
Все адреса =
::1клиента — это локальные запросы TGS. Это означает, что имя учетной записи вошло в контроллер домена перед выполнением запроса TGS. Если у вас есть список разрешенных учетных записей, разрешенных для входа в контроллеры домена, отслеживайте события с помощью адреса =::1клиента и любого имени учетной записи за пределами списка разрешений.Все события 4769 со значениями > поля "Порт клиента" 0 и < 1024 должны быть проверены, так как для исходящего подключения использовался хорошо известный порт.
Отслеживайте тип шифрования билетов 0x1 или 0x3, что означает, что использовался алгоритм DES. DES не следует использовать из-за низкой безопасности и известных уязвимостей. Он отключен по умолчанию, начиная с Windows 7 и Windows Server 2008 R2.
Начиная с Windows Vista и Windows Server 2008, отслеживайте тип шифрования билетов , отличный от 0x11 и 0x12. Это ожидаемые значения, начиная с этих операционных систем, и представляют алгоритмы семейства AES.
Если у вас есть список важных кодов сбоев, отслеживайте эти коды.
Обратная связь
Отправить и просмотреть отзыв по