Lacak Proses / Program Yang Menyebabkan Kesalahan pra-otentikasi Kerberos (Kode 0x18)

12

Kami memiliki akun domain yang dikunci melalui 1 dari 2 server. Audit internal hanya memberi tahu kita sebanyak itu (dikunci dari SERVER1, SERVER2).

Akun itu akan terkunci dalam 5 menit, sepertinya 1 permintaan per menit.

Saya awalnya mencoba menjalankan procmon (dari sysinternals) untuk melihat apakah ada PROSES MULAI yang baru saja muncul setelah saya membuka kunci akun. Tidak ada yang mencurigakan muncul. Setelah menjalankan procmon di workstation saya dan naik ke shell UAC (conscent.exe) sepertinya dari stack itu ntdll.dlldan rpct4.dlldipanggil ketika Anda mencoba untuk auth terhadap AD (tidak yakin).

Apakah ada cara untuk mempersempit proses yang menyebabkan permintaan otentikasi ke DC kami? Itu selalu DC yang sama jadi kami tahu itu pasti server di situs itu. Saya bisa mencoba mencari panggilan di wireshark, tapi saya tidak yakin itu akan mempersempit proses yang sebenarnya memicu itu.

Tidak ada layanan, pemetaan drive, atau tugas terjadwal yang menggunakan akun domain itu juga - jadi pasti ada sesuatu yang menyimpan kredibilitas domain. Tidak ada sesi RDP terbuka dengan akun domain itu di server mana pun (kami memeriksa).

Catatan selanjutnya

Ya, "Keberhasilan / Kegagalan" Audit Masuk diaktifkan pada DC yang bersangkutan - tidak ada peristiwa kegagalan dicatat hingga akun tersebut benar-benar dikunci.

Menggali lebih lanjut menunjukkan bahwa LSASS.exemembuat KERBEROSpanggilan ke DC dalam pertanyaan setelah akun dibuka. Itu didahului (umumnya) oleh java yang tampaknya dipanggil oleh vpxd.exeyang merupakan proses vCenter. TETAPI, ketika saya melihat "server2" lainnya di mana penguncian akun dapat (juga) terjadi, saya tidak pernah melihat panggilan ke lsass.exedan hanya proses apache yang muncul. Satu-satunya hubungan keduanya adalah bahwa SERVER2 adalah bagian dari cluster vSphere SERVER1 (server1 menjadi OS vSphere).

Kesalahan pada DC

Jadi, sepertinya semua yang akan saya sampaikan kepada AD adalah bahwa itu adalah kesalahan Kerberos pra-auth. Saya memeriksa dan tidak ada tiket dengan klistdan melakukan flush untuk berjaga-jaga. Masih belum tahu apa yang menyebabkan kesalahan kerberos ini.

Index              : 202500597
EntryType          : FailureAudit
InstanceId         : 4771
Message            : Kerberos pre-authentication failed.

                     Account Information:
                         Security ID:        S-1-5-21-3381590919-2827822839-3002869273-5848
                         Account Name:        USER

                     Service Information:
                         Service Name:        krbtgt/DOMAIN

                     Network Information:
                         Client Address:        ::ffff:x.x.x.x
                         Client Port:        61450

                     Additional Information:
                         Ticket Options:        0x40810010
                         Failure Code:        0x18
                         Pre-Authentication Type:    2

                     Certificate Information:
                         Certificate Issuer Name:
                         Certificate Serial Number:
                         Certificate Thumbprint:

                     Certificate information is only provided if a certificate was used for pre-authentication.

                     Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

                     If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
                      in this event might not be present.
Jaigene Kang
sumber

Jawaban:

5

Peristiwa logon merekam proses mencoba logon. Aktifkan gagal logon audit (Pengaturan Keamanan> Kebijakan Lokal> Kebijakan Audit> Acara Logon Audit) di Kebijakan Keamanan Lokal (secpol.msc) kemudian cari di log peristiwa keamanan untuk suatu peristiwa. Anda juga dapat mengaktifkannya melalui Kebijakan Grup, jika itu lebih disukai.

Akan ada bagian Informasi Proses yang mencatat jalur yang dapat dieksekusi dan ID proses.

Contoh:

Process Information:
    Process ID:         0x2a4
    Process Name:       C:\Windows\System32\services.exe
Mitch
sumber
Sepertinya ini sudah ada di GPO kami. Saya bisa melihat ketika objek diubah / dibuka di log keamanan, tapi saya tidak melihat upaya buruk setelah itu.
Jaigene Kang
@JangKang, kecuali server yang dimaksud adalah DC, mereka tidak akan terpengaruh oleh pengaturan "Log Masuk Gagal" di Kebijakan Pengontrol Domain Default. Acara logon yang gagal akan dicatat oleh server yang mencoba otentikasi dan akan ditetapkan oleh "Kebijakan Domain Default" atau kebijakan komputer lain yang berlaku untuk server itu.
Mitch
Saya benar-benar menemukan jawabannya. Saya harus mengatur beberapa pengaturan di bagian "Advanced" dari pengaturan Audit. Saya memperbarui posting asli saya dengan acara tersebut.
Jaigene Kang
@JangKang, pra-otentikasi hanyalah proses yang digunakan untuk memverifikasi kredensial sebelum mengembalikan token. Seharusnya masih ada audit kegagalan pada server yang mencoba otentikasi yang mencakup id proses.
Mitch
Bisakah Anda menguraikan pengaturan "Advanced" apa yang harus Anda atur?
skinneejoe
2

Saya menemukan pertanyaan lama ini saat meneliti masalah yang berbeda, tetapi bagi siapa pun yang memiliki masalah serupa:

Kode kegagalan 0x18 berarti bahwa akun sudah dinonaktifkan atau dikunci ketika klien berusaha untuk mengotentikasi.

Anda perlu menemukan ID Peristiwa yang sama dengan kode kegagalan 0x24 , yang akan mengidentifikasi upaya login yang gagal yang menyebabkan akun terkunci. (Ini mengasumsikan itu terjadi karena kata sandi di-cache yang buruk di suatu tempat.)

Anda kemudian dapat melihat Alamat Klien pada peristiwa-peristiwa itu untuk melihat sistem mana yang melewati kredensial buruk. Dari sana, Anda harus mencari tahu apakah itu layanan dengan kata sandi lama, drive jaringan yang dipetakan, dll.

Ada berbagai kode kegagalan, jadi Anda harus mencari apa pun selain 0x18 untuk menentukan apa yang menyebabkan penguncian akun jika tidak ada peristiwa dengan kode 0x24. Saya percaya satu-satunya jenis kegagalan yang akan menyebabkan lockout adalah 0x24 (kata sandi buruk), tapi saya bisa saja salah.

Dobel
sumber
Maaf untuk posting Necro dan permintaan maaf karena tidak memasukkan sebagai komentar ... Saya belum mendapatkan 50p saya. :-) Kode kegagalan 0x18 adalah kegagalan Pra-Auth dan tidak menunjukkan akun terkunci. Akun yang terkunci dapat memicu kode 0x18 juga, tetapi saya akan mengharapkan 0x12 sebagai ganti kredensial yang dicabut.
Sjm
1

Saya telah menghabiskan banyak waktu hari ini dan mencari tahu akar masalahnya. Saya salah jalan - dari info yang diambil dengan sniffer jaringan (proses kesalahan kerberos adalah 566 = lsass.exe). Biarkan saya meringkas informasi.

  1. Masuk ke PC bermasalah, jalankan PowerShell dengan hak tinggi

  2. Aktifkan info masuk audit

    auditpol /set /subcategory:"logon" /failure:enable

  3. Periksa sumbernya

    Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl

Jika kamu melihat:

Informasi proses:

ID Proses Penelepon: 0x140

Nama Proses Penelepon: C: \ Windows \ System32 \ services.exe

Ini berarti bahwa Anda memiliki beberapa layanan yang berjalan dari akun bermasalah dengan kata sandi lama

Alex
sumber
0

Ini dari catatan di atas. Sepertinya penggagas pos ini dinyatakan pada komentar terakhirnya. Java memanggil proses vpxd.exe.

Catatan lebih lanjut Ya, "Keberhasilan / Kegagalan" Audit Masuk diaktifkan pada DC yang bersangkutan - tidak ada peristiwa kegagalan dicatat hingga akun tersebut benar-benar dikunci.

Penggalian lebih lanjut menunjukkan bahwa LSASS.exe membuat panggilan KERBEROS ke DC yang dipermasalahkan begitu akun dibuka kuncinya. Itu didahului (umumnya) oleh java yang tampaknya dipanggil oleh vpxd.exe yang merupakan proses vCenter. TETAPI, ketika saya melihat "server2" lainnya di mana penguncian akun dapat (juga) terjadi, saya tidak pernah melihat panggilan ke lsass.exe dan hanya proses apache yang muncul. Satu-satunya hubungan keduanya adalah bahwa SERVER2 adalah bagian dari cluster vSphere SERVER1 (server1 menjadi OS vSphere).

pengguna354506
sumber