Выясните, какой процесс / программа вызывает ошибку предварительной аутентификации Kerberos (код 0x18)

Question

Выясните, какой процесс / программа вызывает ошибку предварительной аутентификации Kerberos (код 0x18)

У нас есть учетная запись домена, которая заблокирована через один из двух серверов. Встроенный аудит только говорит нам об этом (заблокирован от SERVER1, SERVER2).

Учетная запись блокируется в течение 5 минут, кажется, около 1 запроса в минуту.

Первоначально я попытался запустить procmon (из sysinternals), чтобы посмотреть, не появляется ли новый START PROCESS после того, как я разблокирую учетную запись. Ничего подозрительного не возникает. После запуска procmon на моей рабочей станции и перехода в оболочку UAC (conscent.exe) из стека кажется, что ntdll.dll а также rpct4.dll Вам звонят, когда вы пытаетесь авторизоваться против AD (не уверен).

Есть ли какой-то способ сузить, какой процесс вызывает запрос аутентификации для нашего DC? Это всегда один и тот же DC, поэтому мы знаем, что на этом сайте должен быть сервер. Я мог бы попытаться найти вызовы в Wireshark, но я не уверен, что это сузило бы, какой процесс фактически вызывает его.

Ни одна служба, ни сопоставление дисков, ни запланированные задачи не используют эту учетную запись домена, поэтому она должна быть чем-то, что хранит кредиты домена. На любом сервере нет открытых сеансов RDP с этой учетной записью домена (мы проверили).

Дальнейшие заметки

Да, на соответствующем контроллере домена включены проверки входа "Успех / Сбой" - события сбоев не регистрируются, пока учетная запись не будет заблокирована.

Дальнейшее копание показывает, что LSASS.exe делает KERBEROS позвоните в соответствующий ДЦ, как только учетная запись разблокирована. Ему предшествует (как правило) Java, который, кажется, называется vpxd.exe который является процессом vCenter. НО, когда я смотрю на другой "server2", где может (также) может произойти блокировка учетной записи, я никогда не вижу вызова lsass.exe и только процессы apache порождаются. Единственное отношение, которое они имеют, заключается в том, что SERVER2 является частью кластера vSphere SERVER1 (сервер1 является операционной системой vSphere).

Ошибка на DC

Так что, похоже, все, что мне скажет AD, это то, что это ошибка Kerberos перед авторизацией. Я проверил и не было билетов с klist и сделал флеш в любом случае на всякий случай. До сих пор не знаю, что является причиной этой ошибки Kerberos.

Index              : 202500597
EntryType          : FailureAudit
InstanceId         : 4771
Message            : Kerberos pre-authentication failed.

                     Account Information:
                         Security ID:        S-1-5-21-3381590919-2827822839-3002869273-5848
                         Account Name:        USER

                     Service Information:
                         Service Name:        krbtgt/DOMAIN

                     Network Information:
                         Client Address:        ::ffff:x.x.x.x
                         Client Port:        61450

                     Additional Information:
                         Ticket Options:        0x40810010
                         Failure Code:        0x18
                         Pre-Authentication Type:    2

                     Certificate Information:
                         Certificate Issuer Name:
                         Certificate Serial Number:
                         Certificate Thumbprint:

                     Certificate information is only provided if a certificate was used for pre-authentication.

                     Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

                     If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
                      in this event might not be present.

13

windows active-directory windows-server-2008 kerberos

Источник

Jaigene Kang 07 авг '13 в 23:00

5 ответов

Другие вопросы по тегам windows active-directory windows-server-2008 kerberos

Mitch 08 авг '13 в 00:00 2013-08-08 00:00 · Answer 1 · 2013-08-08 00:00

События входа регистрируют процесс, пытающийся войти в систему. Включите неудачный аудит входа в систему (Параметры безопасности> Локальные политики> Политика аудита> Аудит событий входа в систему) в Локальной политике безопасности (secpol.msc), а затем найдите в журнале событий безопасности событие. Вы также можете включить его через групповую политику, если это предпочтительнее.

Будет раздел "Информация о процессе", в котором будет записан как путь к исполняемому файлу, так и идентификатор процесса.

Пример:

Process Information:
    Process ID:         0x2a4
    Process Name:       C:\Windows\System32\services.exe

Alex 07 мар '17 в 18:26 2017-03-07 18:26 · Answer 2 · 2017-03-07 18:26

Я провел много времени сегодня и выяснил причину. Я пошел не так, как надо - из перехваченной информации с помощью сетевого сниффера (идентификатор процесса ошибки Kerberos был 566 = lsass.exe). Позвольте мне обобщить информацию.

Войдите на проблемный ПК, запустите PowerShell с повышенными правами.
Включить аудит входа
auditpol /set /subcategory:"logon" /failure:enable
Проверьте источник
Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl

Если ты видишь:

Обрабатывать информацию:
Идентификатор вызывающего процесса: 0x140
Имя вызывающего процесса: C:\Windows\System32\services.exe

Это означает, что у вас запущен какой-то сервис из проблемной учетной записи со старым паролем

DoubleD 16 мар '18 в 18:40 2018-03-16 18:40 · Answer 3 · 2018-03-16 18:40

Я нашел этот старый вопрос при исследовании другой проблемы, но для тех, у кого похожая проблема:

Код ошибки 0x18 означает, что учетная запись была уже отключена или заблокирована, когда клиент пытался пройти проверку подлинности.

Вам нужно найти тот же идентификатор события с кодом ошибки 0x24, который будет определять неудачные попытки входа в систему, которые привели к блокировке учетной записи. (Предполагается, что это происходит из-за неверного кэшированного пароля где-то.)

Затем вы можете посмотреть адрес клиента в этих событиях, чтобы увидеть, какая система передает неверные учетные данные. Оттуда вам придется выяснить, является ли это сервис со старым паролем, подключенным сетевым диском и т. Д.

Существует множество кодов ошибок, поэтому вы должны искать что-нибудь, кроме 0x18, чтобы определить причину блокировки учетной записи, если нет событий с кодами 0x24. Я считаю, что единственным типом сбоя, который приведет к блокировке, является 0x24 (неверный пароль), но я могу ошибаться.

Kirk Lashbrook 09 апр '18 в 14:35 2018-04-09 14:35 · Answer 4 · 2018-04-09 14:35

Kerberos 0x18 действительно неудачная попытка пароля.

Kerberos 0x12 - ограничение учетной записи отключено, просрочено, заблокировано или время входа в систему.

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4771

2

Источник

Kirk Lashbrook 09 апр '18 в 14:35

user354506 13 май '16 в 21:47 2016-05-13 21:47 · Answer 5 · 2016-05-13 21:47

Это сверху заметки. Похоже, инициатор этого поста заявил в своем последнем комментарии. Java вызывает процесс vpxd.exe.

Дополнительные примечания Да, проверки входа в систему "Успех / Сбой" включены на соответствующем контроллере домена - события сбоев не регистрируются до тех пор, пока учетная запись не будет фактически заблокирована.

Дальнейшее копание показывает, что LSASS.exe делает соответствующий вызов KERBEROS DC, когда учетная запись разблокирована. Ему предшествует (как правило) java, которая, кажется, вызывается vpxd.exe, который является процессом vCenter. НО, когда я смотрю на другой "server2", где может (также) может произойти блокировка учетной записи, я никогда не вижу вызова lsass.exe, и порождаются только процессы apache. Единственное отношение, которое они имеют, заключается в том, что SERVER2 является частью кластера vSphere SERVER1 (сервер1 является операционной системой vSphere).