Событие Event ID 4769 Kerberoasting является предупреждением безопасности. Это событие может быть использовано для обнаружения присутствия вредоносных пользователей, которые пытаются использовать Kerberos для выдачи себя за другого пользователя или службу.
Оно генерируется каждый раз, когда с DC связываются для подтверждения маркера безопасности. Протокол аутентификации Kerberos используется для подтверждения личности клиента, который хочет получить доступ к сетевому ресурсу от имени конечного пользователя. Итак, если вы заметили этот конкретный идентификатор события, вот что вам следует сделать.
Что вызывает идентификатор события 4769?
Это событие указывает на то, что сервер попытался запросить билет службы Kerberos для учетной записи пользователя, указанной в идентификаторе события. Обычно маркер безопасности пользователя был отправлен на контроллер домена (DC) для проверки.
Это может произойти из-за того, что запрашиваемая учетная запись пользователя отсутствует в домене или из-за ошибки в базе данных KDC. Другие причины включают:
У сервера истек срок действия записи в базе данных — Это событие регистрируется, когда клиент пытается подключиться к серверу с помощью аутентификации Kerberos. KDC не может проверить, что у него все еще есть действительный билет TGT для клиента. У клиента истек срок действия записи в базе данных — Когда срок действия записи клиента истек, будет зафиксирован аудит сбоя Kerberos Event ID 4769 0x17. Это происходит, когда клиентский компьютер не может обновить свой билет-грантер (TGT). Несколько записей — Для каждого принципала генерируется билет Kerberos для идентификации пользователя (или службы) при подключении к другим компьютерам в сети. Этот билет содержит информацию о том, какими услугами они могут пользоваться и к чему имеют доступ после входа в систему. Неподдерживаемая версия протокола — Когда клиент пытается подключиться к серверу, используя устаревшую версию протокола, регистрируется событие аудита сбоя Kerberos 4769. Сервер отклонит попытку входа в систему, поскольку клиент может использовать устаревшую версию Kerberos. Также возможно, что пользователь пытается войти в систему со скомпрометированной учетной записью. Слабые пароли — Событие ID 4769 Kerberoasting возникает, когда злоумышленник получает и использует билеты Kerberos жертвы. Возможно, пользователь выполняет атаку методом перебора имен принципалов служб контроллера домена или смог получить и расшифровать зашифрованный билет на выдачу билетов (TGT) цели.
Как исправить Event ID 4769?
1. Повысьте уровень аутентификации
Нажмите клавиши Windows + R, чтобы открыть Запустите команда. Введите gpedit.msc в диалоговом окне и нажмите Enter, чтобы открыть окно Редактор групповой политики.
Перейдите в следующее место: Конфигурация компьютера/Параметры Windows/Параметры безопасности/Локальные политики/Параметры безопасности
Найдите Сетевая безопасность: Настроить типы шифрования, разрешенные для Kerberos, и дважды щелкните на ней.
На вкладке Параметры локальной безопасности выберите AES256_HMAC_SHA1, затем выберите Применить и OK.
Важно изменить тип шифрования билета Event ID 4769. Это связано с тем, что уровень аутентификации вашего алгоритма шифрования определяет стойкость вашего пароля. Чем надежнее пароль, тем сложнее кому-то взломать ваши учетные записи в Интернете.
2. Включите аудит
Нажмите клавишу Windows, введите Powershell в строке поиска и нажмите Запуск от имени администратора.
Введите следующую команду и нажмите Enter: auditpol /set /subcategory: "logon" /failure:enable
Если у вас включен аудит Kerberos, вы можете увидеть это событие. Когда неавторизованные пользователи попытаются войти в систему, вы получите уведомление. В нем также будет указан код ошибки для пользователей, пытающихся получить билеты, используя учетные данные других пользователей или служб в вашей среде.
После этого вы сможете предпринять необходимые шаги для блокировки пользователей. Это особенно важно для события Event ID 4769 с кодом ошибки 0x1b. Такие ошибки трудно обнаружить, поскольку они не проходят проверку подлинности на клиент-сервере.
3. Сброс пароля Kerberos
Kerberoasting — это метод сбора билетов Kerberos с контроллеров домена Windows. Это один из самых эффективных способов получения повышенных привилегий в доменной среде.
Чтобы решить эту проблему, необходимо сбросить пароль пользователя в Active Directory Users and Computers (ADUC). Обычно эти привилегии принадлежат исключительно администратору, поэтому вам нужно связаться с ним и запросить сброс пароля.
Вы также можете столкнуться с ошибкой Event ID 4771, когда предварительная аутентификация Kerberos завершилась неудачей, поэтому не стесняйтесь и ознакомьтесь с нашим руководством, чтобы узнать больше.
Сообщите нам, удалось ли вам решить эту ошибку, в разделе комментариев ниже.