Какво е събитие ID 4769 и как да го поправите?

Променете вашето ниво на удостоверяване на по-сигурен тип криптиране

Събитието ID 4769 Kerberoasting е предупреждение за сигурност. Това събитие може да се използва за откриване на присъствието на злонамерени потребители, които се опитват да използват Kerberos, за да се представят за друг потребител или услуга.

Той се генерира всеки път, когато се осъществи контакт с DC за валидиране на токена за сигурност. Протоколът за удостоверяване Kerberos се използва за доказване на самоличността на клиент, който иска достъп до мрежов ресурс от името на краен потребител. Така че, ако забележите този конкретен идентификатор на събитие, ето какво трябва да направите.

Какво причинява ID на събитие 4769?

Това събитие показва, че сървърът се е опитал да поиска билет за услуга Kerberos за потребителския акаунт, посочен в ИД на събитието. Обикновено токенът за сигурност на потребителя се изпраща до домейн контролер (DC) за проверка.

Това може да се случи, защото исканият потребителски акаунт не е в домейна или поради грешка в базата данни на KDC. Други причини включват:

• Сървърът има изтекъл запис в базата данни – Това събитие се регистрира, когато клиент се опита да се свърже със сървър чрез Kerberos удостоверяване. KDC не може да провери дали все още притежава валиден TGT билет за клиента.
• Клиентът има изтекъл запис в базата данни – Когато записът на клиент е изтекъл, ще бъде записано събитие за одит на отказ на Kerberos 4769 0x17. Това се случва, когато клиентски компютър не може да поднови своя билет за предоставяне на билети (TGT).
• Множество записи – Kerberos билет се генерира за всеки принципал, за да идентифицира потребителя (или услугата), когато се свързва с други компютри в мрежата. Този билет съдържа информация за това какви услуги могат да използват и до какво имат достъп, след като влязат.
• Неподдържана версия на протокола – Когато клиент се опита да се свърже със сървър, използвайки стара версия на протокола, събитието за одит на Kerberos 4769 се регистрира. Сървърът ще отхвърли опита за влизане, защото клиентът може да използва остаряла версия на Kerberos. Също така е възможно потребителят да се опитва да влезе с компрометиран акаунт.
• Слаби пароли – Идентификатор на събитие 4769 Kerberoasting възниква, когато злонамерен субект получи и използва Kerberos билетите на жертвата. Потребителят може да извършва атака с груба сила на основните имена на услугата на контролер на домейн или е успял да получи и дешифрира шифрования билет за предоставяне на билети (TGT) на целта.

Как мога да коригирам Event ID 4769?

1. Повишете нивото на удостоверяване

1. Удари Windows + Р ключове за отваряне на Бягай команда.
2. Тип gpedit.msc в диалоговия прозорец и натиснете Въведете за да отворите Редактор на групови правила.
3. Навигирайте до следното местоположение: Компютърна конфигурация/Настройки на Windows/Настройки за защита/Локални правила/Опции за сигурност
4. Намерете Мрежова сигурност: Конфигурирайте разрешените типове криптиране за Kerberos и щракнете двукратно върху него.
5. Под Локални настройки за сигурност раздел, изберете AES256_HMAC_SHA1, след което изберете Приложи и Добре.

Важно е да промените типа криптиране на билета за събитие ID 4769. Това е така, защото нивото на удостоверяване на вашия алгоритъм за криптиране определя силата на вашата парола. Колкото по-силна е паролата, толкова по-трудно е някой да хакне вашите онлайн акаунти.

2. Активиране на одита

1. Удари Windows ключ, вид Powershell в лентата за търсене и щракнете Изпълни като администратор.
2. Въведете следната команда и натиснете Въведете: auditpol /set /subcategory:”logon” /failure: enable

Ако сте активирали проверката на Kerberos, можете да видите това събитие. Когато неоторизирани потребители се опитат да влязат, ще получите известие. Той също така ще посочи кода за грешка за потребители, които се опитват да получат билети, използвайки идентификационните данни на други потребители или услуги във вашата среда.

След това можете да предприемете необходимите стъпки, за да блокирате потребителите. Това е особено важно за код на повреда 0x1b за идентификатор на събитие 4769. Такива грешки могат да бъдат трудни за откриване, тъй като не преминават през удостоверяване клиент-сървър.

Прочетете повече по тази тема

• Hyper-V грешка 0x8009030e: Как да я поправите
• Статус на сървъра на League of Legends: Кога и как да го проверите
• Поправка: Идентификатор на събитие 4663, Беше направен опит за достъп до обект

3. Нулирайте паролата за Kerberos

Kerberoasting е техника за събиране на Kerberos билети от домейн контролери на Windows. Това е един от най-ефективните начини за получаване на повишени привилегии в среда на домейн.

За да разрешите този проблем, трябва да нулирате паролата на потребителя в Active Directory Users and Computers (ADUC). Обикновено това са изключителни привилегии на администратора, така че трябва да се свържете и да поискате повторно задаване на парола.

Може също да срещнете Грешка при идентификатор на събитие 4771 където предварителното удостоверяване на Kerberos е неуспешно, така че не се колебайте да разгледате нашето ръководство за повече.

Кажете ни, ако сте успели да разрешите тази грешка в секцията за коментари по-долу.