Qu'est-ce que l'ID d'événement 4769 et comment y remédier ?

Modifiez votre niveau d'authentification pour un type de cryptage plus sécurisé

L'ID d'événement 4769 Kerberoasting est une alerte de sécurité. Cet événement peut être utilisé pour détecter la présence d'utilisateurs malveillants qui tentent d'utiliser Kerberos pour se faire passer pour un autre utilisateur ou service.

Il est généré à chaque fois qu'un DC est contacté pour valider le jeton de sécurité. Le protocole d'authentification Kerberos est utilisé pour prouver l'identité d'un client qui souhaite accéder à une ressource réseau au nom d'un utilisateur final. Donc, si vous repérez cet ID d'événement particulier, voici ce que vous devez faire.

Qu'est-ce qui cause l'ID d'événement 4769 ?

Cet événement indique que le serveur a tenté de demander un ticket de service Kerberos pour le compte d'utilisateur spécifié dans l'ID d'événement. Habituellement, le jeton de sécurité de l'utilisateur était envoyé à un contrôleur de domaine (DC) pour validation.

Cela peut se produire parce que le compte d'utilisateur demandé n'est pas dans le domaine ou en raison d'une erreur dans la base de données KDC. D'autres raisons incluent:

• Le serveur a une entrée de base de données expirée – Cet événement est consigné lorsqu'un client tente de se connecter à un serveur à l'aide de l'authentification Kerberos. Le KDC ne peut pas vérifier qu'il est toujours en possession d'un ticket TGT valide pour le client.
• Le client a une entrée expirée dans la base de données – Lorsque l'entrée d'un client a expiré, l'ID d'événement d'audit d'échec Kerberos 4769 0x17 sera enregistré. Cela se produit lorsqu'un ordinateur client ne peut pas renouveler son ticket d'octroi de tickets (TGT).
• Plusieurs entrées – Un ticket Kerberos est généré pour chaque principal afin d'identifier l'utilisateur (ou le service) lorsqu'il se connecte à d'autres ordinateurs du réseau. Ce ticket contient des informations sur les services qu'ils peuvent utiliser et à quoi ils ont accès après leur connexion.
• Version de protocole non prise en charge – Lorsqu'un client tente de se connecter à un serveur à l'aide d'une ancienne version de protocole, l'événement d'audit d'échec Kerberos 4769 est connecté. Le serveur rejettera la tentative de connexion car le client utilise peut-être une version obsolète de Kerberos. Il est également possible que l'utilisateur tente de se connecter avec un compte compromis.
• Mots de passe faibles – Un Event ID 4769 Kerberoasting se produit lorsqu'une entité malveillante obtient et utilise les tickets Kerberos de la victime. Un utilisateur peut effectuer une attaque par force brute sur les noms principaux de service d'un contrôleur de domaine ou a pu obtenir et déchiffrer le ticket d'octroi de tickets (TGT) chiffré de la cible.

Comment puis-je corriger l'ID d'événement 4769 ?

1. Augmenter le niveau d'authentification

1. Frappez le les fenêtres + R clés pour ouvrir le Courir commande.
2. Taper gpedit.msc dans la boîte de dialogue et appuyez sur Entrer pour ouvrir le Éditeur de stratégie de groupe.
3. Accédez à l'emplacement suivant: Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Politiques locales/Options de sécurité
4. Localiser Sécurité réseau: configurez les types de chiffrement autorisés pour Kerberos et double-cliquez dessus.
5. Sous le Paramètres de sécurité locaux onglet, sélectionnez AES256_HMAC_SHA1, puis sélectionnez Appliquer et D'ACCORD.

Il est important de modifier le type de chiffrement du ticket Event ID 4769. En effet, le niveau d'authentification de votre algorithme de cryptage détermine la force de votre mot de passe. Plus le mot de passe est fort, plus il est difficile pour quelqu'un de pirater vos comptes en ligne.

2. Activer l'audit

1. Frappez le les fenêtres type de clé Powershell dans la barre de recherche, puis cliquez sur Exécuter en tant qu'administrateur.
2. Tapez la commande suivante et appuyez sur Entrer: auditpol /set /subcategory :"ouverture de session" /failure: activer

Si vous avez activé l'audit Kerberos, vous pouvez voir cet événement. Lorsque des utilisateurs non autorisés tentent de se connecter, vous recevez une notification. Il répertorie également le code d'erreur pour les utilisateurs qui tentent d'obtenir des tickets à l'aide des informations d'identification d'autres utilisateurs ou services de votre environnement.

Vous pouvez alors prendre les mesures nécessaires pour bloquer les utilisateurs. Ceci est particulièrement important pour le code d'échec Event ID 4769 0x1b. De telles erreurs peuvent être difficiles à détecter car elles ne passent pas par l'authentification client-serveur.

En savoir plus sur ce sujet

• Erreur Hyper-V 0x8009030e: comment y remédier
• Statut du serveur League of Legends: quand et comment le vérifier
• Correction: ID d'événement 4663, une tentative d'accès à un objet a été effectuée

3. Réinitialiser le mot de passe Kerberos

Kerberoasting est une technique permettant de récolter des tickets Kerberos à partir de contrôleurs de domaine Windows. C'est l'un des moyens les plus efficaces d'obtenir des privilèges élevés dans un environnement de domaine.

Pour résoudre ce problème, vous devez réinitialiser le mot de passe de l'utilisateur dans Utilisateurs et ordinateurs Active Directory (ADUC). Habituellement, ce sont des privilèges exclusifs à l'administrateur, vous devez donc entrer en contact et demander une réinitialisation du mot de passe.

Vous pouvez également rencontrer le Erreur d'ID d'événement 4771 où la pré-authentification Kerberos a échoué, alors n'hésitez pas à consulter notre guide pour en savoir plus.

Faites-nous savoir si vous avez réussi à résoudre cette erreur dans la section des commentaires ci-dessous.