რა არის მოვლენის ID 4769 და როგორ გამოვასწოროთ იგი?

შეცვალეთ თქვენი ავტორიზაციის დონე უფრო უსაფრთხო დაშიფვრის ტიპზე

მოვლენის ID 4769 Kerberoasting არის უსაფრთხოების გაფრთხილება. ამ მოვლენის გამოყენება შესაძლებელია მავნე მომხმარებლების არსებობის დასადგენად, რომლებიც ცდილობენ გამოიყენონ Kerberos სხვა მომხმარებლის ან სერვისის საკუთარ თავს.

ის წარმოიქმნება ყოველ ჯერზე, როცა DC დაუკავშირდება უსაფრთხოების ჟეტონის დასადასტურებლად. Kerberos ავთენტიფიკაციის პროტოკოლი გამოიყენება კლიენტის ვინაობის დასამტკიცებლად, რომელსაც სურს წვდომა ქსელის რესურსზე საბოლოო მომხმარებლის სახელით. ასე რომ, თუ შეამჩნევთ ამ კონკრეტულ მოვლენის ID-ს, აი, რა უნდა გააკეთოთ.

რა იწვევს მოვლენის ID 4769-ს?

ეს მოვლენა მიუთითებს, რომ სერვერმა სცადა მოეთხოვა Kerberos სერვისის ბილეთი ღონისძიების ID-ში მითითებული მომხმარებლის ანგარიშისთვის. ჩვეულებრივ, მომხმარებლის უსაფრთხოების ნიშანი იგზავნებოდა დომენის კონტროლერთან (DC) დასადასტურებლად.

ეს შეიძლება მოხდეს იმის გამო, რომ მოთხოვნილი მომხმარებლის ანგარიში არ არის დომენში ან KDC მონაცემთა ბაზაში შეცდომის გამო. სხვა მიზეზები მოიცავს:

• სერვერს აქვს მონაცემთა ბაზის ვადაგასული ჩანაწერი – ეს მოვლენა აღირიცხება, როდესაც კლიენტი ცდილობს სერვერთან დაკავშირებას Kerberos ავტორიზაციის გამოყენებით. KDC ვერ ამოწმებს, რომ მას ჯერ კიდევ აქვს კლიენტისთვის მოქმედი TGT ბილეთი.
• კლიენტს აქვს ვადაგასული ჩანაწერი მონაცემთა ბაზაში – როდესაც კლიენტის შესვლის ვადა ამოიწურება, Kerberos წარუმატებლობის აუდიტის მოვლენის ID 4769 0x17 ჩაიწერება. ეს ხდება მაშინ, როდესაც კლიენტის კომპიუტერი ვერ განაახლებს ბილეთების მინიჭების ბილეთს (TGT).
• მრავალი ჩანაწერი – Kerberos-ის ბილეთი გენერირებულია თითოეული ძირითადისთვის მომხმარებლის (ან სერვისის) იდენტიფიცირებისთვის, როდესაც ისინი დაუკავშირდებიან სხვა კომპიუტერებს ქსელში. ეს ბილეთი შეიცავს ინფორმაციას იმის შესახებ, თუ რა სერვისებით შეუძლიათ ისარგებლონ და რაზე აქვთ წვდომა შესვლის შემდეგ.
• პროტოკოლის მხარდაუჭერელი ვერსია – როდესაც კლიენტი ცდილობს სერვერთან დაკავშირებას ძველი პროტოკოლის ვერსიით, Kerberos წარუმატებლობის აუდიტის მოვლენა 4769 შესულია. სერვერი უარს იტყვის შესვლის მცდელობაზე, რადგან კლიენტი შესაძლოა იყენებს Kerberos-ის მოძველებულ ვერსიას. ასევე შესაძლებელია, რომ მომხმარებელი ცდილობს შესვლას გატეხილი ანგარიშით.
• სუსტი პაროლები – ღონისძიების ID 4769 Kerberoasting ხდება, როდესაც მავნე სუბიექტი იღებს და იყენებს მსხვერპლის Kerberos ბილეთებს. მომხმარებელი შესაძლოა ახორციელებს უხეში ძალის შეტევას დომენის კონტროლერის სერვისის ძირითად სახელებზე ან შეძლო სამიზნის დაშიფრული ბილეთების მინიჭების ბილეთის (TGT) მიღება და გაშიფვრა.

როგორ შემიძლია დავაფიქსირო მოვლენის ID 4769?

1. აუთენტიფიკაციის დონის ამაღლება

1. დააჭირეთ ფანჯრები + რ გასაღებები გასახსნელად გაიქეცი ბრძანება.
2. ტიპი gpedit.msc დიალოგურ ფანჯარაში და დააჭირეთ შედი გასახსნელად ჯგუფის პოლიტიკის რედაქტორი.
3. ნავიგაცია შემდეგ ადგილას: კომპიუტერის კონფიგურაცია/Windows-ის პარამეტრები/უსაფრთხოების პარამეტრები/ლოკალური პოლიტიკა/უსაფრთხოების პარამეტრები
4. იპოვნეთ ქსელის უსაფრთხოება: დააკონფიგურირეთ Kerberos-ისთვის დაშვებული დაშიფვრის ტიპები და ორჯერ დააწკაპუნეთ მასზე.
5. Ქვეშ ადგილობრივი უსაფრთხოების პარამეტრები ჩანართი, აირჩიეთ AES256_HMAC_SHA1, შემდეგ აირჩიეთ მიმართეთ და კარგი.

მნიშვნელოვანია ღონისძიების ID 4769 ბილეთის დაშიფვრის ტიპის შეცვლა. ეს იმიტომ ხდება, რომ თქვენი დაშიფვრის ალგორითმის ავთენტიფიკაციის დონე განსაზღვრავს თქვენი პაროლის სიძლიერეს. რაც უფრო ძლიერია პაროლი, მით უფრო რთულია ვინმესთვის თქვენი ონლაინ ანგარიშების გატეხვა.

2. აუდიტის ჩართვა

1. დააჭირეთ ფანჯრები გასაღები, ტიპი Powershell საძიებო ზოლში და დააწკაპუნეთ Ადმინისტრატორის სახელით გაშვება.
2. ჩაწერეთ შემდეგი ბრძანება და დააჭირეთ შედი: auditpol /set /subcategory:”logon” /failure: ჩართვა

თუ ჩართეთ Kerberos აუდიტი, შეგიძლიათ ნახოთ ეს მოვლენა. როდესაც არაავტორიზებული მომხმარებლები ცდილობენ შესვლას, თქვენ მიიღებთ შეტყობინებას. ის ასევე ჩამოთვლის შეცდომის კოდს მომხმარებლებისთვის, რომლებიც ცდილობენ მიიღონ ბილეთები სხვა მომხმარებლების ან სერვისების სერთიფიკატების გამოყენებით თქვენს გარემოში.

ამის შემდეგ შეგიძლიათ მიიღოთ აუცილებელი ზომები მომხმარებლების დაბლოკვისთვის. ეს განსაკუთრებით მნიშვნელოვანია მოვლენის ID 4769 წარუმატებლობის კოდისთვის 0x1b. ასეთი შეცდომების აღმოჩენა რთულია, რადგან ისინი არ გადიან კლიენტ-სერვერის ავთენტიფიკაციას.

წაიკითხეთ მეტი ამ თემის შესახებ

• Hyper-V შეცდომა 0x8009030e: როგორ გამოვასწოროთ იგი
• League of Legends სერვერის სტატუსი: როდის და როგორ შეამოწმოთ იგი
• შესწორება: მოვლენის ID 4663, ობიექტზე წვდომის მცდელობა იყო

3. Kerberos პაროლის გადატვირთვა

Kerberoasting არის კერბეროსის ბილეთების აღების ტექნიკა Windows დომენის კონტროლერებიდან. ეს არის ერთ-ერთი ყველაზე ეფექტური გზა დომენის გარემოში ამაღლებული პრივილეგიების მოსაპოვებლად.

ამ პრობლემის გადასაჭრელად, თქვენ უნდა აღადგინოთ მომხმარებლის პაროლი Active Directory მომხმარებლები და კომპიუტერები (ADUC). ჩვეულებრივ, ეს არის ადმინისტრატორის ექსკლუზიური პრივილეგიები, ასე რომ თქვენ უნდა დაუკავშირდეთ და მოითხოვოთ პაროლის აღდგენა.

თქვენ ასევე შეიძლება შეგხვდეთ მოვლენის ID 4771 შეცდომა სადაც Kerberos-ის წინასწარი ავთენტიფიკაცია ვერ მოხერხდა, ასე რომ, ნუ მოგერიდებათ შეამოწმოთ ჩვენი სახელმძღვანელო მეტი ინფორმაციისთვის.

შეგვატყობინეთ, თუ შეძელით ამ შეცდომის მოგვარება ქვემოთ მოცემულ კომენტარების განყოფილებაში.