Wat is gebeurtenis-ID 4769 en hoe dit te verhelpen?

Wijzig uw authenticatieniveau in een veiliger versleutelingstype

De gebeurtenis-ID 4769 Kerberoasting is een beveiligingswaarschuwing. Deze gebeurtenis kan worden gebruikt om de aanwezigheid van kwaadwillende gebruikers te detecteren die Kerberos proberen te gebruiken om zich voor te doen als een andere gebruiker of service.

Het wordt gegenereerd telkens wanneer er contact wordt opgenomen met een DC om het beveiligingstoken te valideren. Het Kerberos-authenticatieprotocol wordt gebruikt om de identiteit te bewijzen van een client die namens een eindgebruiker toegang wil tot een netwerkbron. Dus als u deze specifieke gebeurtenis-ID ziet, moet u het volgende doen.

Wat veroorzaakt gebeurtenis-ID 4769?

Deze gebeurtenis geeft aan dat de server heeft geprobeerd een Kerberos-serviceticket aan te vragen voor de gebruikersaccount die is opgegeven in de gebeurtenis-ID. Gewoonlijk werd het beveiligingstoken van de gebruiker ter validatie naar een domeincontroller (DC) gestuurd.

Dit kan gebeuren omdat het aangevraagde gebruikersaccount zich niet in het domein bevindt of vanwege een fout in de KDC-database. Andere redenen zijn onder meer:

• Server heeft een verlopen database-item – Deze gebeurtenis wordt vastgelegd wanneer een client verbinding probeert te maken met een server met behulp van Kerberos-authenticatie. Het KDC kan niet controleren of het nog in het bezit is van een geldig TGT-ticket voor de klant.
• Cliënt heeft een verlopen vermelding in de database - Wanneer de invoer van een client is verlopen, wordt Kerberos-foutaudit Event ID 4769 0x17 geregistreerd. Dit gebeurt wanneer een clientcomputer zijn ticket-granting ticket (TGT) niet kan verlengen.
• Meerdere ingangen – Er wordt een Kerberos-ticket gegenereerd voor elke principal om de gebruiker (of service) te identificeren wanneer deze verbinding maakt met andere computers in het netwerk. Dit ticket bevat informatie over welke diensten ze kunnen gebruiken en waartoe ze toegang hebben nadat ze zijn ingelogd.
• Niet-ondersteunde protocolversie – Wanneer een client verbinding probeert te maken met een server met behulp van een oude protocolversie, wordt de Kerberos-foutauditgebeurtenis 4769 aangemeld. De server weigert de inlogpoging omdat de client mogelijk een verouderde versie van Kerberos gebruikt. Het is ook mogelijk dat de gebruiker probeert in te loggen met een gecompromitteerd account.
• Zwakke wachtwoorden – Een gebeurtenis-ID 4769 Kerberoasting vindt plaats wanneer een kwaadwillende entiteit de Kerberos-tickets van het slachtoffer verkrijgt en gebruikt. Een gebruiker voert mogelijk een brute-force-aanval uit op de service-principal-namen van een domeincontroller of heeft het versleutelde ticket-granting-ticket (TGT) van het doel kunnen verkrijgen en decoderen.

Hoe kan ik gebeurtenis-ID 4769 oplossen?

1. Verhoog het authenticatieniveau

1. Druk op de ramen + R toetsen om de Loop commando.
2. Type gpedit.msc in het dialoogvenster en druk op Binnenkomen om de te openen Groepsbeleid-editor.
3. Navigeer naar de volgende locatie: Computerconfiguratie/Windows-instellingen/Beveiligingsinstellingen/Lokaal beleid/Beveiligingsopties
4. bevind zich Netwerkbeveiliging: configureer toegestane coderingstypen voor Kerberos en dubbelklik erop.
5. Onder de Lokale beveiligingsinstellingen tabblad, selecteer AES256_HMAC_SHA1en selecteer vervolgens Toepassen En OK.

Het is belangrijk om het encryptietype Event ID 4769 te wijzigen. Dit komt omdat het authenticatieniveau van uw versleutelingsalgoritme de sterkte van uw wachtwoord bepaalt. Hoe sterker het wachtwoord, hoe moeilijker het voor iemand is om je online accounts te hacken.

2. Schakel controle in

1. Druk op de ramen sleutel type Powershell in de zoekbalk en klik op Als administrator uitvoeren.
2. Typ de volgende opdracht en druk op Binnenkomen: auditpol /set /subcategory:”aanmelden” /failure: inschakelen

Als u Kerberos-controle hebt ingeschakeld, kunt u deze gebeurtenis zien. Wanneer niet-geautoriseerde gebruikers proberen in te loggen, ontvangt u een melding. Het geeft ook de foutcode weer voor gebruikers die tickets proberen te verkrijgen met de inloggegevens van andere gebruikers of services in uw omgeving.

U kunt dan de nodige stappen ondernemen om de gebruikers te blokkeren. Dit is vooral belangrijk voor de gebeurtenis-ID 4769-foutcode 0x1b. Dergelijke fouten kunnen moeilijk te detecteren zijn omdat ze niet door client-server-authenticatie gaan.

Lees meer over dit onderwerp

• Hyper-V-fout 0x8009030e: hoe dit te verhelpen
• League of Legends-serverstatus: wanneer en hoe dit te controleren
• Oplossing: gebeurtenis-ID 4663, er is geprobeerd toegang te krijgen tot een object

3. Stel het Kerberos-wachtwoord opnieuw in

Kerberoasting is een techniek om Kerberos-tickets te oogsten van Windows-domeincontrollers. Het is een van de meest effectieve manieren om verhoogde privileges te krijgen in een domeinomgeving.

Om dit probleem op te lossen, moet u het wachtwoord van de gebruiker opnieuw instellen in Active Directory: gebruikers en computers (ADUC). Meestal zijn dit exclusieve rechten voor de beheerder, dus u moet contact opnemen en een wachtwoordreset aanvragen.

U kunt ook de Gebeurtenis-ID 4771-fout waar de pre-authenticatie van Kerberos is mislukt, dus aarzel niet om onze gids te raadplegen voor meer informatie.

Laat het ons weten als je deze fout hebt kunnen oplossen in de commentaarsectie hieronder.