Co to jest identyfikator zdarzenia 4769 i jak go naprawić?

Zmień poziom uwierzytelniania na bezpieczniejszy typ szyfrowania

Identyfikator zdarzenia 4769 Kerberoasting to alert bezpieczeństwa. To zdarzenie może służyć do wykrywania obecności złośliwych użytkowników, którzy próbują użyć protokołu Kerberos do podszywania się pod innego użytkownika lub usługę.

Jest generowany za każdym razem, gdy kontaktuje się z kontrolerem domeny w celu zweryfikowania tokena zabezpieczającego. Protokół uwierzytelniania Kerberos służy do potwierdzania tożsamości klienta, który chce uzyskać dostęp do zasobu sieciowego w imieniu użytkownika końcowego. Jeśli więc zauważysz ten konkretny identyfikator zdarzenia, oto, co powinieneś zrobić.

Co powoduje zdarzenie o identyfikatorze 4769?

To zdarzenie wskazuje, że serwer próbował zażądać biletu usługi Kerberos dla konta użytkownika określonego w identyfikatorze zdarzenia. Zwykle token bezpieczeństwa użytkownika był wysyłany do kontrolera domeny (DC) w celu weryfikacji.

Może się tak zdarzyć, ponieważ żądane konto użytkownika nie znajduje się w domenie lub z powodu błędu w bazie danych KDC. Inne powody to:

• Serwer ma wygasły wpis bazy danych – To zdarzenie jest rejestrowane, gdy klient próbuje połączyć się z serwerem przy użyciu uwierzytelniania Kerberos. KDC nie może zweryfikować, czy nadal posiada ważny bilet TGT dla klienta.
• Klient ma wygasły wpis w bazie danych – Po wygaśnięciu wpisu klienta zostanie zarejestrowany audyt awarii protokołu Kerberos o identyfikatorze zdarzenia 4769 0x17. Dzieje się tak, gdy komputer kliencki nie może odnowić swojego biletu przyznającego bilet (TGT).
• Wiele wpisów – Bilet Kerberos jest generowany dla każdego podmiotu zabezpieczeń w celu identyfikacji użytkownika (lub usługi), gdy łączy się on z innymi komputerami w sieci. Bilet ten zawiera informacje o tym, z jakich usług może korzystać i do czego ma dostęp po zalogowaniu.
• Nieobsługiwana wersja protokołu – Gdy klient próbuje połączyć się z serwerem przy użyciu starej wersji protokołu, rejestrowane jest zdarzenie audytu awarii Kerberos 4769. Serwer odrzuci próbę logowania, ponieważ klient może używać przestarzałej wersji protokołu Kerberos. Możliwe jest również, że użytkownik próbuje zalogować się za pomocą przejętego konta.
• Słabe hasła – Zdarzenie o identyfikatorze 4769 Kerberoasting ma miejsce, gdy złośliwa jednostka uzyskuje i wykorzystuje bilety Kerberos ofiary. Użytkownik może przeprowadzać atak siłowy na nazwy główne usługi kontrolera domeny lub był w stanie uzyskać i odszyfrować zaszyfrowany bilet przyznający bilet (TGT) celu.

Jak mogę naprawić zdarzenie o identyfikatorze 4769?

1. Podnieś poziom uwierzytelniania

1. Uderz w Okna + R klucze do otwierania Uruchomić Komenda.
2. Typ gpedit.msc w oknie dialogowym i naciśnij Wchodzić aby otworzyć Edytor zasad grupy.
3. Przejdź do następującej lokalizacji: Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady lokalne/Opcje zabezpieczeń
4. Znajdź Bezpieczeństwo sieci: Skonfiguruj typy szyfrowania dozwolone dla protokołu Kerberos i kliknij je dwukrotnie.
5. Pod Ustawienia zabezpieczeń lokalnych zakładka, wybierz AES256_HMAC_SHA1, a następnie wybierz Stosować I OK.

Należy zmienić typ szyfrowania biletu Event ID 4769. Dzieje się tak, ponieważ poziom uwierzytelnienia algorytmu szyfrowania określa siłę hasła. Im silniejsze hasło, tym trudniej jest włamać się na twoje konta internetowe.

2. Włącz inspekcję

1. Uderz w Okna typ klucza Powershell w pasku wyszukiwania i kliknij Uruchom jako administrator.
2. Wpisz następujące polecenie i naciśnij Wchodzić: auditpol /set /subcategory:”logon” /failure: włącz

Jeśli włączyłeś inspekcję Kerberos, możesz zobaczyć to zdarzenie. Gdy nieautoryzowani użytkownicy spróbują się zalogować, otrzymasz powiadomienie. Wyświetli się również kod błędu dla użytkowników próbujących uzyskać bilety przy użyciu poświadczeń innych użytkowników lub usług w Twoim środowisku.

Następnie możesz podjąć niezbędne kroki, aby zablokować użytkowników. Jest to szczególnie ważne w przypadku kodu błędu 0x1b o identyfikatorze zdarzenia 4769. Takie błędy mogą być trudne do wykrycia, ponieważ nie przechodzą przez uwierzytelnianie klient-serwer.

Przeczytaj więcej na ten temat

• Błąd Hyper-V 0x8009030e: Jak go naprawić
• Status serwera League of Legends: kiedy i jak to sprawdzić
• Poprawka: Identyfikator zdarzenia 4663, podjęto próbę uzyskania dostępu do obiektu

3. Zresetuj hasło Kerberos

Kerberoasting to technika zbierania biletów Kerberos z kontrolerów domeny Windows. Jest to jeden z najskuteczniejszych sposobów na uzyskanie podwyższonych uprawnień w środowisku domenowym.

Aby rozwiązać ten problem, należy zresetować hasło użytkownika w przystawce Użytkownicy i komputery usługi Active Directory (ADUC). Zwykle są to uprawnienia wyłącznie dla administratora, więc musisz się z nim skontaktować i poprosić o zresetowanie hasła.

Możesz również napotkać tzw Identyfikator zdarzenia 4771 błąd gdzie wstępne uwierzytelnianie Kerberos nie powiodło się, więc nie wahaj się sprawdzić naszego przewodnika, aby uzyskać więcej informacji.

Daj nam znać, jeśli udało Ci się rozwiązać ten błąd w sekcji komentarzy poniżej.