Ce este Event ID 4769 și cum se remediază?

Schimbați-vă nivelul de autentificare la un tip de criptare mai sigur

ID-ul evenimentului 4769 Kerberoasting este o alertă de securitate. Acest eveniment poate fi folosit pentru a detecta prezența utilizatorilor rău intenționați care încearcă să folosească Kerberos pentru a uzurpa identitatea unui alt utilizator sau serviciu.

Acesta este generat de fiecare dată când un DC este contactat pentru a valida jetonul de securitate. Protocolul de autentificare Kerberos este utilizat pentru a dovedi identitatea unui client care dorește să acceseze o resursă de rețea în numele unui utilizator final. Deci, dacă observați acest ID de eveniment, iată ce ar trebui să faceți.

Ce cauzează ID-ul evenimentului 4769?

Acest eveniment indică faptul că serverul a încercat să solicite un bilet de serviciu Kerberos pentru contul de utilizator specificat în ID-ul evenimentului. De obicei, simbolul de securitate al utilizatorului a fost trimis către un controler de domeniu (DC) pentru validare.

Acest lucru se poate întâmpla deoarece contul de utilizator solicitat nu se află în domeniu sau din cauza unei erori în baza de date KDC. Alte motive includ:

• Serverul are o intrare în baza de date expirată – Acest eveniment este înregistrat când un client încearcă să se conecteze la un server utilizând autentificarea Kerberos. KDC nu poate verifica dacă încă deține un bilet TGT valabil pentru client.
• Clientul are o intrare expirată în baza de date – Când intrarea unui client a expirat, ID-ul evenimentului 4769 0x17 de auditare a eșecului Kerberos va fi înregistrat. Acest lucru se întâmplă atunci când un computer client nu își poate reînnoi biletul de acordare a biletelor (TGT).
• Intrări multiple – Un bilet Kerberos este generat pentru fiecare principal pentru a identifica utilizatorul (sau serviciul) atunci când se conectează la alte computere din rețea. Acest bilet conține informații despre ce servicii pot folosi și la ce au acces după ce se conectează.
• Versiune de protocol neacceptată – Când un client încearcă să se conecteze la un server utilizând o versiune de protocol veche, evenimentul de auditare a erorilor Kerberos 4769 este conectat. Serverul va respinge încercarea de autentificare deoarece clientul poate folosi o versiune învechită de Kerberos. De asemenea, este posibil ca utilizatorul să încerce să se conecteze cu un cont compromis.
• Parole slabe – Un eveniment ID 4769 Kerberoasting apare atunci când o entitate rău intenționată obține și folosește tichetele Kerberos ale victimei. Un utilizator poate efectua un atac cu forță brută asupra numelor principale de serviciu ale unui controler de domeniu sau a putut să obțină și să decripteze biletul criptat de acordare a biletelor (TGT) al țintei.

Cum pot remedia ID-ul evenimentului 4769?

1. Ridicați nivelul de autentificare

1. Loveste Windows + R cheile pentru a deschide Alerga comanda.
2. Tip gpedit.msc în caseta de dialog și apăsați introduce pentru a deschide Editor de politici de grup.
3. Navigați la următoarea locație: Configurare computer/Setări Windows/Setări de securitate/Politici locale/Opțiuni de securitate
4. Localiza Securitatea rețelei: configurați tipurile de criptare permise pentru Kerberos și faceți dublu clic pe el.
5. Sub Setări de securitate locale filă, selectați AES256_HMAC_SHA1, apoi selectați aplica și Bine.

Este important să schimbați tipul de criptare a biletului Event ID 4769. Acest lucru se datorează faptului că nivelul de autentificare al algoritmului de criptare determină puterea parolei. Cu cât parola este mai puternică, cu atât este mai dificil pentru cineva să pirateze conturile dvs. online.

2. Activați auditarea

1. Loveste Windows cheie, tastați Powershell în bara de căutare și faceți clic Rulat ca administrator.
2. Tastați următoarea comandă și apăsați introduce: auditpol /set /subcategory:”logon” /failure: enable

Dacă ați activat auditarea Kerberos, puteți vedea acest eveniment. Când utilizatorii neautorizați încearcă să se conecteze, veți primi o notificare. De asemenea, va lista codul de eroare pentru utilizatorii care încearcă să obțină bilete folosind acreditările altor utilizatori sau servicii din mediul dvs.

Apoi puteți lua măsurile necesare pentru a bloca utilizatorii. Acest lucru este important în special pentru codul de eroare 0x1b al evenimentului ID 4769. Astfel de erori pot fi greu de detectat, deoarece nu trec prin autentificarea client-server.

Citiți mai multe despre acest subiect

• Eroare Hyper-V 0x8009030e: Cum se remediază
• Stare server League of Legends: când și cum să-l verific
• Remediere: ID eveniment 4663, a fost făcută o încercare de a accesa un obiect

3. Resetați parola Kerberos

Kerberoasting este o tehnică de colectare a biletelor Kerberos de la controlerele de domeniu Windows. Este una dintre cele mai eficiente moduri de a obține privilegii ridicate într-un mediu de domeniu.

Pentru a rezolva această problemă, trebuie să resetați parola utilizatorului în Active Directory Users and Computers (ADUC). De obicei, acestea sunt privilegii exclusive ale administratorului, așa că trebuie să luați legătura și să solicitați resetarea parolei.

De asemenea, puteți întâlni Eroare ID eveniment 4771 unde pre-autentificarea Kerberos a eșuat, așa că nu ezitați să consultați ghidul nostru pentru mai multe.

Spune-ne dacă ai reușit să rezolvi această eroare în secțiunea de comentarii de mai jos.