Что такое идентификатор события 4769 и как его исправить?

Измените уровень аутентификации на более безопасный тип шифрования.

Идентификатор события 4769 Kerberoasting — это предупреждение системы безопасности. Это событие можно использовать для обнаружения злонамеренных пользователей, пытающихся использовать Kerberos для олицетворения другого пользователя или службы.

Он генерируется каждый раз при обращении к контроллеру домена для проверки токена безопасности. Протокол аутентификации Kerberos используется для подтверждения личности клиента, который хочет получить доступ к сетевому ресурсу от имени конечного пользователя. Итак, если вы заметили этот конкретный идентификатор события, вот что вам нужно сделать.

Что вызывает событие с кодом 4769?

Это событие означает, что сервер попытался запросить билет службы Kerberos для учетной записи пользователя, указанной в идентификаторе события. Обычно токен безопасности пользователя отправлялся на контроллер домена (DC) для проверки.

Это может произойти из-за того, что запрошенная учетная запись пользователя не находится в домене или из-за ошибки в базе данных KDC. Другие причины включают в себя:

• Сервер имеет просроченную запись в базе данных – Это событие регистрируется, когда клиент пытается подключиться к серверу с использованием проверки подлинности Kerberos. KDC не может проверить наличие действительного билета TGT для клиента.
• Клиент имеет просроченную запись в базе данных – Когда срок действия записи клиента истек, будет записано событие аудита отказов Kerberos с идентификатором 4769 0x17. Это происходит, когда клиентский компьютер не может обновить свой билет на выдачу билетов (TGT).
• Несколько записей – Билет Kerberos создается для каждого принципала, чтобы идентифицировать пользователя (или службу) при подключении к другим компьютерам в сети. Этот билет содержит информацию о том, какие услуги они могут использовать и к чему у них есть доступ после входа в систему.
• Неподдерживаемая версия протокола – Когда клиент пытается подключиться к серверу, используя старую версию протокола, регистрируется событие аудита отказов Kerberos 4769. Сервер отклонит попытку входа в систему, поскольку клиент может использовать устаревшую версию Kerberos. Также возможно, что пользователь пытается войти в систему со взломанной учетной записью.
• Слабые пароли – Идентификатор события 4769 Kerberoasting возникает, когда злоумышленник получает и использует билеты Kerberos жертвы. Пользователь может выполнять атаку грубой силы на имена субъектов-служб контроллера домена или смог получить и расшифровать зашифрованный билет на предоставление билетов (TGT) цели.

Как я могу исправить идентификатор события 4769?

1. Поднимите уровень аутентификации

1. Ударь Окна + р ключи, чтобы открыть Бегать команда.
2. Тип gpedit.msc в диалоговом окне и нажмите Входить открыть Редактор групповой политики.
3. Перейдите в следующее место: Конфигурация компьютера/Параметры Windows/Параметры безопасности/Локальные политики/Параметры безопасности
4. Найдите Сетевая безопасность: настройте типы шифрования, разрешенные для Kerberos, и дважды щелкните по нему.
5. Под Локальные настройки безопасности вкладка, выберите AES256_HMAC_SHA1, затем выберите Применять и ХОРОШО.

Важно изменить тип шифрования билета Event ID 4769. Это связано с тем, что уровень аутентификации вашего алгоритма шифрования определяет надежность вашего пароля. Чем надежнее пароль, тем сложнее кому-либо взломать ваши онлайн-аккаунты.

2. Включить аудит

1. Ударь Окна ключ, тип PowerShell в строке поиска и нажмите Запустить от имени администратора.
2. Введите следующую команду и нажмите Входить: аудитпол / набор / подкатегория: «вход в систему» ​​/ сбой: включить

Если вы включили аудит Kerberos, вы увидите это событие. Когда неавторизованные пользователи попытаются войти в систему, вы получите уведомление. В нем также будет указан код ошибки для пользователей, пытающихся получить билеты с использованием учетных данных других пользователей или служб в вашей среде.

Затем вы можете предпринять необходимые шаги, чтобы заблокировать пользователей. Это особенно важно для кода ошибки Event ID 4769 0x1b. Такие ошибки трудно обнаружить, поскольку они не проходят аутентификацию клиент-сервер.

Подробнее об этой теме

• Ошибка Hyper-V 0x8009030e: как ее исправить
• Статус сервера League of Legends: когда и как его проверить
• Исправлено: событие с кодом 4663, попытка доступа к объекту.

3. Сбросить пароль Kerberos

Kerberoasting — это метод сбора билетов Kerberos с контроллеров домена Windows. Это один из самых эффективных способов получить повышенные привилегии в доменной среде.

Чтобы решить эту проблему, необходимо сбросить пароль пользователя в разделе «Пользователи и компьютеры Active Directory» (ADUC). Обычно это привилегии, эксклюзивные для администратора, поэтому вам необходимо связаться с ним и запросить сброс пароля.

Вы также можете столкнуться с Ошибка с кодом события 4771 где предварительная аутентификация Kerberos не удалась, поэтому не стесняйтесь обращаться к нашему руководству для получения дополнительной информации.

Сообщите нам, если вам удалось решить эту ошибку, в разделе комментариев ниже.