域控制器上未使用的管理员帐户的 Kerberos 预身份验证失败

域控制器上未使用的管理员帐户的 Kerberos 预身份验证失败

我们的三个 Active Directory 域控制器总共报告了数千个“Kerberos 预认证失败”每周的事件,其中IpAddress字段是域控制器(但始终是不同的),字段TargetSid是域行政人员EventData/Ipport帐户。查看所有这些特定事件时,我还注意到 - 除随机字段和EventData/Ipaddress始终为域控制器的字段外- 所有其他EventData字段始终具有相同的值。

域控制器是全新的,并且行政人员不用于这些机器。不用于启动服务,不用于运行任务,不用于其他任何目的。我 99.99% 确定这不是一个被入侵的域控制器。我们的域控制器运行正常,dcdiag /q没有报告任何问题。

我不明白发生了什么,需要帮助来理解这些特定事件以及报道这些事件的原因。以下是其中一个事件:

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
    <System>
        <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-a5ba-3e3b0328c30d}'/>
        <EventID>4771</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>14339</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime='2020-11-23T14:52:18.851767600Z'/>
        <EventRecordID>49462065</EventRecordID>
        <Correlation/>
        <Execution ProcessID='652' ThreadID='2348'/>
        <Channel>Security</Channel>
        <Computer>dc01.company.local</Computer>
        <Security/>
    </System>
    <EventData>
        <Data Name='TargetUserName'>Administrator</Data>
        <Data Name='TargetSid'>S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxx-500</Data>
        <Data Name='ServiceName'>krbtgt/COMPANY.LOCAL</Data>
        <Data Name='TicketOptions'>0x40810010</Data>
        <Data Name='Status'>0x18</Data>
        <Data Name='PreAuthType'>2</Data>
        <Data Name='IpAddress'>::ffff:10.12.22.11</Data>
        <Data Name='IpPort'>53321</Data>
        <Data Name='CertIssuerName'></Data>
        <Data Name='CertSerialNumber'></Data>
        <Data Name='CertThumbprint'></Data>
    </EventData>
</Event>

答案1

这一页提供详细解释 4771 Kerberos 预身份验证失败事件的每个字段。

0x18 状态故障代码表示提供了错误的密码。IP 地址是该故障的根源。您应该查看故障事件源主机上的安全日志并查找事件 ID 4625 帐户登录失败管理员帐户的事件。此事件将为您提供识别生成登录失败的进程所需的信息。

您还应该考虑重命名 SID-500 管理员帐户。这可能会无意中停止 4771 事件,因为登录失败将不再映射到有效的域主体。我会非常认真地对待任何此类登录失败,直到它们得到适当的解释。祝你好运!

相关内容