我们的三个 Active Directory 域控制器总共报告了数千个“Kerberos 预认证失败”每周的事件,其中IpAddress
字段是域控制器(但始终是不同的),字段TargetSid
是域行政人员EventData/Ipport
帐户。查看所有这些特定事件时,我还注意到 - 除随机字段和EventData/Ipaddress
始终为域控制器的字段外- 所有其他EventData
字段始终具有相同的值。
域控制器是全新的,并且行政人员不用于这些机器。不用于启动服务,不用于运行任务,不用于其他任何目的。我 99.99% 确定这不是一个被入侵的域控制器。我们的域控制器运行正常,dcdiag /q
没有报告任何问题。
我不明白发生了什么,需要帮助来理解这些特定事件以及报道这些事件的原因。以下是其中一个事件:
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
<System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-a5ba-3e3b0328c30d}'/>
<EventID>4771</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14339</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2020-11-23T14:52:18.851767600Z'/>
<EventRecordID>49462065</EventRecordID>
<Correlation/>
<Execution ProcessID='652' ThreadID='2348'/>
<Channel>Security</Channel>
<Computer>dc01.company.local</Computer>
<Security/>
</System>
<EventData>
<Data Name='TargetUserName'>Administrator</Data>
<Data Name='TargetSid'>S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxx-500</Data>
<Data Name='ServiceName'>krbtgt/COMPANY.LOCAL</Data>
<Data Name='TicketOptions'>0x40810010</Data>
<Data Name='Status'>0x18</Data>
<Data Name='PreAuthType'>2</Data>
<Data Name='IpAddress'>::ffff:10.12.22.11</Data>
<Data Name='IpPort'>53321</Data>
<Data Name='CertIssuerName'></Data>
<Data Name='CertSerialNumber'></Data>
<Data Name='CertThumbprint'></Data>
</EventData>
</Event>
答案1
这一页提供详细解释 4771 Kerberos 预身份验证失败事件的每个字段。
0x18 状态故障代码表示提供了错误的密码。IP 地址是该故障的根源。您应该查看故障事件源主机上的安全日志并查找事件 ID 4625 帐户登录失败管理员帐户的事件。此事件将为您提供识别生成登录失败的进程所需的信息。
您还应该考虑重命名 SID-500 管理员帐户。这可能会无意中停止 4771 事件,因为登录失败将不再映射到有效的域主体。我会非常认真地对待任何此类登录失败,直到它们得到适当的解释。祝你好运!