有时我们会收到通知,提示某个帐户触发了太多次失败的 Kerberos 预身份验证尝试。
此事件包含用户名和源计算机。以下是示例:
Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-18748694-320865252-1848988061-49003
Account Name: <account name>
Service Information:
Service Name: krbtgt/<domain>
Network Information:
Client Address: ::ffff:<ip address>
Client Port: 60938
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
“附加信息”翻译为人类可读的格式:
票证选项:0x40810010 => 可转发、可更新、规范化、可更新-ok
失败代码:0x18 => KDC_ERR_PREAUTH_FAILED | 预认证信息无效 | 提供了错误的密码。
预身份验证类型:2 => PA-ENC-TIMESTAMP | 此类型对于标准密码身份验证来说是正常的。
这些事件快速连续发生(每秒 50+ 次)。
是否有可能找到事件的来源,例如软件/脚本/服务/...?如果可以,该过程会是什么样子?