Rastrear qual processo / programa está causando erro de pré-autenticação Kerberos (código 0x18)

9

Temos uma conta de domínio que está sendo bloqueada por meio de um dos dois servidores. A auditoria interna apenas nos diz isso (bloqueada de SERVER1, SERVER2).

A conta é bloqueada em 5 minutos, aproximadamente 1 solicitação por minuto.

Eu inicialmente tentei executar o procmon (do sysinternals) para ver se algum novo PROCESS START estava sendo gerado depois que eu desbloqueiei a conta. Nada suspeito surge. Depois de executar o procmon na minha estação de trabalho e elevar para um shell do UAC (conscent.exe), parece que da pilha que ntdll.dll e rpct4.dll são chamados quando você tenta autenticar no AD (não tenho certeza).

Existe alguma maneira de restringir qual processo está causando uma solicitação de autenticação ao nosso DC? É sempre o mesmo DC, então sabemos que deve ser um servidor no site. Eu poderia tentar procurar as chamadas em wireshark, mas não tenho certeza se isso iria diminuir o processo que está realmente provocando isso.

Nenhum serviço, mapeamento de unidade ou tarefas agendadas está usando essa conta de domínio - por isso, deve ser algo que tenha as credenciais de domínio armazenadas. Não há sessões RDP abertas com essa conta de domínio em nenhum servidor (nós verificamos).

Mais notas

Sim, as auditorias de logon "êxito / falha" estão ativadas no controlador de domínio em questão - nenhum evento de falha é registrado até que a conta seja realmente bloqueada.

Outras pesquisas mostram que LSASS.exe faz uma chamada de KERBEROS para o DC em questão quando a conta é desbloqueada. Ele é precedido (geralmente) por java, que parece ser chamado por vpxd.exe , que é um processo do vCenter. MAS, quando eu olho para o outro "server2" onde o bloqueio da conta pode (também) acontecer, eu nunca vejo uma chamada para lsass.exe e somente os processos do apache estão sendo gerados. A única relação que os dois têm é que o SERVER2 faz parte do cluster do vSphere do SERVER1 (o server1 é um sistema operacional do vSphere).

Erro no DC

Portanto, parece que tudo o que me será dito pela AD é que é um erro de Kerberos anterior à autenticação. Eu verifiquei e não houve bilhetes com klist e fiz um flush de qualquer maneira apenas no caso. Ainda não tenho idéia do que está causando este erro do kerberos.

Index              : 202500597
EntryType          : FailureAudit
InstanceId         : 4771
Message            : Kerberos pre-authentication failed.

                     Account Information:
                         Security ID:        S-1-5-21-3381590919-2827822839-3002869273-5848
                         Account Name:        USER

                     Service Information:
                         Service Name:        krbtgt/DOMAIN

                     Network Information:
                         Client Address:        ::ffff:x.x.x.x
                         Client Port:        61450

                     Additional Information:
                         Ticket Options:        0x40810010
                         Failure Code:        0x18
                         Pre-Authentication Type:    2

                     Certificate Information:
                         Certificate Issuer Name:
                         Certificate Serial Number:
                         Certificate Thumbprint:

                     Certificate information is only provided if a certificate was used for pre-authentication.

                     Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

                     If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
                      in this event might not be present.
    
por Jaigene Kang 08.08.2013 / 01:00

5 respostas

4

Os eventos de logon registram o processo de tentativa de logon. Habilite a auditoria de logon com falha (Configurações de segurança > Políticas locais > Política de auditoria > Eventos de logon de auditoria) na Política de segurança local (secpol.msc) e procure no log de eventos de segurança um evento. Você também pode ativá-lo via Política de Grupo, se isso for preferível.

Haverá uma seção Informações do processo, que registra o caminho do executável e o ID do processo.

Exemplo:

Process Information:
    Process ID:         0x2a4
    Process Name:       C:\Windows\System32\services.exe
    
por 08.08.2013 / 02:00
1

Encontrei essa pergunta antiga ao pesquisar um problema diferente, mas para qualquer pessoa com um problema semelhante:

O código de falha 0x18 significa que a conta já estava desabilitada ou bloqueada quando o cliente tentou autenticar.

Você precisa encontrar o mesmo ID de evento com código de falha 0x24 , que identificará as tentativas de login com falha que fizeram com que a conta fosse bloqueada. (Isto assume que está ocorrendo por causa de uma senha com cache ruim em algum lugar.)

Você pode então examinar o endereço do cliente nesses eventos para ver qual sistema está passando as credenciais ruins. De lá, você teria que descobrir se é um serviço com uma senha antiga, uma unidade de rede mapeada, etc.

Existe uma variedade de códigos de falha, então você deve procurar por qualquer coisa além do 0x18 para determinar o que causou o bloqueio da conta se não houver eventos com códigos 0x24. Acredito que o único tipo de falha que levará a um bloqueio é 0x24 (senha incorreta), mas posso estar errado.

    
por 16.03.2018 / 19:40
0

Isso é de notas acima. Parece que o iniciador deste post afirmou em seu último comentário. Java chamando o processo vpxd.exe.

Mais notas Sim, as auditorias de logon "êxito / falha" estão ativadas no controlador de domínio em questão - nenhum evento de falha é registrado até que a conta seja realmente bloqueada.

Mais escavações mostram que o LSASS.exe faz uma chamada KERBEROS para o DC em questão quando a conta é desbloqueada. É precedido (geralmente) pelo java que parece ser chamado por vpxd.exe que é um processo do vCenter. MAS, quando eu olho para o outro "server2" onde o bloqueio da conta pode (também) acontecer, eu nunca vejo uma chamada para o lsass.exe e somente os processos do apache estão sendo gerados. A única relação que os dois têm é que o SERVER2 faz parte do cluster do vSphere do SERVER1 (o server1 é um sistema operacional do vSphere).

    
por 13.05.2016 / 23:47
0

Eu gasto muito tempo hoje e descubro a causa raiz. Eu fui errado caminho - de informações capturadas com sniffer de rede (id de processo de erro kerberos foi 566 = lsass.exe). Deixe-me resumir a informação.

  1. Faça logon no PC com problema, execute o powershell com direitos elevados

  2. Ativar logon de auditoria

    auditpol /set /subcategory:"logon" /failure:enable

  3. Verifique a fonte

    Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl

Se você ver:

Process Information:

Caller Process ID: 0x140

Caller Process Name: C:\Windows\System32\services.exe

Isso significa que você tem algum serviço em execução na conta do problema com a senha antiga

    
por 07.03.2017 / 19:26
0

O Kerberos 0x18 é, de fato, uma tentativa incorreta de senha.

O Kerberos 0x12 está com a conta desabilitada, expirada, bloqueada ou com restrições de horário de logon.

link

    
por 09.04.2018 / 16:35