Abbiamo un account di dominio bloccato da 1 su 2 server. Il controllo integrato ci dice solo molto (bloccato da SERVER1, SERVER2).

L'account viene bloccato entro 5 minuti, a quanto pare circa 1 richiesta al minuto.

Inizialmente ho provato a eseguire procmon (da sysinternals) per vedere se venivano generati nuovi PROCESS START dopo aver sbloccato l'account. Non emerge nulla di sospetto. Dopo aver eseguito ProcMon sulla mia workstation ed elevando ad un UAC shell (conscent.exe) sembra che dalla pila che ntdll.dlle rpct4.dllvengono chiamati quando si tenta di autenticarsi verso dC (non sono sicuro).

Esiste un modo per restringere il processo che sta causando una richiesta di autenticazione al nostro controller di dominio? È sempre lo stesso controller di dominio, quindi sappiamo che deve essere un server in quel sito. Potrei provare a cercare le chiamate in WireShark, ma non sono sicuro che restringerebbe il processo che lo sta effettivamente attivando.

Nessun servizio, mapping di unità o attività pianificate sta utilizzando quell'account di dominio, quindi deve essere qualcosa in cui sono memorizzati i crediti di dominio. Non ci sono sessioni RDP aperte con quell'account di dominio su nessun server (abbiamo controllato).

Ulteriori note

Sì, i controlli di accesso "Success / Failure" sono abilitati sul controller di dominio in questione - non vengono registrati eventi di errore fino a quando l'account non viene effettivamente bloccato.

Ulteriori ricerche mostrano che LSASS.exeeffettua una KERBEROSchiamata al DC in questione una volta sbloccato l'account. È preceduto (generalmente) da Java che sembra essere chiamato da vpxd.exequale è un processo vCenter. MA, quando guardo l'altro "server2" da cui può verificarsi (anche) il blocco dell'account, non vedo mai una chiamata lsass.exee vengono generati solo processi apache. L'unica relazione tra loro è che SERVER2 fa parte del cluster vSphere di SERVER1 (il server1 è un sistema operativo vSphere).

Errore su DC

Quindi, sembra che tutto ciò che mi verrà detto da AD è che si tratta di un errore Kerberos pre-autorizzazione. Ho controllato e non c'erano biglietti con kliste ho fatto comunque un flush per ogni evenienza. Non ho ancora idea di cosa stia causando questo errore Kerberos.

Index              : 202500597
EntryType          : FailureAudit
InstanceId         : 4771
Message            : Kerberos pre-authentication failed.

                     Account Information:
                         Security ID:        S-1-5-21-3381590919-2827822839-3002869273-5848
                         Account Name:        USER

                     Service Information:
                         Service Name:        krbtgt/DOMAIN

                     Network Information:
                         Client Address:        ::ffff:x.x.x.x
                         Client Port:        61450

                     Additional Information:
                         Ticket Options:        0x40810010
                         Failure Code:        0x18
                         Pre-Authentication Type:    2

                     Certificate Information:
                         Certificate Issuer Name:
                         Certificate Serial Number:
                         Certificate Thumbprint:

                     Certificate information is only provided if a certificate was used for pre-authentication.

                     Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

                     If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
                      in this event might not be present.

Gli eventi di accesso registrano il processo che sta tentando l'accesso. Abilitare il controllo di accesso non riuscito (Impostazioni sicurezza> Criteri locali> Politica di controllo> Controlla eventi di accesso) nella Politica di sicurezza locale (secpol.msc), quindi cercare un evento nel registro eventi di sicurezza. Puoi anche abilitarlo tramite Criteri di gruppo, se preferibile.

Ci sarà una sezione Informazioni processo che registra sia il percorso eseguibile che l'ID processo.

Esempio:

Process Information:
    Process ID:         0x2a4
    Process Name:       C:\Windows\System32\services.exe

Ho trovato questa vecchia domanda durante la ricerca di un problema diverso, ma per chiunque abbia un problema simile:

Il codice di errore 0x18 indica che l'account era già disabilitato o bloccato quando il client ha tentato di autenticarsi.

È necessario trovare lo stesso ID evento con codice errore 0x24 , che identificherà i tentativi di accesso non riusciti che hanno causato il blocco dell'account. (Ciò presuppone che si stia verificando a causa di una password memorizzata nella cache errata da qualche parte.)

È quindi possibile guardare l'indirizzo client su quegli eventi per vedere quale sistema sta passando le credenziali errate. Da lì, dovresti capire se si tratta di un servizio con una vecchia password, un'unità di rete mappata, ecc.

Esistono numerosi codici di errore, quindi dovresti cercare qualsiasi cosa oltre a 0x18 per determinare cosa ha causato il blocco dell'account se non ci sono eventi con codici 0x24. Credo che l'unico tipo di errore che porterà a un blocco sia 0x24 (password errata), ma potrei sbagliarmi.

Kerberos 0x18 è davvero un tentativo di password errata.

Kerberos 0x12 è l'account disabilitato, scaduto, bloccato o limitazione delle ore di accesso.

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4771

Ho trascorso molto tempo oggi e scoprire la causa principale. Ho sbagliato strada - dalle informazioni acquisite con lo sniffer di rete (ID processo errore Kerberos era 566 = lsass.exe). Vorrei riassumere le informazioni.

1. Accedere al PC problematico, eseguire PowerShell con diritti elevati

2. Abilita accesso di controllo

   auditpol /set /subcategory:"logon" /failure:enable

3. Controlla la fonte

   Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl

Se tu vedi:

Informazioni sul processo:

ID processo chiamante: 0x140

Nome processo chiamante: C: \ Windows \ System32 \ services.exe

Significa che hai un servizio in esecuzione dall'account problematico con la vecchia password

Questo è dalle note sopra. Sembra che l'iniziatore di questo post dichiarato sul suo ultimo commento. Java chiama il processo vpxd.exe.

Ulteriori note Sì, i controlli di accesso "Success / Failure" sono abilitati sul controller di dominio in questione - non vengono registrati eventi di errore fino a quando l'account non viene effettivamente bloccato.

Ulteriori ricerche mostrano che LSASS.exe effettua una chiamata KERBEROS al controller di dominio in questione una volta sbloccato l'account. È preceduto (generalmente) da Java che sembra essere chiamato da vpxd.exe che è un processo vCenter. MA, quando guardo l'altro "server2" da cui può verificarsi (anche) il blocco dell'account, non vedo mai una chiamata a lsass.exe e vengono generati solo processi apache. L'unica relazione tra loro è che SERVER2 fa parte del cluster vSphere di SERVER1 (il server1 è un sistema operativo vSphere).