Das Windows-Ereignis 4769 wird jedes Mal erzeugt, wenn das KDC (Key Distribution Center) eine TGS-Ticketanfrage erhält (Kerberos Ticket Granting Service).
Abbildung 1. Kerberos-Authentifizierungsprotokoll
Nachdem der Client erfolgreich ein Ticket-Granting Ticket (TGT) vom KDC empfangen hat, wird das TGT gespeichert und mit dem SPN (Service Principal Name) der Ressource an das TGS gesendet, auf die der Client zugreifen möchte. TGTs bleiben einen bestimmten Zeitraum lang gültig.
Ereignis 4769 (S) – Ein Kerberos Ticket Granting Service (TGS) wurde erfolgreich angefordert
Das KDC bestätigt das TGT des Benutzers, bevor das TGS einen gültigen Sitzungsschlüssel für den Service an den Client sendet. Ereignis 4769 wird mit dem Ergebniscode gleich „0x0“ verzeichnet, wenn Service-Ticket und Sitzungsschlüssel gewährt wurden.
Ereignis 4769 (F) – Anforderung eines Kerberos Ticket Granting Service (TGS) ist fehlgeschlagen
Wenn die TGS-Ausgabe fehlschlägt, wird das gleiche Ereignis 4769 protokolliert, aber mit dem Ergebniscode ungleich „0x0“. (Alle Ergebniscodes anzeigen.)
Ereignis 4768 wird jedes Mal erzeugt, wenn das KDC versucht, Zugangsdaten zu bestätigen.
Ereignis 4776 gibt einen Authentifizierungsversuch über NTML an.
Abbildung 1. Ereignis 4769 – Registerkarte „Allgemein“ unter Ereignis-Eigenschaften.
Abbildung 2. Ereignis 4769 – Registerkarte „Details“ unter Ereignis-Eigenschaften.
Kontoname: Der UPN (User Principal Name) des Kontos, welches das Service-Ticket angefordert hat.
Hinweis:
Hinweis: Computer-Kontonamen enden in einem UPN mit einem $. Das Feld „Kontoname“ hat für gewöhnlich dieses Format: user_account_name@FULL\_DOMAIN\_NAME.
Beispiel für ein Benutzerkonto: mark@ADAP.WORKSHOP.COM
Beispiel für ein Computerkonto: WIN12R2$@ADAP.WORKSHOP.COM
Kontodomäne: Der Name des Kerberos-Realms, zu dem der Kontoname gehört.
Anmeldungs-GUID: Ein globaler eindeutiger Identifikator (GUID) ist eine 128-Bit-Ganzzahl, mit der Ressourcen, Aktivitäten oder Instanzen identifiziert werden. Die Anmeldungs-GUID kann Ihnen dabei helfen, Ereignis 4769 mit anderen Ereignissen zu korrelieren, welche die gleiche Anmeldungs-GUID enthalten. Zu diesen Ereignissen gehören 4624, 4648(S) und 4964(S).
Service-Name: Der Name des Service in dem Kerberos-Realm, für den das TGS-Ticket angefragt wurde.
Service-ID: Die SID für das Service-Konto in dem Kerberos-Realm, für welches das TGS-Ticket angefragt wurde.
Client-Adresse: Die IP-Adresse des Computers, von dem die TGS-Anfrage eingegangen ist.
Client-Port: Die Quell-Portnummer der Client-Netzwerk-Verbindung (TGS-Anfrage). Der Client-Port ist „0“ für lokale (LocalHost-)Anfragen.
Ticketoptionen: Ein Satz verschiedener Ticket-Markierungen im Hexadezimal-Format.
Zu den häufigsten Werten gehören:
0x40810010 — Weiterleitbar, Erneuerbar, Kanonisierbar, Erneuerbar-OK
0x40810000 — Weiterleitbar, Erneuerbar, Kanonisierbar
0x60810010 — Weiterleitbar, Weitergeleitet, Erneuerbar, Kanonisierbar, Erneuerbar-OK
Ticket-Verschlüsselungstyp: Die kryptografische Suite, die zur Verschlüsselung des ausgegebenen TGS verwendet wurde.
| Typ | Typname | Beschreibung |
|---|---|---|
| 0x1 | DES-CBC-CRC | Ab Windows 7 und ab Windows Server 2008 R2 standardmäßig deaktiviert. |
| 0x3 | DES-CBC-MD5 | Ab Windows 7 und ab Windows Server 2008 R2 standardmäßig deaktiviert. |
| 0x11 | AES128-CTS-HMAC-SHA1-96 | Unterstützt ab Windows Server 2008 bzw. ab Windows Vista. |
| 0x12 | AES256-CTS-HMAC-SHA1-96 | Unterstützt ab Windows Server 2008 bzw. ab Windows Vista. |
| 0x17 | RC4-HMAC | Standard-Suite für Betriebssysteme vor Windows Server 2008 bzw. vor Windows Vista. |
| 0x18 | RC4-HMAC-EXP | Standard-Suite für Betriebssysteme vor Windows Server 2008 bzw. vor Windows Vista. |
| 0xFFFFFFFF or 0xffffffff | - | Dieser Typ wird beim Ereignis „Audit-Fehler“ angezeigt. |
Fehlercode: Dieser Satz an verschiedenen Fehlercodes wird im Hexadezimal-Format angezeigt. Die Ergebniscodes finden Sie in dieser Tabelle:
Unter RFC1510 finden Sie mehr dazu.
| Code | Codename | Beschreibung | Mögliche Ursachen |
|---|---|---|---|
| 0x0 | KDC_ERR_NONE | Kein Fehler | Keine Fehler gefunden. |
| 0x1 | KDC_ERR_NAME_EXP | Einträge des Clients in der KDC-Datenbank abgelaufen | Keine Informationen. |
| 0x2 | KDC_ERR_SERVICE_EXP | Eintrag des Servers in der KDC-Datenbank abgelaufen | Keine Informationen. |
| 0x3 | KDC_ERR_BAD_PVNO | Angefragte Kerberos-Versionsnummer nicht unterstützt | Keine Informationen. |
| 0x4 | KDC_ERR_C_OLD_MAST_KVNO | Client-Schlüssel in altem Master-Schlüssel verschlüsselt | Keine Informationen. |
| 0x5 | KDC_ERR_S_OLD_MAST_KVNO | Server-Schlüssel in altem Master-Schlüssel verschlüsselt | Keine Informationen. |
| 0x6 | KDC_ERR_C_PRINCIPAL_UNKNOWN | Client in der Kerberos-Datenbank nicht gefunden | Diesen Benutzernamen gibt es nicht. |
| 0x7 | KDC_ERR_S_PRINCIPAL_UNKNOWN | Server in der Kerberos-Datenbank nicht gefunden | Der Domänencontroller kann den Servernamen in Active Directory nicht finden. |
| 0x8 | KDC_ERR_PRINCIPAL_NOT_UNIQUE | Mehrere Prinzipal-Einträge in der KDC-Datenbank |
Es sind doppelte Prinzipal-Namen vorhanden. Eindeutige Prinzipal-Namen sind von entscheidender Bedeutung, um die gegenseitige Authentifizierung sicherzustellen. Daher ist die Duplizierung von Prinzipal-Namen streng verboten, sogar über mehrere Realms hinweg. Ohne eindeutige Prinzipal-Namen kann der Client nicht sicherstellen, dass der Server mit der richtigen Stelle kommuniziert |
| 0x9 | KDC_ERR_NULL_KEY | Der Client oder Server hat einen Null-Schlüssel (Master-Schlüssel) | Für den Client oder Server wurde kein Master-Schlüssel gefunden. Das bedeutet für gewöhnlich, dass der Administrator das Passwort für das Konto zurücksetzen sollte. |
| 0xA | KDC_ERR_CANNOT_POSTDATE | Ticket (TGT) für Nachdatierung nicht zulässig | Ein Client hat die Nachdatierung eines Kerberos-Tickets angefragt (dabei wird die Startzeit des Tickets auf ein Datum bzw. eine Uhrzeit in der Zukunft festgelegt). Alternativ besteht ein Zeitunterschied zwischen Client und KDC. |
| 0xB | KDC_ERR_NEVER_VALID | Die angefragte Startzeit liegt nach der Endzeit | Es gibt einen Zeitunterschied zwischen KDC und dem Client. |
| 0xC | KDC_ERR_POLICY | Die angefragte Startzeit liegt nach der Endzeit | Es sind Anmeldungsbeschränkungen für das Konto des Benutzers vorhanden, z. B. eine Workstation-Beschränkung, die Verpflichtung zur Authentifizierung per Smartcard oder eine Einschränkung der Anmeldungszeit. |
| 0xD | KDC_ERR_BADOPTION | KDC kann angefragte Option nicht erfüllen | Entweder ist das TGT kurz davor, abzulaufen, oder der Client versucht, Zugangsdaten an einen SPN zu delegieren, der nicht auf der weißen Liste für die Delegierung steht. |
| 0xE | KDC_ERR_ETYPE_NOTSUPP | KDC unterstützt diesen Verschlüsselungstyp nicht | Das KDC bzw. der Client haben ein Paket erhalten, das nicht entschlüsselt werden kann. |
| 0xF | KDC_ERR_SUMTYPE_NOSUPP | KDC unterstützt diesen CheckSum-Typ nicht | KDC, Server oder Client haben ein Paker erhalten, für das kein passender Schlüssel vorhanden ist; das Ticket kann also nicht entschlüsselt werden. |
| 0x10 | KDC_ERR_PADATA_TYPE_NOSUPP | KDC bietet keine Unterstützung für den Typ PADATA (Daten der Vorauthentifizierung) |
Dieser Fehlercode tritt in Ereignis 4768 nicht auf, aber in Ereignis 4771 |
| 0x11 | KDC_ERR_TRTYPE_NO_SUPP | KDC unterstützt den Übertragungstyp nicht | Keine Informationen. |
| 0x12 | KDC_ERR_CLIENT_REVOKED | Client-Zugangsdaten wurden aufgehoben | Vielleicht gelten explizite Beschränkungen für das Konto, oder es wurde möglicherweise deaktiviert, ist abgelaufen oder wurde gesperrt. |
| 0x13 | KDC_ERR_SERVICE_REVOKED | Zugangsdaten für den Server wurden aufgehoben | Keine Informationen. |
| 0x14 | KDC_ERR_TGT_REVOKED | TGT wurde aufgehoben |
Da das Remote-KDC ggf. den PKCROSS-Schlüssel ändern kann, während noch PKCROSS-Tickets aktiv sind, sollten die alten PKCROSS-Schlüssel zwischengespeichert werden, bis das zuletzt ausgegebene PKCROSS-Ticket abläuft. Andernfalls gibt das Remote-KDC dem Client einen Fehlercode zurück. Unter RFC1510 finden Sie mehr dazu. |
| 0x15 | KDC_ERR_CLIENT_NOTYET | Client noch nicht gültig – versuchen Sie es später erneut | Keine Informationen. |
| 0x16 | KDC_ERR_SERVICE_NOTYET | Server noch nicht gültig – versuchen Sie es später erneut | Keine Informationen. |
| 0x17 | KDC_ERR_KEY_EXPIRED | Passwort ist abgelaufen – Passwort zum zurücksetzen ändern |
Das Passwort des Benutzers ist abgelaufen. Dieser Fehlercode tritt in Ereignis 4768 nicht auf, aber in Ereignis 4771. |
| 0x18 | KDC_ERR_PREAUTH_FAILED | Informationen der Vorauthentifizierung sind ungültig |
Ein falsches Passwort wurde angegeben. Dieser Fehlercode tritt in Ereignis 4768 nicht auf, aber in Ereignis 4771. |
| 0x19 | KDC_ERR_PREAUTH_REQUIRED | Zusätzliche Vorauthentifizierung erforderlich |
Tritt oft in UNIX-Interoperabilitätsszenarien auf. MIT-Kerberos-Clients fragen keine Vorauthentifizierung an, wenn sie eine KRB_AS_REQ-Mitteilung versenden. Wenn die Vorauthentifizierung erforderlich ist (Standardeinstellung) geben Windows-Systeme diesen Fehler zurück. Die meisten MIT-Kerberos-Clients reagieren darauf, indem Sie die Vorauthentifizierung bereitstellen; in diesem Fall kann der Fehler ignoriert werden |
| 0x1A | KDC_ERR_SERVER_NOMATCH | KDC ist der angefragte Server nicht bekannt | Keine Informationen. |
| 0x1B | KDC_ERR_SVC_UNAVAILABLE | KDC ist nicht verfügbar | Keine Informationen. |
| 0x1F | KRB_AP_ERR_BAD_INTEGRITY | Integritätsprüfung für entschlüsseltes Feld fehlgeschlagen |
Der Authentifikator wurde mit etwas anderem als dem Sitzungsschlüssel verschlüsselt, weshalb der Client die resultierende Mitteilung nicht entschlüsseln kann. Die Änderung der Mitteilung kann auf einen Angriff oder auf Netzwerkrauschen zurückzuführen sein. |
| 0x20 | KRB_AP_ERR_TKT_EXPIRED | Ticket ist abgelaufen |
Je kleiner der Wert für die maximale Lebensdauer von Benutzertickets in den Kerberos-Richtlinieneinstellungen, desto wahrscheinlicher tritt dieser Fehler auf.. Da Tickets automatisch erneuert werden, müssen Sie eigentlich nichts tun, wenn Sie diese Mitteilung erhalten. |
| 0x21 | KRB_AP_ERR_TKT_NYV | Das Zertifikat ist noch nicht gültig |
Die Uhren an KDC und Client sind nicht synchronisiert. Beim Versuch der Realm-übergreifenden Kerberos-Authentifizierung sollten Sie die Zeit des KDC im Ziel-Realm mit der Zeit des KDC im Client-Realm synchronisieren. |
| 0x22 | KRB_AP_ERR_REPEAT | Die Anfrage ist ein Replay | Ein bestimmter Authentifikator tritt doppelt auf; in anderen Worten hat das KDC festgestellt, dass dieses Sitzungsticket ein Duplikat eines bereits empfangenen Tickets ist. |
| 0x23 | KRB_AP_ERR_NOT_US | Das Ticket ist nicht für uns | Der Server hat ein Ticket empfangen, das für einen anderen Realm bestimmt war. |
| 0x24 | KRB_AP_ERR_BADMATCH | Ticket und Authentifikator stimmen nicht überein |
|
| 0x25 | KRB_AP_ERR_SKEW | Die Abweichung der Uhr ist zu groß | Ein Client-Computer hat einen Zeitstempel gesendet, dessen Wert stärker vom Zeitstempel des Servers abweicht, als von der maximalen Toleranz der Computer-Uhrzeit-Synchronisierung Kerberos-Richtlinie gestattet. |
| 0x26 | KRB_AP_ERR_BADADDR | Netzwerkadresse im Netzwerk-Layer-Header stimmt nicht mit der Adresse im Ticket überein |
|
| 0x28 | KRB_AP_ERR_BADVERSION | Protokoll-Versionsnummern stimmen nicht überein (PVNO) | Eine Anwendung prüft die Mitteilung KRB_SAFE, um zu bestätigen, dass Protokollversion und Typenfelder jeweils mit der aktuellen Version und mit KRB_SAFE übereinstimmen. Bei fehlender Übereinstimmung wird dieser Fehlercode ausgegeben. |
| 0x28 | KRB_AP_ERR_MSG_TYPE | Mitteilungstyp wird nicht unterstützt |
|
| 0x29 | KRB_AP_ERR_MODIFIED | Mitteilungsstrom wurde modifiziert und Checksum stimmt nicht überein |
|
| 0x2A | KRB_AP_ERR_BADORDER | Nicht ordnungsgemäße Mitteilung (Manipulation möglich) |
Dieses Ereignis wird für die Mitteilungen KRB_SAFE und KRB_PRIV erstellt, wenn eine falsche Sequenznummer eingeschlossen wird, oder wenn eine Sequenznummer erwartet wird aber nicht vorhanden ist. Unter RFC4120 finden Sie mehr dazu. |
| 0x2C | KRB_AP_ERR_BADKEYVER | Angegebene Version des Schlüssels ist nicht verfügbar | Der Server kann die im Ticket unter KRB-AP-REQ angegebene Schlüsselversion nicht verwenden (z. B. weil ein alter Schlüssel verwendet wird, zu dem der Server keine Kopie hat). |
| 0x2D | KRB_AP_ERR_NOKEY | Service-Schlüssel nicht verfügbar |
Der Server verfügt nicht über den richtigen Schlüssel, um das Ticket zu entschlüsseln. Da der Server in mehreren Realms und mit unterschiedlichen Schlüsseln in jedem Realm registriert sein kann, wird das Realm-Feld im unverschlüsselten Teil des Tickets unter KRB_AP_REQ verwendet, um anzugeben, mit welchem Geheimschlüssel der Server das Ticket entschlüsseln soll |
| 0x2E | KRB_AP_ERR_MUT_FAIL | Gegenseitige Authentifizierung fehlgeschlagen | Keine Informationen. |
| 0x2F | KRB_AP_ERR_BADDIRECTION | Falsche Mitteilungsrichtung | Keine Informationen. |
| 0x30 | KRB_AP_ERR_METHOD | Alternative Authentifizierungsmethode erforderlich | Gemäß RFC4120 ist diese Fehlermeldung veraltet. |
| 0x31 | KRB_AP_ERR_BADSEQ | Falsche Sequenznummer in der Mitteilung | Keine Informationen. |
| 0x32 | KRB_AP_ERR_INAPP_CKSUM | Unangemessener Checksum-Typ in der Mitteilung (Checksum wird ggf. nicht unterstützt) | Wenn das KDC eine Mitteilung vom Typ KRB_TGS_REQ empfängt, wird diese entschlüsselt. Danach muss die vom Benutzer bereitgestellte Checksum im Authentifikator mit dem Inhalt der Anfrage abgeglichen werden. Die Mitteilung wird zurückgewiesen, wenn die Checksums nicht übereinstimmen (mit dem Fehlercode KRB_AP_ERR_MODIFIED), oder wenn die Checksum nicht kollisionssicher ist (mit dem Fehlercode KRB_AP_ERR_INAPP_CKSUM). |
| 0x33 | KRB_AP_PATH_NOT_ACCEPTED | Gewünschter Pfad nicht erreichbar | Keine Informationen. |
| 0x34 | KRB_ERR_RESPONSE_TOO_BIG | Zu viele Daten |
Das Ticket ist zu groß, um verlässlich per UDP übertragen zu werden. In einer Windows-Umgebung dient diese Mitteilung nur Informationszwecken. Ein Windows-Computer versucht es automatisch mit TCP, wenn UDP fehlschlägt. |
| 0x3C | KRB_ERR_GENERIC | Generischer Fehler |
|
| 0x3D | KRB_ERR_FIELD_TOOLONG | Feld ist zu lang zur Implementierung |
Manchmal erhält ein KDC eine Anfrage mit einem Bit hoher Rangfolge des Längensatzes und versteht nicht, wie dieses interpretiert werden soll. In diesem Fall wird die Mitteilung KRB-ERROR mit dem Fehler KRB_ERR_FIELD_TOOLONG zurückgegeben und der TCP-Stream wird geschlossen Jeder über den TCP-Stream gesendeten Anfrage (KRB_KDC_REQ) und Reaktion (KRB_KDC_REP oder KRB_ERROR) geht die Länge der Anfrage in Form von vier 8-Bit-Zeichen in der Netzwerk-Bit-Rangfolge voraus. Das hohe Bit der Länge ist für die zukünftige Expansion reserviert und muss derzeit auf Null gesetzt werden. |
| 0x3E | KDC_ERR_CLIENT_NOT_TRUSTED | Client-Vertrauen ist fehlgeschlagen oder wurde nicht implementiert |
|
| 0x3F | KDC_ERR_KDC_NOT_TRUSTED | KDC-Server-Vertrauen ist fehlgeschlagen oder konnte nicht bestätigt werden |
Das Feld trustedCertifiers enthält eine Liste der für den Client vertrauenswürdigen CAs, nur für den Fall, dass dem Client das öffentliche Schlüssel-Zertifikat vom KDC fehlt. Wenn das KDC nicht über ein von einem beliebigen trustedCertifiers signiertes Zertifikat verfügt, wird dieser Fehlercode zurückgegeben. |
| 0x40 | KDC_ERR_INVALID_SIG | Die Signatur ist ungültig | Der Fehler hängt mit PKINIT zusammen. Wenn eine PKI-Vertrauensbeziehung besteht, bestätigt das KDC die Signatur des Clients mit dem AuthPack (TGT-Anfrage-Signatur). Wenn das fehlschlägt, gibt das KDC diesen Fehlercode zurück. |
| 0x41 | KDC_ERR_KEY_TOO_WEAK | Eine hohe Verschlüsselungsebene ist erforderlich | Das Feld clientPublicValue wird ausgefüllt, wenn der Client die Diffie-Hellman-Schlüsselvereinbarung wünscht. In diesem Fall prüft das KDC, ob die Parameter dieser Richtlinie gerecht werden. Falls nicht gibt das KDC diesen Fehlercode zurück (z. B., wenn die primäre Größe dem erwarteten Verschlüsselungstyp nicht genügt). |
| 0x42 | KRB_AP_ERR_USER_TO_USER_REQUIRED | Benutzer-zu-Benutzer-Authentifizierung ist erforderlich | Der Client hat keine Kenntnis davon, dass ein Service die Benutzer-zu-Benutzer-Authentifizierung , erfordert. Daher wird vom Client eine konventionelle KRB_AP_REP angefragt, empfangen und an den Server weitergeleitet, der daraufhin diesen Fehlercode ausgibt. |
| 0x43 | KRB_AP_ERR_NO_TGT | Kein TGT präsentiert oder verfügbar | Der Service verfügt über kein TGT zur Benutzer-zu-Benutzer-Authentifizierung. |
| 0x44 | KDC_ERR_WRONG_REALM | Falsche Domäne oder falscher Prinzipal |
Der Client hat ein Realm-übergreifendes TGT an einen Realm geschickt, der von den Angaben im TGT abweicht. Dieser Fehler tritt nur selten auf, typischerweise aufgrund eines falsch konfigurierten DNS. |
Übertragene Services: Dieses Feld listet alle SPNs auf, die Angefragt wurden, falls die Kerberos-Delegierung verwendet wurde.
Audit-Lösungen wie ADAudit Plus bietet Echtzeitüberwachung, Verhaltensanalyse von Benutzern und Entitäten, und Berichte. Zusammengenommen gewährleisten diese Funktionen den Schutz Ihrer AD-Umgebung.
Es besteht die Möglichkeit, dem Sicherheitsprotokoll eine Aufgabe anzuhängen, und sich von Windows per E-Mail benachrichtigen zu lassen – das geht aber nur jedes Mal, wenn Ereignis 4769 erzeugt wird. Sie können unter Windows also nicht die notwendigen feinkörnigeren Filter anwenden, um die Sicherheitsempfehlungen einzuhalten
Mit einem Tool wie ADAudit Plus können Sie nicht nur feinkörnige Filter anwenden, um sich auf die echten Bedrohungen zu konzentrieren, sondern sich auch in Echtzeit per SMS benachrichtigen lassen.
Nutzen Sie fortschrittliche statistische Analysen und maschinelle Lerntechniken zur Erkennung anormalen Verhaltens in Ihrem Netzwerk.
Sorgen Sie mit direkt einsatzbereiten Berichten für die Erfüllung von Compliance-Standards, wie SOX, HIPAA, PCI, FISMA, GLBA und der DSGVO.
Wenn Sie ADAudit Plus herunterladen, können Sie sich bereits 30 Minuten später in Echtzeit benachrichtigen lassen. Mit mehr als 200 vorkonfigurierten Berichten und Warnungen sorgt ADAudit Plus in Ihrem Active Directory für Sicherheit und Compliance.