ID evento 4768
Active Directory Audit » ID evento 4768

Windows ID evento 4768 - È stato richiesto un ticket di autenticazione Kerberos

Introduzione

Un ID evento 4768 di Windows viene generato ogni volta che il centro di distribuzione delle chiavi (KDC) tenta di convalidare le credenziali.

Protocollo di autenticazione Kerberos
Figura 1. Protocollo di autenticazione Kerberos

ID evento 4768 (S) — Autenticazione riuscita

Quando le credenziali vengono convalidate correttamente, il controller di dominio salva l'ID evento con il codice del risultato pari a “0x0” ed emette un ticket-granting ticket (TGT) Kerberos (Figura 1, Passo 2).

ID evento 4768 (F) — Autenticazione non riuscita

Se la convalida delle credenziali fornite da parte del controller di dominio non riesce, l'ID evento 4768 viene salvato con un codice del risultato non “0x0”. (Vedi tutti i codici dei risultati.)

L'accesso non avviene finché non viene fornito un ticket di servizio, che viene controllato dall'ID evento 4769.

Nota: Viene salvato un ID evento 4768 in caso di tentativi di autenticazione mediante il protocollo di autenticazione Kerberos. Fai riferimento all'ID evento 4776 per i tentativi di autenticazione utilizzando l'autenticazione NTLM.

Figura 1. ID evento 4768 — Scheda Generale nelle Proprietà dell'evento.

ID evento 4768 — Scheda Generale nelle Proprietà dell'evento.

Figura 2. ID evento 4768 — Scheda Dettagli nelle Proprietà dell'evento.

ID evento 4768 — Scheda Dettagli nelle Proprietà dell'evento.

Descrizione dei campi degli eventi.

Nome dell'account: Nome dell'account per cui è stato richiesto un TGT.

Nota: Il nome dell’account del computer termina con $.

Esempio di account utente: mark
Esempio di account computer: WIN12R2$

Nome dell'area di autenticazione fornita: Nome dell'area di autenticazione Kerberos a cui appartiene il nome dell’account.

ID utente: Il SID dell'account che ha richiesto un TGT. Il visualizzatore eventi tenta automaticamente di risolvere i SID e visualizza il nome dell’account. Se non è possibile risolvere il SID, vengono visualizzati i dati di origine nell'evento. Per esempio, ADAPWS\mark o ADAPWS\WIN12R2$.

Nome del servizio: Nome del servizio nell'area di autenticazione Kerberos a cui è stata inviata la richiesta di TGT.

ID del servizio: SID del account di servizio nell'area di autenticazione Kerberos a cui è stata inviata la richiesta di TGT.

Indirizzo del client: L'indirizzo IP del computer da cui è stata ricevuta la richiesta di TGT.

Porta del client: Il numero di porta dell'origine di una connessione di rete del client. La porta del client è "0" per le richieste locali (localhost)

Informazioni sui certificati di smart card utilizzati durante l'accesso (se applicabili).

Nome dell'autorità emittente del certificato: Il nome dell'ente certificatore che ha emesso il certificato di smart card.

Numero di serie del certificato: Il numero di serie del certificato di smart card.

Impronta digitale del certificato: L'impronta digitale del certificato di smart card.

Motivi per effettuare il monitoraggio dell'ID evento 4768

  • Effettua il monitoraggio del campo dell’indirizzo del client per l'ID evento 4768 per tenere sotto controllo i tentativi di accesso dal di fuori del tuo intervallo di IP interni.
  • Effettua il monitoraggio alla ricerca dei casi in cui il codice del risultato è “0x6” (il nome utente non esiste). Se noti più eventi in un breve intervallo di tempo, potrebbe essere un indicatore di una enumerazione dell'account, attacchi basati su tentativi ripetuti o un attacco di password spraying, soprattutto nel caso di account critici.
  • Effettua il monitoraggio dell'ID evento 4768 alla ricerca di account con un ID di sicurezza corrispondente agli account di valore elevato, inclusi amministratori, amministratori locali integrati, amministratori di dominio e account di servizio.
  • Se un nome utente deve essere utilizzato solo con un elenco di indirizzi IP consentiti, puoi effettuare il monitoraggio del campo dell’indirizzo del client e attivare un avviso ogni volta che viene effettuato un tentativo di accesso con un nome utente che non fa parte dell'elenco degli elementi consentiti.
  • Se hai un elenco di account a cui è consentito effettuare direttamente l'accesso ai controller di dominio (invece che tramite un accesso di rete o una connessione di desktop remoto), devi effettuare il monitoraggio alla ricerca di indirizzi del client pari a “::1” per identificare le violazioni e i possibili intenti malevoli.
  • Effettua il monitoraggio in base a oggetto e nome dell’account in caso di nomi che non soddisfano le convenzioni di denominazione della tua azienda.
  • Effettua il monitoraggio alla ricerca account con un ID di sicurezza che corrisponde agli account che non devono mai essere utilizzati, inclusi quelli non attivi, disattivati e ospite.
  • Effettua il monitoraggio degli errori 0x3F, 0x40 e 0x41 per identificare più rapidamente i problemi relativi alle smart card mediante l'autenticazione Kerberos.
  • Effettua il monitoraggio di questo evento alla ricerca di un utilizzo dell'account al di fuori dell'orario lavorativo e rileva anomalie o possibili attività malevole.

La necessità di una soluzione di controllo:

Le soluzioni di controllo come ADAudit Plus offrono monitoraggio in tempo reale, analisi del comportamento di utenti ed entità e report; insieme, queste funzionalità aiutano a proteggere il tuo ambiente AD.

Monitoraggio continuo in tempo reale.

Sebbene tu possa allegare un'attività al registro di sicurezza e chiedere a Windows di inviarti un'e-mail, ricevi solo un'e-mail quando viene generato l'ID evento 4768. Windows non ha la funzionalità di applicare filtri più dettagliati che sono necessari per soddisfare i requisiti di sicurezza.

Per esempio, Windows può inviarti un'e-mail ogni volta che viene generato un ID evento 4776, ma non può inviarti una notifica solo in caso di tentativi da endpoint non autorizzati, tentativi al di fuori dell'orario lavorativo o tentativi da account scaduti, disabilitati o bloccati. Ottenere avvisi specifici riduce la possibilità di non accorgerti di modifiche critiche a causa dell'elevato numero di falsi positivi. Gli avvisi basati su soglie ti permettono di mantenere un perfetto controllo dei segnali di attività malevole all'interno del tuo ambiente.

Con uno strumento come ADAudit Plus, non solo puoi applicare filtri dettagliati per puntare l'attenzione sulle minacce reale, ma potrai anche ricevere una notifica in tempo reale tramite SMS.

Analisi del comportamento di entità e utenti (UEBA).

Usufruisci di analisi statistiche avanzate e di tecniche di apprendimento automatico per rilevare i comportamenti anomali all’interno della tua rete.

Report conformi.

Soddisfa vari standard di conformità come SOX, HIPAA, PCI, FISMA, GLBA e GDPR report di conformità pronti all'uso.

Davvero pronti all'uso e semplicissimi.

Scarica ADAudit Plus e inizia a ricevere gli avvisi in tempo reale dopo meno di 30 minuti. Grazie a oltre 200 avvisi e report preconfigurati, ADAudit Plus garantisce che la tua Active Directory sia protetta e conforme.

Scarica la tua prova gratuita