Kerberos verificatiegebeurtenissen in Active Directory controleren

Start uw gratis proefperiode

Kerberos verving NT LAN Manager (NTLM) als de standaardverificatie voor Windows-besturingssystemen, als een veel sneller en veiliger alternatief. Informatietechnologie beheerders kunnen controle van Kerberos verificatie inschakelen, waardoor gebeurtenissen kunnen worden vastgelegd die tijdens dit proces zijn gemaakt. Beheerders kunnen deze gebeurtenissen controleren om zowel mislukte als geslaagde aanmeldingsactiviteiten van gebruikers die zich aanmelden bij het domein in de gaten te houden. Plotselinge afwijkende wijzigingen, zoals een ongewoon hoog aantal mislukte aanmeldingspogingen, kunnen duiden op de mogelijkheid van een brute force-aanval, en meer. Lees verder om erachter te komen hoe u Kerberos verificatiegebeurtenissen kunt controleren:

Windows native controle
ADAudit Plus

Stappen om controle mogelijk te maken met behulp van Group Policy Management Console (GPMC):

Klik op Start, zoek en open de console voor Groepsbeleidsbeheerof voer de opdrachtregel gpmc.msc uit.

Klik met de rechtermuisknop op het domein of de organisatie-eenheid (OE) die u wilt controleren en klik op Maak een GPO aan in dit domein en koppel het hier.

Detecteren wie een gebruikersaccount heeft ontgrendeld

Geeft het Groepsbeleidsobject (GPO) een naam, indien van toepassing.
Klik met de rechtermuisknop op het nieuw aangemaakte of reeds bestaande GPO en kies Bewerken.

In de Editor voor groepsbeleidsbeheer, in het linkerdeelvenster, navigeert u naar Computerconfiguratie → Beleid → Windows-instellingen → Beveiligingsinstellingen → Geavanceerd controlebeleidconfiguratie- → Controlebeleid → Accountaanmelding.

In het rechterdeelvenster ziet u een lijst met beleidsregels die onder Accountaanmelding. Dubbelklik op Kerberos verificatieservice controlerenen vink de vakjes aan met de labels Configureer de volgende controlegebeurtenissen:, Geslaagden Mislukt.

Voer dezelfde acties uit voor het beleid Kerberos-servicetickets operaties controleren.

Klik op Toepassenen klik vervolgens op OK.
Ga terug naar de Console voor Groepsbeleidsbeheeren klik in het linkerdeelvenster met de rechtermuisknop op de overzichtseenheid waaraan het GPO is gekoppeld en klik op Update groepsbeleid. Deze stap zorgt ervoor dat de nieuwe instellingen voor groepsbeleid direct worden toegepast in plaats van te wachten op de volgende geplande vernieuwing.

Stappen om Kerberos verificatiegebeurtenissen weer te geven met gebruik van Logboeken

Zodra de bovenstaande stappen zijn voltooid, worden Kerberos-verificatiegebeurtenissen opgeslagen in het gebeurtenislogboek. Deze gebeurtenissen kunnen in de Logboeken worden weergegeven door de volgende acties uit te voeren op de domeincontroller (DC):

Klik op Start, zoek naar Logboekenen klik om het te openen.
Navigeer in het Logboeken venster in het linkerdeelvenster naar Windows logboek ⟶ Beveiliging.
Hier vindt u een lijst van alle Beveiligingsgebeurtenissen die in het systeem worden geregistreerd.

Klik in het rechterdeelvenster onder Beveiliging op Filter huidig logboek.

Voer in het pop-up venster de gewenste Gebeurtenis-ID*, zoals aangegeven in de onderstaande tabel, in het veld met de naam <All Event IDs>.

* De volgende gebeurtenis-ID's worden gegenereerd voor de gegeven gebeurtenissen:

Gebeurtenis-ID	Subcategorie	Gebeurtenistype	Beschrijving
4768	Kerberos-verificatieservice	Geslaagd en mislukt	Er is een Kerberos-verificatieticket (TGT) aangevraagd
4769	Ritten voor Kerberos-service	Geslaagd en mislukt	Er is een Kerberos-serviceticket aangevraagd
4770	Ritten voor Kerberos-service	Geslaagd	Een Kerberos-serviceticket is vernieuwd
4771	Kerberos-verificatieservice	Mislukt	Kerberos pre-authenticatie mislukt
4772	Kerberos-verificatieservice	Mislukt	Een aanvraag voor een Kerberos-verificatieticket is mislukt
4773	Ritten voor Kerberos-service	Mislukt	Een aanvraag voor een Kerberos-serviceticket is mislukt

Klik op OK. Dit geeft u een lijst met exemplaren van die gebeurtenis-ID.
Dubbelklik op de gebeurtenis-ID om de Eigenschappen ervan weer te geven.

Beperkingen van Active Directory (AD) systeemeigen controle:

Een beheerder zou naar elke gebeurtenis-ID moeten zoeken om de eigenschappen ervan te bekijken. Dit is zeer onpraktisch en tijdrovend, zelfs voor kleine organisaties.
Er worden geen bruikbare inzichten verschaft met behulp van systeemeigen controle. Als de beheerder wil controleren, of op de hoogte wil worden gesteld in geval van een plotselinge piek in inlogactiviteiten of afwijkend gebruikersgedrag, is dit niet mogelijk met systeemeigen controle.
Kerberos-verificatiegebeurtenissen kunnen worden geregistreerd op elke DC in het domein. Een beheerder zou gebeurtenissen op elke DC moeten controleren, wat een buitensporige hoeveelheid werk is. Een gecentraliseerd hulpprogramma om alle gebeurtenissen te monitoren, zal de belasting enorm verminderen.

ManageEngine ADAudit Plus is een Active Directory controle hulpprogramma waarmee de aanmeldingsactiviteit van gebruikers kan worden gecontroleerd met behulp van Kerberos-verificatiegebeurtenissen. U kunt ook mogelijke beveiligingsrisico's detecteren met rapporten over afwijkende aanmeldingsactiviteiten en reacties op dergelijke bedreigingen automatiseren.

Download de gratis proefperiode van 30 dagen

Stappen om Kerberos-verificatie te controleren met behulp van ManageEngine ADAudit Plus

Download en installeer ADAudit Plus.
Vind hier de stappen voor het configureren van controle op uw domeincontroller.
Open de ADAudit Plus-console en log in als beheerder en navigeer naar Reports → Active Directory → User Management → User Logon Activity.

Krijg meer inzicht in aanmeldingen die plaatsvinden in uw organisatie en begrijp wanneer en waar elke aanmelding heeft plaatsgevonden.

Bewaak gebruikers die op meerdere computers zijn aangemeld om beveiligingsrisico's in uw organisatie te detecteren, aangezien een derde partij mogelijk toegang heeft tot het gebruikersaccount om controle te krijgen.

Bewaak en verkrijg rapporten voor alle aanmeldingsactiviteiten op DC's, ledenservers en werkstations.

Krijg meer inzicht in aanmeldingen die plaatsvinden in uw organisatie en begrijp wanneer en waar elke aanmelding heeft plaatsgevonden.
Bewaak gebruikers die op meerdere computers zijn aangemeld om beveiligingsrisico's in uw organisatie te detecteren, aangezien een derde partij mogelijk toegang heeft tot het gebruikersaccount om controle te krijgen.
Bewaak en verkrijg rapporten voor alle aanmeldingsactiviteiten op DC's, ledenservers en werkstations.

Voordelen van het gebruik van ADAudit Plus:

Met ADAudit Plus kunt u de aanmeldingsactiviteit van gebruikers in uw netwerk in realtime controleren en volgen, en kunt u mogelijk schadelijke activiteiten detecteren.
Bescherm uw AD tegen beveiligingsrisico's door waarschuwingen te ontvangen over afwijkende activiteiten. Incidenten zoals een ongewoon groot aantal aanmeldingspogingen, aanmeldingen die op ongebruikelijke tijdstippen plaatsvinden of de eerste keer dat een gebruiker op afstand toegang krijgt tot een host, zijn tekenen van gevaren in het netwerk.
Ontdek de reden voor herhaalde accountvergrendelingen met behulp van Analysator voor accountvergrendeling, waarmee u accountvergrendelingen sneller kunt herkennen en oplossen.