Windows-gebeurtenis-id 4768 - Er werd een Kerberos-verificatieticket aangevraagd

Inleiding

Windows-gebeurtenis-id 4768 wordt telkens gegenereerd wanneer het KDC (Key Distribution Center) probeert de referenties te valideren.

Kerberos-authentication-protocol.
Afbeelding 1. Kerberos-verificatieprotocol

Gebeurtenis-id 4768 (S) — Verificatiesucces

In gevallen waar referenties met succes zijn gevalideerd, registreert de domeincontroller (DC) deze gebeurtenis-id met een resultaatcode die gelijk is aan “0x0” en verleent deze een Kerberos TGT (Ticket Granting Ticket) (Afbeelding 1, Stap 2).

Gebeurtenis-id 4768 (F)— Verificatiefout

Als de opgegeven referenties niet kunnen worden gevalideerd door de DC, wordt gebeurtenis-id 4768 in plaats daarvan in het logboek geregistreerd met de Resultaatcode Niet gelijk aan “0x0”. (Bekijk alle resultaatcodes.)

De toegang zal niet optreden tot een serviceticket is verleend, wat wordt gecontroleerd door event-id 4769.

Opmerking: Gebeurtenis-id 4768 is geregistreerd in het logboek voor verificatiepogingen met het Kerberos-verificatieprotocol. Raadpleeg gebeurtenis-id 4776 voor verificatiepogingen via NTLM-verificatie.

Afbeelding 1. Gebeurtenis-id 4768 — Tabblad Algemeen onder Gebeurteniseigenschappen.

Afbeelding 2. Gebeurtenis-id 4768 — Tabblad Details onder Gebeurteniseigenschappen.

Beschrijving van de gebeurtenisvelden.

Accountgegevens.

Accountnaam: De naam van de account waarvoor een TGT werd aangevraagd.

Opmerking: De naam van de computeraccount eindigt op een $.

Voorbeeld gebruikersaccount: merkteken
Voorbeeld computeraccount: WIN12R2$

Opgegeven realmnaam: De naam van de Kerberos-realm waarbij de accountnaam hoort.

Gebruikers-ID: De SID van de account die een TGT heeft aangevraagd. Logboeken probeert automatisch om SID's om te zetten en toont de accountnaam. Als de SID niet kan worden opgelost, zult u de brongegevens in de gebeurtenis zien. Bijvoorbeeld, ADAPWS\markering of ADAPWS\WIN12R2$.

Service-informatie.

Servicenaam: De naam van de service in de Kerberos-realm waarnaar een TGT-aanvraag werd verzonden.

Service-id: de SID van de serviceaccount in de Kerberos-realm waarnaar de TGT-aanvraag werd verzonden.

Netwerkgegevens.

Clientadres: Het IP-adres van de computer waarvan de TGT-aanvraag werd ontvangen.

Clientpoort: Het nummer van de bronpoort van de clientnetwerkverbinding. De clientpoort is "0" voor lokale (localhost) aanvragen.

Certificaatinformatie.

Bevat informatie over de smartcardcertificaten die worden gebruikt tijdens het aanmelden (indien van toepassing).

Naam van uitgever van certificaat: De naam van de CA die het smartcardcertificaat heeft verleend.

Serienummer van certificaat: Het serienummer van het smartcardcertificaat.

Vingerafdruk certificaat: De vingerafdruk van het smartcardcertificaat.

Redenen voor controle van gebeurtenis-id 4768

•Controleer het veld Clientadres in gebeurtenis-id 4768 om de aanmeldingspogingen te volgen die buiten uw intern IP-bereik liggen.
•Controleer of de Resultaatcode gelijk is aan “0x6” (de gebruikersnaam bestaat niet). Als u in korte tijd meerdere gebeurtenissen ziet, kan dit een indicator zijn van accountinventarisatie, omgekeerde beveiligingsaanvallen of spraying-aanvallen op wachtwoorden, vooral voor uiterst kritieke accounts.
•Controleer gebeurtenis-id 4768 op accounts die een beveiligings-id hebben die overeenkomt met accounts van een hoge waarde, inclusief beheerders, ingebouwde lokale beheerders, domeinbeheerders en serviceaccounts.
•Als een gebruikersnaam alleen mag worden gebruikt op een toegelaten lijst van IP-adressen, kunt u het veld Clientadres controleren en een waarschuwing activeren wanneer een aanmeldingspoging gebeurt met een gebruikersnaam die geen deel uit maakt van de witte lijst.
•Als u een lijst hebt van accounts die direct mogen aanmelden bij DC's (in plaats via een netwerkaanmelding of een verbinding met een extern bureaublad), moet u dit controleren wanneer het Clientadres gelijk is aan “::1” om overtredingen en mogelijk boosaardige bedoelingen te identificeren.
•Controleer de onderwerp-/accountnaam op namen die niet voldoen met de naamgevingsconventies van het bedrijf.
•Controleer op accounts met een beveiligings-id die overeenkomst met accounts die nooit mogen worden gebruikt, inclusief niet-actieve, uitgeschakelde en gastaccounts.
•Controleer de fouten 0x3F, 0x40 en 0x41 om sneller met smartcard verwante problemen sneller te identificeren met Kerberos-verificatie.
•Controleer deze gebeurtenis op gebruik van de account buiten de werkuren om afwijkingen en potentieel boosaardige activiteiten te detecteren.

De behoefte aan een controleoplossing:

Controleoplossingen, zoals ADAudit Plus, bieden bewaking in realtime, gedragsanalyses van gebruikers en entiteiten, en rapporten. Deze functies samen helpen u bij het beveiligen van uw AD-omgeving.

De klok rond, bewaking in realtime.

Hoewel u een taak kunt koppelen aan het beveiligingslogboek en Windows kunt vragen om u een e-mail te sturen, kunt u alleen een e-mail ontvangen wanneer gebeurtenis-id 4768 wordt gegenereerd. Windows mist ook de mogelijkheid om meer gedetailleerde filters die vereist zijn om te voldoen aan de beveiligingsaanbevelingen, toe te passen.

Windows kan u bijvoorbeeld telkens een e-mail sturen van een gebeurtenis-id 4776 wordt gegenereerd, maar zal niet in staat zijn u op de hoogte te brengen van pogingen van onbevoegde eindpunten, pogingen die optreden buiten kantooruren, of pogingen van vervallen, uitgeschakelde of vergrendelde accounts. Ontvangen van specifieke waarschuwingen vermindert de kans dat u kritieke meldingen mist in de overvloed van fout-positieve waarschuwingen. Met op drempel gebaseerde waarschuwingen kunt u op de hoogte blijven van alle tekenen van boosaardige activiteit binnen uw omgeving.

Met een hulpprogramma zoals ADAudit Plus, kunt u niet alleen gedetailleerde filters toepassen om u te focussen op echte bedreigingen, maar u kunt ook in realtime via sms op de hoogte worden gebracht.

UEBA (User and entity behavior analytics = gedragsanalyse gebruikers en entiteiten).

Maak gebruik van geavanceerde statistische analyse en technieken van machine learning voor het detecteren van afwijkend gedrag binnen uw netwerk.

Rapporten gereed voor naleving.

Voldoe aan verschillende nalevingsnormen, zoals SOX, HIPAA, PCI, FISMA, DSS en GDPR, met gebruiksklare nalevingsrapporten.

Compleet gebruiksklaar: eenvoudiger kan niet.

Ga in minder dan 30 minuten van het downloaden van ADAudit Plus naar het ontvangen van waarschuwingen in realtime. Met meer dan 200 vooraf geconfigureerde rapporten en waarschuwingen, garandeert ADAudit Plus dat uw Active Directory veilig en conform.

Probeer het nu gratis!