Bir kullanıcının etki alanı kullanıcı adını ve parolasını ilk kez iş istasyonuna girmesi sonrasında, iş istasyonu yerel bir etki alanı denetleyicisiyle (DC) iletişim kurar ve bir bilet verme bileti (TGT) ister. Kullanıcı adı ve parola geçerliyse ve kullanıcı hesabı durum ve kısıtlama kontrollerinden geçerse, DC bir TGT verir ve günlüğe olay kimliği 4768'i (kimlik doğrulama bileti verildi) kaydeder.
Şekil 1. Kerberos kimlik doğrulaması.
Bilet isteği (Şekil 1'in 1. Adımı) başarısız olursa Windows günlüğe olay kimliği 4771'i (F) kaydeder; bu olay yalnızca DC'lerde kaydedilir. Sorun ön kimlik doğrulaması sırasında ortaya çıkarsa (Şekil 1'in 2, 3 veya 4. adımlarından biri), Windows bunun yerine olay 4768'i kaydeder.
Başarısız Kerberos ön kimlik doğrulama olayı özellikleri.
Başarısız bir Kerberos ön kimlik doğrulamasının ayrıntıları
| Bit | İşaret adı | Açıklama |
|---|---|---|
| 0 | Ayrılmış | - |
| 1 | Forwardable | Bu işaret yalnızca TGT'ler içindir. Bu, bilet veren hizmete, sunulan TGT'ye göre farklı bir ağ adresiyle yeni bir TGT verebileceğini söyler. |
| 2 | İletilen | Bu işaret, bir TGT'nin iletildiğini veya iletilen bir TGT'den bir bilet verildiğini gösterir. |
| 3 | Proxiable | Bu işaret yalnızca TGT'ler içindir. Bu, bilet verme hizmetine, TGT'deki ağ adresinden farklı bir ağ adresiyle bilet verebileceğini söyler. |
| 4 | Proxy | Bu işaret, biletteki ağ adresinin, bileti almak için kullanılan TGT'deki ağ adresinden farklı olduğunu belirtir. |
| 5 | Allow-postdate | Bu işaret, düzenlenecek biletin MAY-POSTDATE işaretinin ayarlanması gerektiğini belirtir. Yalnızca ilk istekte veya dayanak olarak aldığı TGT'nin de MAY-POSTDATE işareti ayarlandığı takdirde sonraki bir istekte ayarlanabilir. İleriye dönük tarih uygulamalı biletler KILE'de (Microsoft Kerberos Protokol Uzantısı) desteklenmez. |
| 6 | Postdated | Bu işaret, bunun ileriye dönük tarih uygulamalı bir bilet isteği olduğunu belirtir. Bu seçenek ancak dayanak aldığı TGT'nin MAY-POSTDATE işareti ayarlandığı takdirde geçerli olur. Sonuç olarak düzenlenecek bilette INVALID işareti de ayarlanır ve bu işaret, biletteki başlangıç saatine ulaşıldıktan sonra KDC'ye iletilen bir istekle sıfırlanabilir. İleriye dönük tarih uygulamalı biletler KILE'de (Microsoft Kerberos Protokol Uzantısı) desteklenmez. |
| 7 | Geçersiz | Bu işaret, bir biletin geçersiz olduğunu, yani kullanılmadan önce anahtar dağıtım merkezi (KDC) tarafından doğrulanması gerektiğini belirtir. Uygulama sunucuları, bu işaretin ayarlanmış olduğu biletleri reddetmelidir. |
| 8 | Renewable | Bu işaret, uzun ömürlü biletlerin KDC'de periyodik olarak yenilenmesini sağlamak için Bitiş Zamanı ve Yenileme Tarihi alanlarıyla birlikte kullanılır. |
| 9 | Initial | Bu işaret, bir biletin TGT'ye dayalı olarak değil, kimlik doğrulama hizmeti (AS) alışverişiyle düzenlendiğini belirtir. |
| 10 | Pre-authent | Bu işaret, bir bilet düzenlenmeden önce KDC tarafından istemcinin kimlik doğrulamasının yapıldığını belirtir. Bu işaret sıklıkla bilette bir kimlik doğrulama aracının bulunduğunu gösteriyor olsa da bir Akıllı Kart ile oturum açma işleminden alınan kimlik bilgilerinin varlığına da işaret ediyor olabilir. |
| 11 | Opt-hardware-auth | Bu işaret ilk tasarlandığında ön kimlik doğrulama sırasında donanım destekli kimlik doğrulamanın kullanıldığını belirtmek için kullanıma yönelikti. Bu işaret Kerberos V5 protokolünde artık önerilmemektedir. KDC'ler bu işaretin ayarlanmış olduğu bir bilet düzenlememelidir. Benzer şekilde, KDC'ler başka bir KDC tarafından ayarlanmış olduğu takdirde bu işareti tutmamalıdır. |
| 12 | Transited-policy-checked | Bu işaret KILE'nin sunucularda veya bir KDC'de aktarılan etki alanlarını kontrol etmemesi gerektiğini belirtir. Uygulama sunucuları TRANSITED-POLICY-CHECKED işaretini yok saymalıdır. |
| 13 | Ok-as-delegate | Hizmet hesabı devretme için güvenilir olduğu takdirde KDC OK-AS-DELEGATE işaretini ayarlamalıdır. |
| 14 | Request-anonymous | KILE bu işareti kullanmaz. |
| 15 | Name-canonicalize | Bu işaret true olarak ayarlandığı takdirde, KDC'ye iletilen ilk bilet istekleri istemci sorumlu adının kurallılaştırılmasını ister ve istenen sorumludan farklı istemci sorumlularına sahip olan yanıtlar kabul edilir. Varsayılan değer false olarak belirlenmiştir. |
| 16 - 25 | Kullanılmayan | - |
| 26 | Disable-transited-check | KDC varsayılan olarak, TGT'ye dayalı türev biletler yayınlamadan önce, bir TGT'nin aktarılan alanını yerel bölgenin ilkesine göre kontrol eder. İstekte bu işaretin ayarlandığı durumda, aktarılan alanı kontrol edilmez. Bu kontrol gerçekleştirilmeden düzenlenen biletler, uygulama sunucusuna aktarılan alanının yerel olarak kontrol edilmesi gerektiğini belirten TRANSITED-POLICY-CHECKED işaretinin sıfırlama (0) değeriyle gösterilir. KDC'lerin DISABLE-TRANSITED-CHECK seçeneğini kabul etmeleri teşvik edilir ancak bu zorunlu değildir. Transited-policy-checked işaretinin KILE tarafından desteklenmemesi nedeniyle bu işaret kullanımda olmamalıdır. |
| 27 | Renewable-ok | Bu işaret, istenen kadar ömrü olan bir bilet başka şekillerde sağlanamadığı takdirde yenilenebilir bir biletin kabul edilebilir olduğunu belirtir; bu durumda, talep edilen bitiş saatine eşit bir yenileme zamanı değerini taşıyan yenilenebilir bir bilet verilebilir. Yenileme zamanı alanının değeri, yerel sınırlar veya bireysel sorumlu veya sunucu tarafından seçilen sınırlarla kısıtlı tutulabilir. |
| 28 | Enc-tkt-in-skey | Bu seçenek yalnızca bilet verme hizmeti tarafından kullanılır. ENC-TKT-IN-SKEY seçeneği, son sunucu için biletin sağlanan ek TGT'den alınan oturum anahtarında şifreleneceğini belirtir. |
| 29 | Kullanılmayan | - |
| 30 | Yenile | Bu işaret, mevcut isteğin bir yenileme isteği olduğunu belirtir. Bu istek için sağlanan bilet, geçerli olduğu sunucunun gizli anahtarında şifrelenir. Bu seçenek yalnızca yenilenen biletin RENEWABLE işareti ayarlanmışsa ve yenileme zamanı alanında belirtilen zaman geçmemişse geçerli olur. Yenilenen bilet, kimlik doğrulama başlığının bir parçası olarak padata alanına geçirilir. |
| 31 | Doğrula | Bu işaret, bunun ileriye dönük tarih uygulamalı bir bileti doğrulama isteği olduğunu belirtir. Bu seçenek yalnızca bilet verme hizmeti tarafından kullanılıyor olsa da ileriye dönük tarih uygulamalı biletler KILE tarafından desteklenmediğinden kullanılmamalıdır. |
| Kod | Kod adı | Açıklama | Olası nedenler |
|---|---|---|---|
| 0x10 | KDC_ERR_PADATA_TYPE_NOSUPP | KDC'de PADATA türü (ön kimlik doğrulama verileri) için destek sunulmuyor. | Akıllı Kart ile oturum açma girişimi deneniyor ve doğru sertifika bulunamıyor. Bu, yanlış sertifika yetkilisine (CA) sorgu gönderilmesi veya DC için etki alanı denetleyicisi kimlik doğrulama sertifikalarını almak üzere doğru CA ile iletişim kurulamamasından kaynaklanıyor olabilir. Ayrıca, bir DC'nin Akıllı Kartlar için yüklenmiş bir sertifikası olmadığında da oluşabilir. |
| 0x17 | KDC_ERR_KEY_EXPIRED | Parolanın süresi doldu — sıfırlamak için parolayı değiştirin. | Kullanıcının parolasının süresi doldu. |
| 0x18 | KDC_ERR_PREAUTH_FAILED | Ön kimlik doğrulama bilgileri geçersizdi. | Yanlış parola girildi. |
| Tür | Tür adı | Açıklama |
|---|---|---|
| 0 | - | Bu kod, ön kimlik doğrulaması olmadan oturum açmayı gösterir. |
| 2 | PA-ENC-TIMESTAMP | Bu kod, standart parola kimlik doğrulaması için normal türdür. |
| 11 | PA-ETYPE-INFO | Bu kod, KDC tarafından KRB-ERROR mesajında gönderilir ve ek ön kimlik doğrulamanın gerekli olduğunu belirtir. Genellikle bir istemciye PA-ENC-TIMESTAMP ön kimlik doğrulama değeri gönderilirken bir zaman damgasını şifrelemek üzere hangi şifreleme anahtarının kullanılacağını bildirmek için kullanılır. |
| 15 | PA-PK-AS-REP_OLD | Bu kod, Akıllı Kart ile oturum açma kimlik doğrulaması için kullanılır. |
| 17 | PA-PK-AS-REP | Bu kod, Akıllı Kart ile kimlik doğrulama için kullanılmalıdır, ancak belirli Active Directory ortamlarında hiçbir zaman görülmez. |
| 19 | PA-ETYPE-INFO2 | Bu kod, KDC tarafından KRB-ERROR mesajında gönderilir ve ek ön kimlik doğrulaması gerekliliğini belirtir. Genellikle bir istemciye PA-ENC-TIMESTAMP ön kimlik doğrulama değeri gönderme amacıyla şifrelenmiş bir zaman damgasını şifreleme için kullanılacak anahtarı belirtmek için kullanılır. |
| 20 | PA-SVR-REFERRAL-INFO | Bu kod, KDC Yönlendirme biletlerinde kullanılır. |
| 138 | PA-ENCRYPTED-CHALLENGE | Bu kod, Kerberos Armoring (FAST) ile oturum açmayı belirtmek için kullanılır. Bu kod Windows Server 2012 ve Windows 8 ile desteklenmeye başlamıştır. |
| - | Bu kod Denetim Hatası olaylarında görüntülenir. |
Bu bilgiler yalnızca Akıllı Kart ile yapılan oturum açma işlemleri için doldurulur. Olay kimliği 4771 için bu her zaman boştur.
Güvenlik günlüğüne bir görev ekleyebilir ve Windows'tan size bir e-posta göndermesini isteyebilirsiniz ancak bunun sonucu yalnızca olay kimliği 4771 oluşturulduğunda bir e-posta almanızla sınırlıdır. Windows ayrıca güvenlik önerilerini karşılamak için gereken daha ayrıntılı filtreleri uygulayamamaktadır.
ADAudit Plus gibi bir araçla, yalnızca gerçek tehditlere odaklanabilmek için detaylı filtreler uygulamakla kalmaz, aynı zamanda gerçek zamanlı bildirimleri SMS ile de alabilirsiniz.
Ağınız genelindeki anormal davranışları tespit etmek için gelişmiş istatistiksel çözümlemeler ve makine öğrenimi tekniklerinden yararlanın.
Kullanıma hazır olarak sağlanan uyumluluk raporlarıyla SOX, HIPAA, PCI, FISMA, GLBA ve GDPR gibi çeşitli uyumluluk standartlarına uygunluğu sağlayabilirsiniz.
ADAudit Plus'ı indirdikten sonra 30 dakikadan daha kısa süre içinde gerçek zamanlı uyarılar almaya başlayabilirsiniz. 200'ün üzerinde önceden yapılandırılmış rapor ve uyarıyla ADAudit Plus, Active Directory'nizin güvenli ve uyumlu kalmasını sağlar.