Auditar servicio de autenticación Kerberos

Auditar el servicio de autenticación Kerberos determina si se generan eventos de auditoría para solicitudes de vales de concesión de vales de autenticación Kerberos (TGT).

Si configura esta configuración de directiva, se genera un evento de auditoría después de una solicitud TGT de autenticación Kerberos. Las auditorías correctas registran los intentos correctos y las auditorías de error registran intentos fallidos.

Volumen de eventos: alto en los servidores del Centro de distribución de claves Kerberos.

Esta subcategoría contiene eventos sobre TGT emitidos y solicitudes TGT con errores. También contiene eventos sobre las autenticaciones previas erróneas, debido a una contraseña de usuario incorrecta o cuando la contraseña del usuario ha expirado.

Tipo de equipo Éxito general Error general Éxito más fuerte Error más fuerte Observaciones
Controlador de dominio Se recomienda realizar una auditoría correcta, ya que verá todas las solicitudes de autenticación Kerberos (solicitudes TGT), que forman parte de los inicios de sesión de cuentas de dominio. Además, puede ver la dirección IP desde la que esta cuenta solicitó un TGT, cuando se solicitó TGT, qué tipo de cifrado se usó y así sucesivamente.
Recomendamos la auditoría de errores, ya que verá todas las solicitudes erróneas con contraseña incorrecta, nombre de usuario, certificado revocado, y así sucesivamente. También podrá detectar problemas kerberos o posibles intentos de ataque.
El volumen esperado es alto en los controladores de dominio.
Servidor miembro No No No No Esta subcategoría tiene sentido solo en los controladores de dominio.
Estación de trabajo No No No No Esta subcategoría tiene sentido solo en los controladores de dominio.

Lista de eventos:

  • 4768(S, F): se solicitó un vale de autenticación Kerberos (TGT).

  • 4771(F): Error en la autenticación previa kerberos.

  • 4772(F): error en una solicitud de vale de autenticación Kerberos.