4768(S, F): se solicitó un vale de autenticación Kerberos (TGT).

Ilustración del evento 4768.

Subcategoría:   Auditar el servicio de autenticación Kerberos

Descripción del evento:

Este evento genera cada vez que el Centro de distribución de claves emite un vale de concesión de vales Kerberos (TGT).

Este evento solo se genera en controladores de dominio.

Si se produce un error en el TGT, verá el evento Error con el campo Código de resultado no igual a "0x0".

Este evento no genera códigos de resultados: 0x10 y 0x18. Evento "4771: Error en la autenticación previa kerberos". genera en su lugar.

Nota

Para obtener recomendaciones, consulte Security Monitoring Recomendaciones para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4768</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14339</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-07T18:13:46.074535600Z" /> 
 <EventRecordID>166747</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1496" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="TargetDomainName">CONTOSO.LOCAL</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="ServiceName">krbtgt</Data> 
 <Data Name="ServiceSid">S-1-5-21-3457937927-2839227994-823803824-502</Data> 
 <Data Name="TicketOptions">0x40810010</Data> 
 <Data Name="Status">0x0</Data> 
 <Data Name="TicketEncryptionType">0x12</Data> 
 <Data Name="PreAuthType">15</Data> 
 <Data Name="IpAddress">::ffff:10.0.0.12</Data> 
 <Data Name="IpPort">49273</Data> 
 <Data Name="CertIssuerName">contoso-DC01-CA-1</Data> 
 <Data Name="CertSerialNumber">1D0000000D292FBE3C6CDDAFA200020000000D</Data> 
 <Data Name="CertThumbprint">564DFAEE99C71D62ABC553E695BD8DBC46669413</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Controlador de dominio de Active Directory.

Versión mínima del sistema operativo: Windows Server 2008.

Versiones de eventos: 0.

Descripciones del campo:

Información de la cuenta:

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta, para la que se solicitó el vale (TGT). El nombre de cuenta del equipo termina con $ carácter.

    • Ejemplo de cuenta de usuario: dadmin

    • Ejemplo de cuenta de equipo: WIN81$

  • Nombre de dominio proporcionado [Type = UnicodeString]: el nombre del dominio Kerberos al que pertenece nombre de cuenta. Esto puede aparecer en una variedad de formatos, incluidos los siguientes:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    Nota

    Un dominio Kerberos es un conjunto de nodos administrados que comparten la misma base de datos Kerberos. La base de datos Kerberos reside en el sistema principal del equipo Kerberos, que debe mantenerse en una sala físicamente segura. El dominio de Active Directory es el ejemplo de Kerberos Realm en el mundo de Microsoft Windows Active Directory.

  • Id. de usuario [Type = SID]: SID de la cuenta para la que se solicitó el vale (TGT). El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Por ejemplo: CONTOSO\dadmin o CONTOSO\WIN81$.

    • SID NULL: este valor se muestra en 4768 Eventos de error.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable usado para identificar un administrador (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

Información del servicio:

  • Nombre del servicio [Type = UnicodeString]: el nombre del servicio en el dominio Kerberos al que se envió la solicitud TGT. Normalmente tiene el valor "krbtgt" para las solicitudes TGT, lo que significa servicio de emisión de vales de concesión de vales.

    • Para eventos de error, el nombre de servicio suele tener el siguiente formato: krbtgt/REALM_NAME. Por ejemplo: krbtgt/CONTOSO.
  • Id. de servicio [Type = SID]: SID de la cuenta de servicio en el dominio Kerberos al que se envió la solicitud TGT. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Los controladores de dominio tienen una cuenta de servicio específica (krbtgt) que usa el servicio del Centro de distribución de claves (KDC) para emitir vales Kerberos. Tiene un SID predefinido y integrado: S-1-5-21-DOMAIN_IDENTIFIER-502.

    • SID NULL: este valor se muestra en 4768 Eventos de error.

Información de red:

  • Dirección de cliente [Type = UnicodeString]: dirección IP del equipo desde el que se recibió la solicitud TGT. Los formatos pueden variar e incluyen lo siguiente:

    • Dirección IPv6 o IPv4.

    • ::ffff:IPv4_address.

    • ::1: localhost.

  • Puerto de cliente [Type = UnicodeString]: número de puerto de origen de la conexión de red de cliente (conexión de solicitud TGT).

    • 0 para solicitudes locales (localhost).

Información adicional:

  • Opciones de vale [Type = HexInt32]: se trata de un conjunto de marcas de vales diferentes en formato hexadecimal.

    Por ejemplo:

    • Opciones de vales: 0x40810010

    • Vista binaria: 01000000100000010000000000010000

    • Con la numeración MSB de 0 bits tenemos los bits 1, 8, 15 y 27 establecidos = Reenviables, Renovables, Canónicas, Renovables-ok.

Nota

En la tabla siguiente se usa la numeración de bits "MSB 0", ya que los documentos RFC usan este estilo. En "MSB 0" la numeración de bits de estilo comienza desde la izquierda.

MSB illustration

Los valores más comunes:

  • 0x40810010: forwardable, Renewable, Canonicalize, Renewable-ok

  • 0x40810000: reenviable, renovable, canónica

  • 0x60810010: reenviable, reenviado, renovable, canónico, renovable-ok

Bit Nombre de la marca Descripción
0 Reservado -
1 Reenviable (solo TGT). Indica al servicio de concesión de vales que puede emitir un nuevo TGT (basado en el TGT presentado) con una dirección de red diferente basada en el TGT presentado.
2 Reenviado Indica que se reenvía un TGT o que se emitió un vale desde un TGT reenviado.
3 Proxiable (solo TGT). Indica al servicio de concesión de vales que puede emitir vales con una dirección de red diferente a la del TGT.
4 Proxy Indica que la dirección de red del vale es diferente de la que se usa en el TGT para obtener el vale.
5 Allow-postdate Los vales posdados NO DEBEN ser compatibles con KILE (Extensión del protocolo Kerberos de Microsoft).
6 Posdated Los vales posdados NO DEBEN ser compatibles con KILE (Extensión del protocolo Kerberos de Microsoft).
7 No válido Esta marca indica que un vale no es válido y el KDC debe validarlo antes de usarlo. Los servidores de aplicaciones deben rechazar vales que tengan esta marca establecida.
8 Renovable Se usa en combinación con los campos Hora de finalización y Renovar hasta para hacer que los vales con períodos de larga duración se renueve en KDC periódicamente.
9 Inicial Indica que un vale se emitió mediante el intercambio del servicio de autenticación (AS) y no se emitió en función de un TGT.
10 Autenticación previa Indica que el KDC autenticó el cliente antes de emitir un vale. Esta marca suele indicar la presencia de un autenticador en el vale. También puede marcar la presencia de credenciales tomadas desde un inicio de sesión de tarjeta inteligente.
11 Opt-hardware-auth Esta marca estaba diseñada originalmente para indicar que la autenticación compatible con hardware se usaba durante la autenticación previa. Esta marca ya no se recomienda en el protocolo Kerberos V5. Los KDC NO DEBEN emitir un vale con este conjunto de marcas. Los KDC NO DEBEN conservar esta marca si la establece otro KDC.
12 Transited-policy-checked KILE NO DEBE comprobar si hay dominios transitados en servidores o KDC. Los servidores de aplicaciones DEBEN omitir la marca TRANSITED-POLICY-CHECKED.
13 Aceptar como delegado El KDC DEBE establecer la marca OK-AS-DELEGATE si la cuenta de servicio es de confianza para la delegación.
14 Request-anonymous KILE no usa esta marca.
15 Name-canonicalize Para solicitar referencias, el cliente Kerberos DEBE solicitar explícitamente la opción KDC "canonizar" para AS-REQ o TGS-REQ.
16-25 Sin usar -
26 Disable-transited-check De forma predeterminada, KDC comprobará el campo transitado de un TGT con la directiva del dominio local antes de emitir vales derivados basados en el TGT. Si esta marca se establece en la solicitud, se deshabilita la comprobación del campo transitado. Los vales emitidos sin el rendimiento de esta comprobación se indicarán mediante el valor de restablecimiento (0) de la marca TRANSITED-POLICY-CHECKED, que indica al servidor de aplicaciones que el campo transitado debe comprobarse localmente. Se anima a los KDC, pero no es necesario que los
la opción DISABLE-TRANSITED-CHECK.
No debe estar en uso, ya que la marca transited-policy-checked no es compatible con KILE.
27 Renewable-ok La opción RENEWABLE-OK indica que un vale renovable será aceptable si de lo contrario no se puede proporcionar un vale con la vida solicitada, en cuyo caso se puede emitir un vale renovable con una renovación de hasta igual a la hora de finalización solicitada. El valor del campo renew-till todavía puede estar limitado por límites locales o límites seleccionados por la entidad de seguridad o el servidor individuales.
28 Enc-tkt-in-skey Sin información.
29 Sin usar -
30 Renovar La opción RENEW indica que la solicitud actual es para una renovación. El vale proporcionado se cifra en la clave secreta del servidor en el que es válido. Esta opción solo se respetará si el vale que se va a renovar tiene su marca RENOVABLE establecida y si no ha pasado el tiempo en el campo de renovación. El vale que se va a renovar se pasa en el campo padata como parte del encabezado de autenticación.
31 Validación Esta opción solo la usa el servicio de concesión de vales. La opción VALIDATE indica que la solicitud es validar un vale postdated. No debe estar en uso, ya que los vales posdados no son compatibles con KILE.

Tabla 2. Marcas de vales Kerberos

Nota

KILE (Extensión del protocolo Kerberos de Microsoft): extensiones de protocolo Kerberos usadas en sistemas operativos Microsoft. Estas extensiones proporcionan capacidad adicional para la información de autorización, como pertenencias a grupos, información interactiva de inicio de sesión y niveles de integridad.

  • Código de resultado [Type = HexInt32]: código de resultado hexadecimal de la operación de problema TGT. La "Tabla 3. Códigos de error de emisión TGT/TGS." contiene la lista de los códigos de error más comunes para este evento.
Código Nombre de código Descripción Causas posibles
0x0 KDC_ERR_NONE Sin error No se encontraron errores.
0x1 KDC_ERR_NAME_EXP La entrada del cliente en la base de datos KDC ha expirado Sin información.
0x2 KDC_ERR_SERVICE_EXP La entrada del servidor en la base de datos KDC ha expirado Sin información.
0x3 KDC_ERR_BAD_PVNO No se admite el número de versión Kerberos solicitado Sin información.
0x4 KDC_ERR_C_OLD_MAST_KVNO Clave del cliente cifrada en clave maestra antigua Sin información.
0x5 KDC_ERR_S_OLD_MAST_KVNO Clave del servidor cifrada en clave maestra antigua Sin información.
0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN Cliente no encontrado en la base de datos Kerberos El nombre de usuario no existe.
0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Servidor no encontrado en la base de datos Kerberos Este error puede producirse si el controlador de dominio no puede encontrar el nombre del servidor en Active Directory. Este error es similar a KDC_ERR_C_PRINCIPAL_UNKNOWN excepto que se produce cuando no se encuentra el nombre del servidor.
0x8 KDC_ERR_PRINCIPAL_NOT_UNIQUE Varias entradas principales en la base de datos KDC Este error se produce si existen nombres de entidad de seguridad duplicados. Los nombres de entidad de seguridad únicos son fundamentales para garantizar la autenticación mutua. Por lo tanto, los nombres principales duplicados están estrictamente prohibidos, incluso en varios dominios. Sin nombres de entidad de seguridad únicos, el cliente no tiene forma de asegurarse de que el servidor con el que se está comunicando sea el correcto.
0x9 KDC_ERR_NULL_KEY El cliente o el servidor tiene una clave null (clave maestra) No se encontró ninguna clave maestra para el cliente o el servidor. Por lo general, significa que el administrador debe restablecer la contraseña de la cuenta.
0xA KDC_ERR_CANNOT_POSTDATE Ticket (TGT) no apto para postdating Este error puede producirse si un cliente solicita la posdación de un vale Kerberos. Postdating is the act of requesting that a ticket's start time be set into the future.
También puede ocurrir si hay una diferencia de tiempo entre el cliente y KDC.
0xB KDC_ERR_NEVER_VALID La hora de inicio solicitada es posterior a la hora de finalización Hay una diferencia de tiempo entre KDC y el cliente.
0xC KDC_ERR_POLICY La hora de inicio solicitada es posterior a la hora de finalización Este error suele ser el resultado de las restricciones de inicio de sesión en la cuenta de un usuario. Por ejemplo, restricción de estación de trabajo, requisito de autenticación de tarjeta inteligente o restricción de hora de inicio de sesión.
0xD KDC_ERR_BADOPTION KDC no puede dar cabida a la opción solicitada Expiración inminente de un TGT.
El SPN al que el cliente está intentando delegar credenciales no está en su lista Delegada a permitida
0xE KDC_ERR_ETYPE_NOTSUPP KDC no admite el tipo de cifrado En general, este error se produce cuando el KDC o un cliente recibe un paquete que no puede descifrar.
0xF KDC_ERR_SUMTYPE_NOSUPP KDC no admite el tipo de suma de comprobación KDC, servidor o cliente recibe un paquete para el que no tiene una clave del tipo de cifrado adecuado. El resultado es que el equipo no puede descifrar el vale.
0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC no admite el tipo PADATA (datos previos a la autenticación) Se está intentando iniciar sesión con tarjeta inteligente y no se puede encontrar el certificado adecuado. Esto puede ocurrir porque se está consultando a la entidad de certificación (CA) incorrecta o no se puede ponerse en contacto con la CA adecuada.
También puede ocurrir cuando un controlador de dominio no tiene instalado un certificado para tarjetas inteligentes (plantillas de autenticación de controlador de dominio o controlador de dominio).
Este código de error no se puede producir en caso "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa kerberos".
0x11 KDC_ERR_TRTYPE_NO_SUPP KDC no admite el tipo transitado Sin información.
0x12 KDC_ERR_CLIENT_REVOKED Se han revocado las credenciales del cliente Esto puede deberse a una deshabilitación explícita o a otras restricciones en la cuenta. Por ejemplo: cuenta deshabilitada, expirada o bloqueada.
0x13 KDC_ERR_SERVICE_REVOKED Se han revocado las credenciales para el servidor Sin información.
0x14 KDC_ERR_TGT_REVOKED Se ha revocado TGT Dado que el KDC remoto puede cambiar su clave PKCROSS mientras aún hay vales PKCROSS activos, debe almacenar en caché las claves PKCROSS antiguas hasta que expire el último vale PKCROSS emitido. De lo contrario, el KDC remoto responderá a un cliente con un mensaje KRB-ERROR del tipo KDC_ERR_TGT_REVOKED. Vea RFC1510 para obtener más información.
0x15 KDC_ERR_CLIENT_NOTYET El cliente aún no es válido: inténtelo de nuevo más adelante Sin información.
0x16 KDC_ERR_SERVICE_NOTYET El servidor aún no es válido: inténtelo de nuevo más adelante Sin información.
0x17 KDC_ERR_KEY_EXPIRED La contraseña ha expirado: cambiar la contraseña para restablecerla La contraseña del usuario ha expirado.
Este código de error no se puede producir en caso "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa kerberos".
0x18 KDC_ERR_PREAUTH_FAILED La información de autenticación previa no era válida Se proporcionó una contraseña incorrecta.
Este código de error no se puede producir en caso "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa kerberos".
0x19 KDC_ERR_PREAUTH_REQUIRED Se requiere autenticación previa adicional Este error suele producirse en UNIX escenarios de interoperabilidad. MIT-Kerberos los clientes no solicitan autenticación previa cuando envían un mensaje KRB_AS_REQ. Si se requiere autenticación previa (el valor predeterminado), los Windows enviarán este error. La mayoría MIT-Kerberos clientes responderán a este error mediante la autenticación previa, en cuyo caso se puede omitir el error, pero es posible que algunos clientes no respondan de esta manera.
0x1A KDC_ERR_SERVER_NOMATCH KDC no conoce el servidor solicitado Sin información.
0x1D KDC_ERR_SVC_UNAVAILABLE KDC no está disponible Sin información.
0x1F KRB_AP_ERR_BAD_INTEGRITY Error en la comprobación de integridad en el campo descifrado El autenticador se cifraba con algo distinto de la clave de sesión. El resultado es que el cliente no puede descifrar el mensaje resultante. La modificación del mensaje podría ser el resultado de un ataque o podría deberse al ruido de la red.
0x20 KRB_AP_ERR_TKT_EXPIRED El vale ha expirado Cuanto menor sea el valor de la configuración de directiva Kerberos "Duración máxima del vale de usuario", más probable es que se produzca este error. Dado que la renovación de vales es automática, no debes hacer nada si recibes este mensaje.
0x21 KRB_AP_ERR_TKT_NYV El vale aún no es válido El vale presentado al servidor aún no es válido (en relación con la hora del servidor). La causa más probable es que los relojes del KDC y el cliente no están sincronizados.
Si se intenta la autenticación Kerberos entre dominios, también debe comprobar la sincronización de tiempo entre KDC en el dominio de destino y KDC en el dominio cliente.
0x22 KRB_AP_ERR_REPEAT La solicitud es una reproducción Este error indica que un autenticador específico se presentó dos veces: el KDC ha detectado que este vale de sesión duplica uno que ya ha recibido.
0x23 KRB_AP_ERR_NOT_US El vale no es para nosotros El servidor ha recibido un vale destinado a un dominio diferente.
0x24 KRB_AP_ERR_BADMATCH El vale y el autenticador no coinciden El KRB_TGS_REQ se envía al KDC incorrecto.
Hay un error de coincidencia de la cuenta durante la transición de protocolo.
0x25 KRB_AP_ERR_SKEW El sesgo de reloj es demasiado grande Este error se registra si un equipo cliente envía una marca de tiempo cuyo valor difiere del de la marca de tiempo del servidor en más de un número de minutos que se encuentra en la configuración "Tolerancia máxima para la sincronización del reloj del equipo" en la directiva Kerberos.
0x26 KRB_AP_ERR_BADADDR La dirección de red en el encabezado de la capa de red no coincide con la dirección dentro del vale Los vales de sesión PUEDEN incluir las direcciones desde las que son válidas. Este error puede producirse si la dirección del equipo que envía el vale es diferente de la dirección válida del vale. Una posible causa de esto podría ser un cambio de dirección del Protocolo de Internet (IP). Otra causa posible es cuando se pasa un vale a través de un servidor proxy o NAT. El cliente no es consciente del esquema de direcciones usado por el servidor proxy, por lo que, a menos que el programa haya provocado que el cliente solicite un vale de servidor proxy con la dirección de origen del servidor proxy, el vale podría no ser válido.
0x27 KRB_AP_ERR_BADVERSION Los números de versión de protocolo no coinciden (PVNO) Cuando una aplicación recibe un mensaje KRB_SAFE, lo comprueba. Si se produce algún error, se notifica un código de error para su uso por parte de la aplicación.
El mensaje se comprueba primero comprobando que los campos de versión y tipo de protocolo coinciden con la versión actual y KRB_SAFE, respectivamente. Un error de coincidencia genera un KRB_AP_ERR_BADVERSION.
Vea RFC4120 para obtener más detalles.
0x28 KRB_AP_ERR_MSG_TYPE El tipo de mensaje no es compatible Este mensaje se genera cuando el servidor de destino encuentra que el formato del mensaje es incorrecto. Esto se aplica a los mensajes KRB_AP_REQ, KRB_SAFE, KRB_PRIV y KRB_CRED.
Este error también se genera si se intenta usar el protocolo UDP con la autenticación de usuario a usuario.
0x29 KRB_AP_ERR_MODIFIED La secuencia de mensajes modificada y la suma de comprobación no coinciden Los datos de autenticación se cifraron con la clave incorrecta para el servidor previsto.
Los datos de autenticación se modificaron en tránsito por un error de hardware o software, o por un atacante.
El cliente envió los datos de autenticación al servidor incorrecto porque los datos DNS incorrectos provocaron que el cliente enviara la solicitud al servidor incorrecto.
El cliente envió los datos de autenticación al servidor incorrecto porque los datos DNS no están actualizados en el cliente.
0x2A KRB_AP_ERR_BADORDER Mensaje fuera de servicio (posible manipulación) Este evento genera para los mensajes KRB_SAFE y KRB_PRIV si se incluye un número de secuencia incorrecto o si se espera un número de secuencia pero no está presente. Vea RFC4120 para obtener más detalles.
0x2C KRB_AP_ERR_BADKEYVER La versión especificada de la clave no está disponible Este error puede generarse en el lado del servidor durante la recepción del mensaje KRB_AP_REQ válido. Si la versión de clave indicada por ticket en krb_AP_REQ no es una que el servidor puede usar (por ejemplo, indica una clave antigua y el servidor ya no tiene una copia de la clave antigua), se devuelve el error KRB_AP_ERR_BADKEYVER.
0x2D KRB_AP_ERR_NOKEY Clave de servicio no disponible Este error puede generarse en el lado del servidor durante la recepción del mensaje KRB_AP_REQ válido. Dado que es posible que el servidor se registre en varios dominios, con claves diferentes en cada uno, el campo de dominio en la parte sin cifrar del vale en krb_AP_REQ se usa para especificar qué clave secreta debe usar el servidor para descifrar ese vale. Se devuelve el código de error KRB_AP_ERR_NOKEY si el servidor no tiene la clave adecuada para descifrar el vale.
0x2E KRB_AP_ERR_MUT_FAIL Error en la autenticación mutua Sin información.
0x2F KRB_AP_ERR_BADDIRECTION Dirección de mensaje incorrecta Sin información.
0x30 KRB_AP_ERR_METHOD Se requiere un método de autenticación alternativo Según RFC4120, este mensaje de error está obsoleto.
0x31 KRB_AP_ERR_BADSEQ Número de secuencia incorrecto en el mensaje Sin información.
0x32 KRB_AP_ERR_INAPP_CKSUM Tipo inadecuado de suma de comprobación en el mensaje (la suma de comprobación puede no ser compatible) Cuando KDC recibe el mensaje KRB_TGS_REQ lo descifra y, después de eso, la suma de comprobación proporcionada por el usuario en el Authenticator DEBE comprobarse con el contenido de la solicitud. El mensaje DEBE rechazarse si las sumas de comprobación no coinciden (con un código de error de KRB_AP_ERR_MODIFIED) o si la suma de comprobación no es a prueba de colisiones (con un código de error de KRB_AP_ERR_INAPP_CKSUM).
0x33 KRB_AP_PATH_NOT_ACCEPTED La ruta de acceso deseada es inaccesible Sin información.
0x34 KRB_ERR_RESPONSE_TOO_BIG Demasiados datos El tamaño de un vale es demasiado grande para transmitirse de forma confiable a través de UDP. En un Windows, este mensaje es puramente informativo. Un equipo que ejecuta un Windows operativo probará tcp automáticamente si se produce un error en UDP.
0x3C KRB_ERR_GENERIC Error genérico La pertenencia a grupos ha sobrecargado el PAC.
No se han propagado varios cambios recientes de contraseña.
Error de subsistema criptográfico causado por la falta de memoria.
SPN demasiado largo.
SPN tiene demasiadas partes.
0x3D KRB_ERR_FIELD_TOOLONG Field es demasiado largo para esta implementación Cada solicitud (KRB_KDC_REQ) y la respuesta (KRB_KDC_REP o KRB_ERROR) enviadas a través de la secuencia TCP están precedidas por la longitud de la solicitud como 4 octetos en orden de bytes de red. El bit alto de la longitud está reservado para la expansión futura y debe establecerse actualmente en cero. Si un KDC que no entiende cómo interpretar un bit alto establecido de la codificación de longitud recibe una solicitud con el bit de orden alto del conjunto de longitud, debe devolver un mensaje KRB-ERROR con el error KRB_ERR_FIELD_TOOLONG y DEBE cerrar la secuencia TCP.
0x3E KDC_ERR_CLIENT_NOT_TRUSTED Error en la confianza del cliente o no se implementa Esto suele ocurrir cuando se revoca el certificado de tarjeta inteligente del usuario o cuando el controlador de dominio no confía en la entidad de certificación raíz que emitió el certificado de tarjeta inteligente (en una cadena).
0x3F KDC_ERR_KDC_NOT_TRUSTED Error en la confianza del servidor KDC o no se pudo comprobar El campo trustedCertifiers contiene una lista de entidades de certificación de confianza del cliente, en el caso de que el cliente no posea el certificado de clave pública de KDC. Si KDC no tiene ningún certificado firmado por ninguno de loscertificadores de confianza, devuelve un error de tipo KDC_ERR_KDC_NOT_TRUSTED. Vea RFC1510 para obtener más información.
0x40 KDC_ERR_INVALID_SIG La firma no es válida Este error está relacionado con PKINIT. Si existe una relación de confianza de PKI, KDC comprueba la firma del cliente en AuthPack (firma de solicitud TGT). Si se produce un error, KDC devuelve un mensaje de error de tipo KDC_ERR_INVALID_SIG.
0x41 KDC_ERR_KEY_TOO_WEAK Se necesita un nivel de cifrado más alto Si se rellena el campo clientPublicValue Diffie-Hellman, que indica que el cliente desea usar un contrato clave, KDC comprueba si los parámetros satisfacen su directiva. Si no lo hacen (por ejemplo, el tamaño principal es insuficiente para el tipo de cifrado esperado), KDC devuelve un mensaje de error de tipo KDC_ERR_KEY_TOO_WEAK.
0x42 KRB_AP_ERR_USER_TO_USER_REQUIRED Se requiere autorización de usuario a usuario En caso de que la aplicación cliente no sepa que un servicio requiere autenticación de usuario a usuario, y solicita y recibe un KRB_AP_REP convencional, el cliente enviará la solicitud KRB_AP_REP y el servidor responderá con un token KRB_ERROR como se describe en RFC1964, con un tipo msg de KRB_AP_ERR_USER_TO_USER_REQUIRED.
0x43 KRB_AP_ERR_NO_TGT No se presentó ningún TGT ni estaba disponible En la autenticación de usuario a usuario si el servicio no tiene un vale de concesión de vales, debe devolver el error KRB_AP_ERR_NO_TGT.
0x44 KDC_ERR_WRONG_REALM Dominio o entidad de seguridad incorrectos Aunque este error rara vez se produce, se produce cuando un cliente presenta un TGT entre dominios en un dominio distinto del especificado en el TGT. Normalmente, esto se debe a DNS configurado incorrectamente.

Tabla 3. Códigos de error de emisión TGT/TGS

  • Tipo de cifrado de vales [Type = HexInt32]: el conjunto criptográfico que se usó para TGT emitido.

Tabla 4. Tipos de cifrado Kerberos

Tipo Nombre de tipo Descripción
0x1 DES-CBC-CRC Deshabilitado de forma predeterminada a partir Windows 7 y Windows Server 2008 R2.
0x3 DES-CBC-MD5 Deshabilitado de forma predeterminada a partir Windows 7 y Windows Server 2008 R2.
0x11 AES128-CTS-HMAC-SHA1-96 Se admite desde Windows Server 2008 y Windows Vista.
0x12 AES256-CTS-HMAC-SHA1-96 Se admite desde Windows Server 2008 y Windows Vista.
0x17 RC4-HMAC Conjunto de aplicaciones predeterminado para sistemas operativos antes de Windows Server 2008 y Windows Vista.
0x18 RC4-HMAC-EXP Conjunto de aplicaciones predeterminado para sistemas operativos antes de Windows Server 2008 y Windows Vista.
0xFFFFFFFF o 0xffffffff - Este tipo se muestra en Eventos de error de auditoría.
  • Tipo de autenticación previa [Type = UnicodeString]: el número de código del tipo de autenticación previa que se usó en la solicitud TGT.

Tabla 5. Tipos de autenticación previa Kerberos

Tipo Nombre de tipo Descripción
0 - Inicio de sesión sin autenticación previa.
2 PA-ENC-TIMESTAMP Este es un tipo normal para la autenticación de contraseña estándar.
11 PA-ETYPE-INFO KDC envía el tipo de autenticación previa ETYPE-INFO en un KRB-ERROR que indica un requisito para la autenticación previa adicional. Normalmente se usa para notificar a un cliente qué clave usar para el cifrado de una marca de tiempo cifrada con el fin de enviar un valor de autenticación previa PA-ENC-TIMESTAMP.
Nunca vio este tipo de autenticación previa en el entorno de Microsoft Active Directory.
15 PA-PK-AS-REP_OLD Se usa para la autenticación de inicio de sesión con tarjeta inteligente.
16 PA-PK-AS-REQ Solicitud enviada a KDC en escenarios de autenticación de tarjeta inteligente.
17 PA-PK-AS-REP Este tipo también debe usarse para la autenticación de tarjeta inteligente, pero en ciertos entornos de Active Directory, nunca se ve.
19 PA-ETYPE-INFO2 KDC envía el tipo de autenticación previa ETYPE-INFO2 en un KRB-ERROR que indica un requisito para la autenticación previa adicional. Normalmente se usa para notificar a un cliente qué clave usar para el cifrado de una marca de tiempo cifrada con el fin de enviar un valor de autenticación previa PA-ENC-TIMESTAMP.
Nunca vio este tipo de autenticación previa en el entorno de Microsoft Active Directory.
20 PA-SVR-REFERRAL-INFO Se usa en vales de referencias KDC.
138 PA-ENCRYPTED-CHALLENGE Inicio de sesión mediante la protección kerberos (FAST). Se admite a partir Windows Server 2012 controladores de dominio y Windows 8 cliente.
- Este tipo se muestra en Eventos de error de auditoría.

Información del certificado:

  • Nombre del emisor de certificados [Type = UnicodeString]: el nombre de la entidad de certificación que emitió el certificado de tarjeta inteligente. Rellenado en Emitido por campo en certificado.

  • Número de serie de certificado [Type = UnicodeString]: número de serie del certificado de tarjeta inteligente. Puede encontrarse en el campo Número de serie del certificado.

  • Huella digital del certificado [Type = UnicodeString]: huella digital del certificado de tarjeta inteligente. Puede encontrarse en el campo Huella digital del certificado.

Recomendaciones de supervisión de seguridad.

Para 4768(S, F): se solicitó un vale de autenticación Kerberos (TGT).

Tipo de supervisión necesaria Recomendación
Cuentas de gran valor: Es posible que tenga un dominio o cuentas locales de gran valor para las que necesita supervisar cada acción.
Algunos ejemplos de cuentas de gran valor son administradores de bases de datos, cuentas de administrador local integradas, administradores de dominio, cuentas de servicio, cuentas de controlador de dominio, etc.
Supervise este evento con el "Id. de usuario" que corresponde a la cuenta o cuentas de alto valor.
Anomalías o acciones malintencionadas: Es posible que tenga necesidades específicas a la hora de detectar anomalías o de supervisar posibles acciones malintencionadas. Por ejemplo, puede que necesite supervisar el uso de una cuenta fuera de horario laboral. Al supervisar si hay anomalías o acciones malintencionadas, use el "Id. de usuario" (con otra información) para supervisar cómo o cuándo se usa una cuenta determinada.
Cuentas no activas: Puede que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deban usarse. Supervise este evento con el "Id. de usuario" que corresponde a las cuentas que nunca deben usarse.
Lista de cuentaspermitidas: es posible que tenga una lista de cuentas específica que sean las únicas permitidas para realizar acciones correspondientes a eventos concretos. Si este evento corresponde a una acción "allowlist-only", revisa el "Id. de usuario" para las cuentas que están fuera de la lista de permitidos.
Cuentas externas: Puede que esté supervisando las cuentas de otro dominio o cuentas "externas" que no pueden realizar determinadas acciones (representadas por determinados eventos específicos). Supervise este evento para el "Nombre de dominio suministrado" correspondiente a otro dominio o ubicación "externa".
Convenciones de nomenclatura de cuentas: Puede que su organización cuente con convenciones de nomenclatura específicas para los nombres de cuenta. Supervise "Id. de usuario" para los nombres que no cumplan con las convenciones de nomenclatura.
  • Puede realizar un seguimiento de todos **** los eventos 4768 donde la dirección de cliente no es de su intervalo interno de direcciones IP o no de intervalos de direcciones IP privadas.

  • Si sabe que nombre de cuenta debe usarse solo **** desde una lista **** conocida de direcciones IP, realice un seguimiento de todos los valores de dirección de cliente para este nombre de cuenta en eventos 4768. Si dirección de cliente no es de la lista de permitidos, genere la alerta.

  • Toda la dirección de cliente = ::1 significa autenticación local. Si conoce la lista de cuentas que deben iniciar sesión en los controladores de dominio, debe supervisar todas **** las infracciones posibles, donde dirección de cliente = ::1 y nombre de cuenta no pueden iniciar sesión en ningún controlador de dominio.

  • Se deben examinar todos **** los eventos 4768 con el valor de campo de puerto de cliente 0 y > 1024, ya que se usó un puerto conocido para la conexión < saliente.

  • Considere también la posibilidad de supervisar los campos que se muestran en la tabla siguiente para detectar los problemas enumerados:

Campo Problema que se debe detectar
Nombre del emisor de certificados El nombre de la entidad de certificación no es de su PKI.
Nombre del emisor de certificados El nombre de la entidad de certificación no está autorizado para emitir certificados de autenticación de tarjeta inteligente.
Tipo de autenticación previa El valor es 0, lo que significa que no se usó la autenticación previa. Todas las cuentas deben usar la autenticación previa, excepto las cuentas configuradas con "No requerir la autenticación previa kerberos", que es un riesgo de seguridad. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos.
Tipo de autenticación previa El valor no es 15 cuando la cuenta debe usar una tarjeta inteligente para la autenticación. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos.
Tipo de autenticación previa El valor no es 2 cuando solo se usa la autenticación de contraseña estándar en la organización. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos.
Tipo de autenticación previa El valor no es 138 cuando la protección kerberos está habilitada para todas las comunicaciones Kerberos de la organización. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos.
Tipo de cifrado de vales Value es 0x1 o 0x3, lo que significa que se usó el algoritmo DES. DES no debe estar en uso, debido a la baja seguridad y las vulnerabilidades conocidas. Está deshabilitada de forma predeterminada a partir de Windows 7 y Windows Server 2008 R2. Para obtener más información, vea tabla 4. Tipos de cifrado Kerberos.
Tipo de cifrado de vales A partir de Windows Vista y Windows Server 2008, supervise valores distintos de 0x11 y 0x12. Estos son los valores esperados, empezando por estos sistemas operativos, y representan algoritmos de la familia AES. Para obtener más información, vea tabla 4. Tipos de cifrado Kerberos.
Código de resultados 0x6 (El nombre de usuario no existe), si ve, por ejemplo, eventos N en los últimos minutos N. Esto puede ser un indicador del ataque de enumeración de cuentas, especialmente para cuentas muy críticas.
Código de resultados 0x7 (servidor no encontrado en la base de datos Kerberos). Este error puede producirse si el controlador de dominio no puede encontrar el nombre del servidor en Active Directory.
Código de resultados 0x8 (varias entradas principales en la base de datos KDC). Esto le ayudará a encontrar SPN duplicados más rápido.
Código de resultados 0x9 (el cliente o servidor tiene una clave nula (clave maestra)). Este error puede ayudarle a identificar problemas con la autenticación Kerberos más rápido.
Código de resultados 0xA (Ticket (TGT) no apto para postdating). Los sistemas Microsoft no deben solicitar vales posdados. Estos eventos podrían ayudar a identificar la actividad de anomalías.
Código de resultados 0xC (La hora de inicio solicitada es posterior a la hora de finalización), si ve, por ejemplo, eventos N en los últimos minutos N. Esto puede ser un indicador de un intento de compromiso de la cuenta, especialmente para cuentas muy críticas.
Código de resultados 0xE (KDC no admite el tipo de cifrado). En general, este error se produce cuando el KDC o un cliente recibe un paquete que no puede descifrar. Supervise estos eventos porque esto no debería ocurrir en un entorno estándar de Active Directory.
Código de resultados 0xF (KDC no admite el tipo de suma de comprobación). Supervise estos eventos porque esto no debería ocurrir en un entorno estándar de Active Directory.
Código de resultados 0x12 (se han revocado las credenciales del cliente), si ve, por ejemplo, eventos N en los últimos minutos N. Esto puede ser un indicador de actividad de anomalía o ataque de fuerza bruta, especialmente para cuentas muy críticas.
Código de resultados 0x1F (error en la comprobación de integridad en el campo descifrado). El autenticador se cifraba con algo distinto de la clave de sesión. El resultado es que KDC no puede descifrar el TGT. La modificación del mensaje podría ser el resultado de un ataque o podría deberse al ruido de la red.
Código de resultados 0x22 (La solicitud es una reproducción). Este error indica que un autenticador específico se presentó dos veces: el KDC ha detectado que este vale de sesión duplica uno que ya ha recibido. Podría ser un signo de intento de ataque.
Código de resultados 0x29 (la secuencia de mensajes modificada y la suma de comprobación no coinciden). Los datos de autenticación se cifraron con la clave incorrecta para el servidor previsto. Los datos de autenticación se modificaron en tránsito por un error de hardware o software, o por un atacante. Supervise estos eventos porque esto no debería ocurrir en un entorno estándar de Active Directory.
Código de resultados 0x3C (error genérico). Este error puede ayudarle a identificar más rápidamente los problemas con la autenticación Kerberos.
Código de resultados 0x3E (error en la confianza del cliente o no se implementa). Este error le ayuda a identificar los intentos de inicio de sesión con certificados revocados y las situaciones en las que un controlador de dominio no confía en la entidad de certificación raíz que emitió el certificado de tarjeta inteligente (a través de una cadena).
Código de resultados 0x3F, 0x40, 0x41 errores. Estos errores pueden ayudarle a identificar más rápidamente problemas relacionados con tarjetas inteligentes con la autenticación Kerberos.