4768(S, F): se solicitó un vale de autenticación Kerberos (TGT).
Subcategoría: Auditar el servicio de autenticación Kerberos
Descripción del evento:
Este evento genera cada vez que el Centro de distribución de claves emite un vale de concesión de vales Kerberos (TGT).
Este evento solo se genera en controladores de dominio.
Si se produce un error en el TGT, verá el evento Error con el campo Código de resultado no igual a "0x0".
Este evento no genera códigos de resultados: 0x10 y 0x18. Evento "4771: Error en la autenticación previa kerberos". genera en su lugar.
Nota
Para obtener recomendaciones, consulte Security Monitoring Recomendaciones para este evento.
XML del evento:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4768</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14339</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-08-07T18:13:46.074535600Z" />
<EventRecordID>166747</EventRecordID>
<Correlation />
<Execution ProcessID="520" ThreadID="1496" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">dadmin</Data>
<Data Name="TargetDomainName">CONTOSO.LOCAL</Data>
<Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="ServiceName">krbtgt</Data>
<Data Name="ServiceSid">S-1-5-21-3457937927-2839227994-823803824-502</Data>
<Data Name="TicketOptions">0x40810010</Data>
<Data Name="Status">0x0</Data>
<Data Name="TicketEncryptionType">0x12</Data>
<Data Name="PreAuthType">15</Data>
<Data Name="IpAddress">::ffff:10.0.0.12</Data>
<Data Name="IpPort">49273</Data>
<Data Name="CertIssuerName">contoso-DC01-CA-1</Data>
<Data Name="CertSerialNumber">1D0000000D292FBE3C6CDDAFA200020000000D</Data>
<Data Name="CertThumbprint">564DFAEE99C71D62ABC553E695BD8DBC46669413</Data>
</EventData>
</Event>
Roles de servidor necesarios: Controlador de dominio de Active Directory.
Versión mínima del sistema operativo: Windows Server 2008.
Versiones de eventos: 0.
Descripciones del campo:
Información de la cuenta:
Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta, para la que se solicitó el vale (TGT). El nombre de cuenta del equipo termina con $ carácter.
Ejemplo de cuenta de usuario: dadmin
Ejemplo de cuenta de equipo: WIN81$
Nombre de dominio proporcionado [Type = UnicodeString]: el nombre del dominio Kerberos al que pertenece nombre de cuenta. Esto puede aparecer en una variedad de formatos, incluidos los siguientes:
Ejemplo de nombre NETBIOS de dominio: CONTOSO
Nombre de dominio completo en minúsculas: contoso.local
Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL
Nota
Un dominio Kerberos es un conjunto de nodos administrados que comparten la misma base de datos Kerberos. La base de datos Kerberos reside en el sistema principal del equipo Kerberos, que debe mantenerse en una sala físicamente segura. El dominio de Active Directory es el ejemplo de Kerberos Realm en el mundo de Microsoft Windows Active Directory.
Id. de usuario [Type = SID]: SID de la cuenta para la que se solicitó el vale (TGT). El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.
Por ejemplo: CONTOSO\dadmin o CONTOSO\WIN81$.
- SID NULL: este valor se muestra en 4768 Eventos de error.
Nota
Un identificador de seguridad (SID) es un valor único de longitud variable usado para identificar un administrador (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.
Información del servicio:
Nombre del servicio [Type = UnicodeString]: el nombre del servicio en el dominio Kerberos al que se envió la solicitud TGT. Normalmente tiene el valor "krbtgt" para las solicitudes TGT, lo que significa servicio de emisión de vales de concesión de vales.
- Para eventos de error, el nombre de servicio suele tener el siguiente formato: krbtgt/REALM_NAME. Por ejemplo: krbtgt/CONTOSO.
Id. de servicio [Type = SID]: SID de la cuenta de servicio en el dominio Kerberos al que se envió la solicitud TGT. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.
Los controladores de dominio tienen una cuenta de servicio específica (krbtgt) que usa el servicio del Centro de distribución de claves (KDC) para emitir vales Kerberos. Tiene un SID predefinido y integrado: S-1-5-21-DOMAIN_IDENTIFIER-502.
- SID NULL: este valor se muestra en 4768 Eventos de error.
Información de red:
Dirección de cliente [Type = UnicodeString]: dirección IP del equipo desde el que se recibió la solicitud TGT. Los formatos pueden variar e incluyen lo siguiente:
Dirección IPv6 o IPv4.
::ffff:IPv4_address.
::1: localhost.
Puerto de cliente [Type = UnicodeString]: número de puerto de origen de la conexión de red de cliente (conexión de solicitud TGT).
- 0 para solicitudes locales (localhost).
Información adicional:
Opciones de vale [Type = HexInt32]: se trata de un conjunto de marcas de vales diferentes en formato hexadecimal.
Por ejemplo:
Opciones de vales: 0x40810010
Vista binaria: 01000000100000010000000000010000
Con la numeración MSB de 0 bits tenemos los bits 1, 8, 15 y 27 establecidos = Reenviables, Renovables, Canónicas, Renovables-ok.
Nota
En la tabla siguiente se usa la numeración de bits "MSB 0", ya que los documentos RFC usan este estilo. En "MSB 0" la numeración de bits de estilo comienza desde la izquierda.
Los valores más comunes:
0x40810010: forwardable, Renewable, Canonicalize, Renewable-ok
0x40810000: reenviable, renovable, canónica
0x60810010: reenviable, reenviado, renovable, canónico, renovable-ok
| Bit | Nombre de la marca | Descripción |
|---|---|---|
| 0 | Reservado | - |
| 1 | Reenviable | (solo TGT). Indica al servicio de concesión de vales que puede emitir un nuevo TGT (basado en el TGT presentado) con una dirección de red diferente basada en el TGT presentado. |
| 2 | Reenviado | Indica que se reenvía un TGT o que se emitió un vale desde un TGT reenviado. |
| 3 | Proxiable | (solo TGT). Indica al servicio de concesión de vales que puede emitir vales con una dirección de red diferente a la del TGT. |
| 4 | Proxy | Indica que la dirección de red del vale es diferente de la que se usa en el TGT para obtener el vale. |
| 5 | Allow-postdate | Los vales posdados NO DEBEN ser compatibles con KILE (Extensión del protocolo Kerberos de Microsoft). |
| 6 | Posdated | Los vales posdados NO DEBEN ser compatibles con KILE (Extensión del protocolo Kerberos de Microsoft). |
| 7 | No válido | Esta marca indica que un vale no es válido y el KDC debe validarlo antes de usarlo. Los servidores de aplicaciones deben rechazar vales que tengan esta marca establecida. |
| 8 | Renovable | Se usa en combinación con los campos Hora de finalización y Renovar hasta para hacer que los vales con períodos de larga duración se renueve en KDC periódicamente. |
| 9 | Inicial | Indica que un vale se emitió mediante el intercambio del servicio de autenticación (AS) y no se emitió en función de un TGT. |
| 10 | Autenticación previa | Indica que el KDC autenticó el cliente antes de emitir un vale. Esta marca suele indicar la presencia de un autenticador en el vale. También puede marcar la presencia de credenciales tomadas desde un inicio de sesión de tarjeta inteligente. |
| 11 | Opt-hardware-auth | Esta marca estaba diseñada originalmente para indicar que la autenticación compatible con hardware se usaba durante la autenticación previa. Esta marca ya no se recomienda en el protocolo Kerberos V5. Los KDC NO DEBEN emitir un vale con este conjunto de marcas. Los KDC NO DEBEN conservar esta marca si la establece otro KDC. |
| 12 | Transited-policy-checked | KILE NO DEBE comprobar si hay dominios transitados en servidores o KDC. Los servidores de aplicaciones DEBEN omitir la marca TRANSITED-POLICY-CHECKED. |
| 13 | Aceptar como delegado | El KDC DEBE establecer la marca OK-AS-DELEGATE si la cuenta de servicio es de confianza para la delegación. |
| 14 | Request-anonymous | KILE no usa esta marca. |
| 15 | Name-canonicalize | Para solicitar referencias, el cliente Kerberos DEBE solicitar explícitamente la opción KDC "canonizar" para AS-REQ o TGS-REQ. |
| 16-25 | Sin usar | - |
| 26 | Disable-transited-check | De forma predeterminada, KDC comprobará el campo transitado de un TGT con la directiva del dominio local antes de emitir vales derivados basados en el TGT. Si esta marca se establece en la solicitud, se deshabilita la comprobación del campo transitado. Los vales emitidos sin el rendimiento de esta comprobación se indicarán mediante el valor de restablecimiento (0) de la marca TRANSITED-POLICY-CHECKED, que indica al servidor de aplicaciones que el campo transitado debe comprobarse localmente. Se anima a los KDC, pero no es necesario que los la opción DISABLE-TRANSITED-CHECK. No debe estar en uso, ya que la marca transited-policy-checked no es compatible con KILE. |
| 27 | Renewable-ok | La opción RENEWABLE-OK indica que un vale renovable será aceptable si de lo contrario no se puede proporcionar un vale con la vida solicitada, en cuyo caso se puede emitir un vale renovable con una renovación de hasta igual a la hora de finalización solicitada. El valor del campo renew-till todavía puede estar limitado por límites locales o límites seleccionados por la entidad de seguridad o el servidor individuales. |
| 28 | Enc-tkt-in-skey | Sin información. |
| 29 | Sin usar | - |
| 30 | Renovar | La opción RENEW indica que la solicitud actual es para una renovación. El vale proporcionado se cifra en la clave secreta del servidor en el que es válido. Esta opción solo se respetará si el vale que se va a renovar tiene su marca RENOVABLE establecida y si no ha pasado el tiempo en el campo de renovación. El vale que se va a renovar se pasa en el campo padata como parte del encabezado de autenticación. |
| 31 | Validación | Esta opción solo la usa el servicio de concesión de vales. La opción VALIDATE indica que la solicitud es validar un vale postdated. No debe estar en uso, ya que los vales posdados no son compatibles con KILE. |
Tabla 2. Marcas de vales Kerberos
Nota
KILE (Extensión del protocolo Kerberos de Microsoft): extensiones de protocolo Kerberos usadas en sistemas operativos Microsoft. Estas extensiones proporcionan capacidad adicional para la información de autorización, como pertenencias a grupos, información interactiva de inicio de sesión y niveles de integridad.
- Código de resultado [Type = HexInt32]: código de resultado hexadecimal de la operación de problema TGT. La "Tabla 3. Códigos de error de emisión TGT/TGS." contiene la lista de los códigos de error más comunes para este evento.
| Código | Nombre de código | Descripción | Causas posibles |
|---|---|---|---|
| 0x0 | KDC_ERR_NONE | Sin error | No se encontraron errores. |
| 0x1 | KDC_ERR_NAME_EXP | La entrada del cliente en la base de datos KDC ha expirado | Sin información. |
| 0x2 | KDC_ERR_SERVICE_EXP | La entrada del servidor en la base de datos KDC ha expirado | Sin información. |
| 0x3 | KDC_ERR_BAD_PVNO | No se admite el número de versión Kerberos solicitado | Sin información. |
| 0x4 | KDC_ERR_C_OLD_MAST_KVNO | Clave del cliente cifrada en clave maestra antigua | Sin información. |
| 0x5 | KDC_ERR_S_OLD_MAST_KVNO | Clave del servidor cifrada en clave maestra antigua | Sin información. |
| 0x6 | KDC_ERR_C_PRINCIPAL_UNKNOWN | Cliente no encontrado en la base de datos Kerberos | El nombre de usuario no existe. |
| 0x7 | KDC_ERR_S_PRINCIPAL_UNKNOWN | Servidor no encontrado en la base de datos Kerberos | Este error puede producirse si el controlador de dominio no puede encontrar el nombre del servidor en Active Directory. Este error es similar a KDC_ERR_C_PRINCIPAL_UNKNOWN excepto que se produce cuando no se encuentra el nombre del servidor. |
| 0x8 | KDC_ERR_PRINCIPAL_NOT_UNIQUE | Varias entradas principales en la base de datos KDC | Este error se produce si existen nombres de entidad de seguridad duplicados. Los nombres de entidad de seguridad únicos son fundamentales para garantizar la autenticación mutua. Por lo tanto, los nombres principales duplicados están estrictamente prohibidos, incluso en varios dominios. Sin nombres de entidad de seguridad únicos, el cliente no tiene forma de asegurarse de que el servidor con el que se está comunicando sea el correcto. |
| 0x9 | KDC_ERR_NULL_KEY | El cliente o el servidor tiene una clave null (clave maestra) | No se encontró ninguna clave maestra para el cliente o el servidor. Por lo general, significa que el administrador debe restablecer la contraseña de la cuenta. |
| 0xA | KDC_ERR_CANNOT_POSTDATE | Ticket (TGT) no apto para postdating | Este error puede producirse si un cliente solicita la posdación de un vale Kerberos. Postdating is the act of requesting that a ticket's start time be set into the future. También puede ocurrir si hay una diferencia de tiempo entre el cliente y KDC. |
| 0xB | KDC_ERR_NEVER_VALID | La hora de inicio solicitada es posterior a la hora de finalización | Hay una diferencia de tiempo entre KDC y el cliente. |
| 0xC | KDC_ERR_POLICY | La hora de inicio solicitada es posterior a la hora de finalización | Este error suele ser el resultado de las restricciones de inicio de sesión en la cuenta de un usuario. Por ejemplo, restricción de estación de trabajo, requisito de autenticación de tarjeta inteligente o restricción de hora de inicio de sesión. |
| 0xD | KDC_ERR_BADOPTION | KDC no puede dar cabida a la opción solicitada | Expiración inminente de un TGT. El SPN al que el cliente está intentando delegar credenciales no está en su lista Delegada a permitida |
| 0xE | KDC_ERR_ETYPE_NOTSUPP | KDC no admite el tipo de cifrado | En general, este error se produce cuando el KDC o un cliente recibe un paquete que no puede descifrar. |
| 0xF | KDC_ERR_SUMTYPE_NOSUPP | KDC no admite el tipo de suma de comprobación | KDC, servidor o cliente recibe un paquete para el que no tiene una clave del tipo de cifrado adecuado. El resultado es que el equipo no puede descifrar el vale. |
| 0x10 | KDC_ERR_PADATA_TYPE_NOSUPP | KDC no admite el tipo PADATA (datos previos a la autenticación) | Se está intentando iniciar sesión con tarjeta inteligente y no se puede encontrar el certificado adecuado. Esto puede ocurrir porque se está consultando a la entidad de certificación (CA) incorrecta o no se puede ponerse en contacto con la CA adecuada. También puede ocurrir cuando un controlador de dominio no tiene instalado un certificado para tarjetas inteligentes (plantillas de autenticación de controlador de dominio o controlador de dominio). Este código de error no se puede producir en caso "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa kerberos". |
| 0x11 | KDC_ERR_TRTYPE_NO_SUPP | KDC no admite el tipo transitado | Sin información. |
| 0x12 | KDC_ERR_CLIENT_REVOKED | Se han revocado las credenciales del cliente | Esto puede deberse a una deshabilitación explícita o a otras restricciones en la cuenta. Por ejemplo: cuenta deshabilitada, expirada o bloqueada. |
| 0x13 | KDC_ERR_SERVICE_REVOKED | Se han revocado las credenciales para el servidor | Sin información. |
| 0x14 | KDC_ERR_TGT_REVOKED | Se ha revocado TGT | Dado que el KDC remoto puede cambiar su clave PKCROSS mientras aún hay vales PKCROSS activos, debe almacenar en caché las claves PKCROSS antiguas hasta que expire el último vale PKCROSS emitido. De lo contrario, el KDC remoto responderá a un cliente con un mensaje KRB-ERROR del tipo KDC_ERR_TGT_REVOKED. Vea RFC1510 para obtener más información. |
| 0x15 | KDC_ERR_CLIENT_NOTYET | El cliente aún no es válido: inténtelo de nuevo más adelante | Sin información. |
| 0x16 | KDC_ERR_SERVICE_NOTYET | El servidor aún no es válido: inténtelo de nuevo más adelante | Sin información. |
| 0x17 | KDC_ERR_KEY_EXPIRED | La contraseña ha expirado: cambiar la contraseña para restablecerla | La contraseña del usuario ha expirado. Este código de error no se puede producir en caso "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa kerberos". |
| 0x18 | KDC_ERR_PREAUTH_FAILED | La información de autenticación previa no era válida | Se proporcionó una contraseña incorrecta. Este código de error no se puede producir en caso "4768. Se solicitó un vale de autenticación Kerberos (TGT). Se produce en "4771. Error en la autenticación previa kerberos". |
| 0x19 | KDC_ERR_PREAUTH_REQUIRED | Se requiere autenticación previa adicional | Este error suele producirse en UNIX escenarios de interoperabilidad. MIT-Kerberos los clientes no solicitan autenticación previa cuando envían un mensaje KRB_AS_REQ. Si se requiere autenticación previa (el valor predeterminado), los Windows enviarán este error. La mayoría MIT-Kerberos clientes responderán a este error mediante la autenticación previa, en cuyo caso se puede omitir el error, pero es posible que algunos clientes no respondan de esta manera. |
| 0x1A | KDC_ERR_SERVER_NOMATCH | KDC no conoce el servidor solicitado | Sin información. |
| 0x1D | KDC_ERR_SVC_UNAVAILABLE | KDC no está disponible | Sin información. |
| 0x1F | KRB_AP_ERR_BAD_INTEGRITY | Error en la comprobación de integridad en el campo descifrado | El autenticador se cifraba con algo distinto de la clave de sesión. El resultado es que el cliente no puede descifrar el mensaje resultante. La modificación del mensaje podría ser el resultado de un ataque o podría deberse al ruido de la red. |
| 0x20 | KRB_AP_ERR_TKT_EXPIRED | El vale ha expirado | Cuanto menor sea el valor de la configuración de directiva Kerberos "Duración máxima del vale de usuario", más probable es que se produzca este error. Dado que la renovación de vales es automática, no debes hacer nada si recibes este mensaje. |
| 0x21 | KRB_AP_ERR_TKT_NYV | El vale aún no es válido | El vale presentado al servidor aún no es válido (en relación con la hora del servidor). La causa más probable es que los relojes del KDC y el cliente no están sincronizados. Si se intenta la autenticación Kerberos entre dominios, también debe comprobar la sincronización de tiempo entre KDC en el dominio de destino y KDC en el dominio cliente. |
| 0x22 | KRB_AP_ERR_REPEAT | La solicitud es una reproducción | Este error indica que un autenticador específico se presentó dos veces: el KDC ha detectado que este vale de sesión duplica uno que ya ha recibido. |
| 0x23 | KRB_AP_ERR_NOT_US | El vale no es para nosotros | El servidor ha recibido un vale destinado a un dominio diferente. |
| 0x24 | KRB_AP_ERR_BADMATCH | El vale y el autenticador no coinciden | El KRB_TGS_REQ se envía al KDC incorrecto. Hay un error de coincidencia de la cuenta durante la transición de protocolo. |
| 0x25 | KRB_AP_ERR_SKEW | El sesgo de reloj es demasiado grande | Este error se registra si un equipo cliente envía una marca de tiempo cuyo valor difiere del de la marca de tiempo del servidor en más de un número de minutos que se encuentra en la configuración "Tolerancia máxima para la sincronización del reloj del equipo" en la directiva Kerberos. |
| 0x26 | KRB_AP_ERR_BADADDR | La dirección de red en el encabezado de la capa de red no coincide con la dirección dentro del vale | Los vales de sesión PUEDEN incluir las direcciones desde las que son válidas. Este error puede producirse si la dirección del equipo que envía el vale es diferente de la dirección válida del vale. Una posible causa de esto podría ser un cambio de dirección del Protocolo de Internet (IP). Otra causa posible es cuando se pasa un vale a través de un servidor proxy o NAT. El cliente no es consciente del esquema de direcciones usado por el servidor proxy, por lo que, a menos que el programa haya provocado que el cliente solicite un vale de servidor proxy con la dirección de origen del servidor proxy, el vale podría no ser válido. |
| 0x27 | KRB_AP_ERR_BADVERSION | Los números de versión de protocolo no coinciden (PVNO) | Cuando una aplicación recibe un mensaje KRB_SAFE, lo comprueba. Si se produce algún error, se notifica un código de error para su uso por parte de la aplicación. El mensaje se comprueba primero comprobando que los campos de versión y tipo de protocolo coinciden con la versión actual y KRB_SAFE, respectivamente. Un error de coincidencia genera un KRB_AP_ERR_BADVERSION. Vea RFC4120 para obtener más detalles. |
| 0x28 | KRB_AP_ERR_MSG_TYPE | El tipo de mensaje no es compatible | Este mensaje se genera cuando el servidor de destino encuentra que el formato del mensaje es incorrecto. Esto se aplica a los mensajes KRB_AP_REQ, KRB_SAFE, KRB_PRIV y KRB_CRED. Este error también se genera si se intenta usar el protocolo UDP con la autenticación de usuario a usuario. |
| 0x29 | KRB_AP_ERR_MODIFIED | La secuencia de mensajes modificada y la suma de comprobación no coinciden | Los datos de autenticación se cifraron con la clave incorrecta para el servidor previsto. Los datos de autenticación se modificaron en tránsito por un error de hardware o software, o por un atacante. El cliente envió los datos de autenticación al servidor incorrecto porque los datos DNS incorrectos provocaron que el cliente enviara la solicitud al servidor incorrecto. El cliente envió los datos de autenticación al servidor incorrecto porque los datos DNS no están actualizados en el cliente. |
| 0x2A | KRB_AP_ERR_BADORDER | Mensaje fuera de servicio (posible manipulación) | Este evento genera para los mensajes KRB_SAFE y KRB_PRIV si se incluye un número de secuencia incorrecto o si se espera un número de secuencia pero no está presente. Vea RFC4120 para obtener más detalles. |
| 0x2C | KRB_AP_ERR_BADKEYVER | La versión especificada de la clave no está disponible | Este error puede generarse en el lado del servidor durante la recepción del mensaje KRB_AP_REQ válido. Si la versión de clave indicada por ticket en krb_AP_REQ no es una que el servidor puede usar (por ejemplo, indica una clave antigua y el servidor ya no tiene una copia de la clave antigua), se devuelve el error KRB_AP_ERR_BADKEYVER. |
| 0x2D | KRB_AP_ERR_NOKEY | Clave de servicio no disponible | Este error puede generarse en el lado del servidor durante la recepción del mensaje KRB_AP_REQ válido. Dado que es posible que el servidor se registre en varios dominios, con claves diferentes en cada uno, el campo de dominio en la parte sin cifrar del vale en krb_AP_REQ se usa para especificar qué clave secreta debe usar el servidor para descifrar ese vale. Se devuelve el código de error KRB_AP_ERR_NOKEY si el servidor no tiene la clave adecuada para descifrar el vale. |
| 0x2E | KRB_AP_ERR_MUT_FAIL | Error en la autenticación mutua | Sin información. |
| 0x2F | KRB_AP_ERR_BADDIRECTION | Dirección de mensaje incorrecta | Sin información. |
| 0x30 | KRB_AP_ERR_METHOD | Se requiere un método de autenticación alternativo | Según RFC4120, este mensaje de error está obsoleto. |
| 0x31 | KRB_AP_ERR_BADSEQ | Número de secuencia incorrecto en el mensaje | Sin información. |
| 0x32 | KRB_AP_ERR_INAPP_CKSUM | Tipo inadecuado de suma de comprobación en el mensaje (la suma de comprobación puede no ser compatible) | Cuando KDC recibe el mensaje KRB_TGS_REQ lo descifra y, después de eso, la suma de comprobación proporcionada por el usuario en el Authenticator DEBE comprobarse con el contenido de la solicitud. El mensaje DEBE rechazarse si las sumas de comprobación no coinciden (con un código de error de KRB_AP_ERR_MODIFIED) o si la suma de comprobación no es a prueba de colisiones (con un código de error de KRB_AP_ERR_INAPP_CKSUM). |
| 0x33 | KRB_AP_PATH_NOT_ACCEPTED | La ruta de acceso deseada es inaccesible | Sin información. |
| 0x34 | KRB_ERR_RESPONSE_TOO_BIG | Demasiados datos | El tamaño de un vale es demasiado grande para transmitirse de forma confiable a través de UDP. En un Windows, este mensaje es puramente informativo. Un equipo que ejecuta un Windows operativo probará tcp automáticamente si se produce un error en UDP. |
| 0x3C | KRB_ERR_GENERIC | Error genérico | La pertenencia a grupos ha sobrecargado el PAC. No se han propagado varios cambios recientes de contraseña. Error de subsistema criptográfico causado por la falta de memoria. SPN demasiado largo. SPN tiene demasiadas partes. |
| 0x3D | KRB_ERR_FIELD_TOOLONG | Field es demasiado largo para esta implementación | Cada solicitud (KRB_KDC_REQ) y la respuesta (KRB_KDC_REP o KRB_ERROR) enviadas a través de la secuencia TCP están precedidas por la longitud de la solicitud como 4 octetos en orden de bytes de red. El bit alto de la longitud está reservado para la expansión futura y debe establecerse actualmente en cero. Si un KDC que no entiende cómo interpretar un bit alto establecido de la codificación de longitud recibe una solicitud con el bit de orden alto del conjunto de longitud, debe devolver un mensaje KRB-ERROR con el error KRB_ERR_FIELD_TOOLONG y DEBE cerrar la secuencia TCP. |
| 0x3E | KDC_ERR_CLIENT_NOT_TRUSTED | Error en la confianza del cliente o no se implementa | Esto suele ocurrir cuando se revoca el certificado de tarjeta inteligente del usuario o cuando el controlador de dominio no confía en la entidad de certificación raíz que emitió el certificado de tarjeta inteligente (en una cadena). |
| 0x3F | KDC_ERR_KDC_NOT_TRUSTED | Error en la confianza del servidor KDC o no se pudo comprobar | El campo trustedCertifiers contiene una lista de entidades de certificación de confianza del cliente, en el caso de que el cliente no posea el certificado de clave pública de KDC. Si KDC no tiene ningún certificado firmado por ninguno de loscertificadores de confianza, devuelve un error de tipo KDC_ERR_KDC_NOT_TRUSTED. Vea RFC1510 para obtener más información. |
| 0x40 | KDC_ERR_INVALID_SIG | La firma no es válida | Este error está relacionado con PKINIT. Si existe una relación de confianza de PKI, KDC comprueba la firma del cliente en AuthPack (firma de solicitud TGT). Si se produce un error, KDC devuelve un mensaje de error de tipo KDC_ERR_INVALID_SIG. |
| 0x41 | KDC_ERR_KEY_TOO_WEAK | Se necesita un nivel de cifrado más alto | Si se rellena el campo clientPublicValue Diffie-Hellman, que indica que el cliente desea usar un contrato clave, KDC comprueba si los parámetros satisfacen su directiva. Si no lo hacen (por ejemplo, el tamaño principal es insuficiente para el tipo de cifrado esperado), KDC devuelve un mensaje de error de tipo KDC_ERR_KEY_TOO_WEAK. |
| 0x42 | KRB_AP_ERR_USER_TO_USER_REQUIRED | Se requiere autorización de usuario a usuario | En caso de que la aplicación cliente no sepa que un servicio requiere autenticación de usuario a usuario, y solicita y recibe un KRB_AP_REP convencional, el cliente enviará la solicitud KRB_AP_REP y el servidor responderá con un token KRB_ERROR como se describe en RFC1964, con un tipo msg de KRB_AP_ERR_USER_TO_USER_REQUIRED. |
| 0x43 | KRB_AP_ERR_NO_TGT | No se presentó ningún TGT ni estaba disponible | En la autenticación de usuario a usuario si el servicio no tiene un vale de concesión de vales, debe devolver el error KRB_AP_ERR_NO_TGT. |
| 0x44 | KDC_ERR_WRONG_REALM | Dominio o entidad de seguridad incorrectos | Aunque este error rara vez se produce, se produce cuando un cliente presenta un TGT entre dominios en un dominio distinto del especificado en el TGT. Normalmente, esto se debe a DNS configurado incorrectamente. |
Tabla 3. Códigos de error de emisión TGT/TGS
- Tipo de cifrado de vales [Type = HexInt32]: el conjunto criptográfico que se usó para TGT emitido.
Tabla 4. Tipos de cifrado Kerberos
| Tipo | Nombre de tipo | Descripción |
|---|---|---|
| 0x1 | DES-CBC-CRC | Deshabilitado de forma predeterminada a partir Windows 7 y Windows Server 2008 R2. |
| 0x3 | DES-CBC-MD5 | Deshabilitado de forma predeterminada a partir Windows 7 y Windows Server 2008 R2. |
| 0x11 | AES128-CTS-HMAC-SHA1-96 | Se admite desde Windows Server 2008 y Windows Vista. |
| 0x12 | AES256-CTS-HMAC-SHA1-96 | Se admite desde Windows Server 2008 y Windows Vista. |
| 0x17 | RC4-HMAC | Conjunto de aplicaciones predeterminado para sistemas operativos antes de Windows Server 2008 y Windows Vista. |
| 0x18 | RC4-HMAC-EXP | Conjunto de aplicaciones predeterminado para sistemas operativos antes de Windows Server 2008 y Windows Vista. |
| 0xFFFFFFFF o 0xffffffff | - | Este tipo se muestra en Eventos de error de auditoría. |
- Tipo de autenticación previa [Type = UnicodeString]: el número de código del tipo de autenticación previa que se usó en la solicitud TGT.
Tabla 5. Tipos de autenticación previa Kerberos
| Tipo | Nombre de tipo | Descripción |
|---|---|---|
| 0 | - | Inicio de sesión sin autenticación previa. |
| 2 | PA-ENC-TIMESTAMP | Este es un tipo normal para la autenticación de contraseña estándar. |
| 11 | PA-ETYPE-INFO | KDC envía el tipo de autenticación previa ETYPE-INFO en un KRB-ERROR que indica un requisito para la autenticación previa adicional. Normalmente se usa para notificar a un cliente qué clave usar para el cifrado de una marca de tiempo cifrada con el fin de enviar un valor de autenticación previa PA-ENC-TIMESTAMP. Nunca vio este tipo de autenticación previa en el entorno de Microsoft Active Directory. |
| 15 | PA-PK-AS-REP_OLD | Se usa para la autenticación de inicio de sesión con tarjeta inteligente. |
| 16 | PA-PK-AS-REQ | Solicitud enviada a KDC en escenarios de autenticación de tarjeta inteligente. |
| 17 | PA-PK-AS-REP | Este tipo también debe usarse para la autenticación de tarjeta inteligente, pero en ciertos entornos de Active Directory, nunca se ve. |
| 19 | PA-ETYPE-INFO2 | KDC envía el tipo de autenticación previa ETYPE-INFO2 en un KRB-ERROR que indica un requisito para la autenticación previa adicional. Normalmente se usa para notificar a un cliente qué clave usar para el cifrado de una marca de tiempo cifrada con el fin de enviar un valor de autenticación previa PA-ENC-TIMESTAMP. Nunca vio este tipo de autenticación previa en el entorno de Microsoft Active Directory. |
| 20 | PA-SVR-REFERRAL-INFO | Se usa en vales de referencias KDC. |
| 138 | PA-ENCRYPTED-CHALLENGE | Inicio de sesión mediante la protección kerberos (FAST). Se admite a partir Windows Server 2012 controladores de dominio y Windows 8 cliente. |
| - | Este tipo se muestra en Eventos de error de auditoría. |
Información del certificado:
Nombre del emisor de certificados [Type = UnicodeString]: el nombre de la entidad de certificación que emitió el certificado de tarjeta inteligente. Rellenado en Emitido por campo en certificado.
Número de serie de certificado [Type = UnicodeString]: número de serie del certificado de tarjeta inteligente. Puede encontrarse en el campo Número de serie del certificado.
Huella digital del certificado [Type = UnicodeString]: huella digital del certificado de tarjeta inteligente. Puede encontrarse en el campo Huella digital del certificado.
Recomendaciones de supervisión de seguridad.
Para 4768(S, F): se solicitó un vale de autenticación Kerberos (TGT).
| Tipo de supervisión necesaria | Recomendación |
|---|---|
| Cuentas de gran valor: Es posible que tenga un dominio o cuentas locales de gran valor para las que necesita supervisar cada acción. Algunos ejemplos de cuentas de gran valor son administradores de bases de datos, cuentas de administrador local integradas, administradores de dominio, cuentas de servicio, cuentas de controlador de dominio, etc. |
Supervise este evento con el "Id. de usuario" que corresponde a la cuenta o cuentas de alto valor. |
| Anomalías o acciones malintencionadas: Es posible que tenga necesidades específicas a la hora de detectar anomalías o de supervisar posibles acciones malintencionadas. Por ejemplo, puede que necesite supervisar el uso de una cuenta fuera de horario laboral. | Al supervisar si hay anomalías o acciones malintencionadas, use el "Id. de usuario" (con otra información) para supervisar cómo o cuándo se usa una cuenta determinada. |
| Cuentas no activas: Puede que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deban usarse. | Supervise este evento con el "Id. de usuario" que corresponde a las cuentas que nunca deben usarse. |
| Lista de cuentaspermitidas: es posible que tenga una lista de cuentas específica que sean las únicas permitidas para realizar acciones correspondientes a eventos concretos. | Si este evento corresponde a una acción "allowlist-only", revisa el "Id. de usuario" para las cuentas que están fuera de la lista de permitidos. |
| Cuentas externas: Puede que esté supervisando las cuentas de otro dominio o cuentas "externas" que no pueden realizar determinadas acciones (representadas por determinados eventos específicos). | Supervise este evento para el "Nombre de dominio suministrado" correspondiente a otro dominio o ubicación "externa". |
| Convenciones de nomenclatura de cuentas: Puede que su organización cuente con convenciones de nomenclatura específicas para los nombres de cuenta. | Supervise "Id. de usuario" para los nombres que no cumplan con las convenciones de nomenclatura. |
Puede realizar un seguimiento de todos **** los eventos 4768 donde la dirección de cliente no es de su intervalo interno de direcciones IP o no de intervalos de direcciones IP privadas.
Si sabe que nombre de cuenta debe usarse solo **** desde una lista **** conocida de direcciones IP, realice un seguimiento de todos los valores de dirección de cliente para este nombre de cuenta en eventos 4768. Si dirección de cliente no es de la lista de permitidos, genere la alerta.
Toda la dirección de cliente = ::1 significa autenticación local. Si conoce la lista de cuentas que deben iniciar sesión en los controladores de dominio, debe supervisar todas **** las infracciones posibles, donde dirección de cliente = ::1 y nombre de cuenta no pueden iniciar sesión en ningún controlador de dominio.
Se deben examinar todos **** los eventos 4768 con el valor de campo de puerto de cliente 0 y > 1024, ya que se usó un puerto conocido para la conexión < saliente.
Considere también la posibilidad de supervisar los campos que se muestran en la tabla siguiente para detectar los problemas enumerados:
| Campo | Problema que se debe detectar |
|---|---|
| Nombre del emisor de certificados | El nombre de la entidad de certificación no es de su PKI. |
| Nombre del emisor de certificados | El nombre de la entidad de certificación no está autorizado para emitir certificados de autenticación de tarjeta inteligente. |
| Tipo de autenticación previa | El valor es 0, lo que significa que no se usó la autenticación previa. Todas las cuentas deben usar la autenticación previa, excepto las cuentas configuradas con "No requerir la autenticación previa kerberos", que es un riesgo de seguridad. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos. |
| Tipo de autenticación previa | El valor no es 15 cuando la cuenta debe usar una tarjeta inteligente para la autenticación. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos. |
| Tipo de autenticación previa | El valor no es 2 cuando solo se usa la autenticación de contraseña estándar en la organización. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos. |
| Tipo de autenticación previa | El valor no es 138 cuando la protección kerberos está habilitada para todas las comunicaciones Kerberos de la organización. Para obtener más información, vea tabla 5. Tipos de autenticación previa Kerberos. |
| Tipo de cifrado de vales | Value es 0x1 o 0x3, lo que significa que se usó el algoritmo DES. DES no debe estar en uso, debido a la baja seguridad y las vulnerabilidades conocidas. Está deshabilitada de forma predeterminada a partir de Windows 7 y Windows Server 2008 R2. Para obtener más información, vea tabla 4. Tipos de cifrado Kerberos. |
| Tipo de cifrado de vales | A partir de Windows Vista y Windows Server 2008, supervise valores distintos de 0x11 y 0x12. Estos son los valores esperados, empezando por estos sistemas operativos, y representan algoritmos de la familia AES. Para obtener más información, vea tabla 4. Tipos de cifrado Kerberos. |
| Código de resultados | 0x6 (El nombre de usuario no existe), si ve, por ejemplo, eventos N en los últimos minutos N. Esto puede ser un indicador del ataque de enumeración de cuentas, especialmente para cuentas muy críticas. |
| Código de resultados | 0x7 (servidor no encontrado en la base de datos Kerberos). Este error puede producirse si el controlador de dominio no puede encontrar el nombre del servidor en Active Directory. |
| Código de resultados | 0x8 (varias entradas principales en la base de datos KDC). Esto le ayudará a encontrar SPN duplicados más rápido. |
| Código de resultados | 0x9 (el cliente o servidor tiene una clave nula (clave maestra)). Este error puede ayudarle a identificar problemas con la autenticación Kerberos más rápido. |
| Código de resultados | 0xA (Ticket (TGT) no apto para postdating). Los sistemas Microsoft no deben solicitar vales posdados. Estos eventos podrían ayudar a identificar la actividad de anomalías. |
| Código de resultados | 0xC (La hora de inicio solicitada es posterior a la hora de finalización), si ve, por ejemplo, eventos N en los últimos minutos N. Esto puede ser un indicador de un intento de compromiso de la cuenta, especialmente para cuentas muy críticas. |
| Código de resultados | 0xE (KDC no admite el tipo de cifrado). En general, este error se produce cuando el KDC o un cliente recibe un paquete que no puede descifrar. Supervise estos eventos porque esto no debería ocurrir en un entorno estándar de Active Directory. |
| Código de resultados | 0xF (KDC no admite el tipo de suma de comprobación). Supervise estos eventos porque esto no debería ocurrir en un entorno estándar de Active Directory. |
| Código de resultados | 0x12 (se han revocado las credenciales del cliente), si ve, por ejemplo, eventos N en los últimos minutos N. Esto puede ser un indicador de actividad de anomalía o ataque de fuerza bruta, especialmente para cuentas muy críticas. |
| Código de resultados | 0x1F (error en la comprobación de integridad en el campo descifrado). El autenticador se cifraba con algo distinto de la clave de sesión. El resultado es que KDC no puede descifrar el TGT. La modificación del mensaje podría ser el resultado de un ataque o podría deberse al ruido de la red. |
| Código de resultados | 0x22 (La solicitud es una reproducción). Este error indica que un autenticador específico se presentó dos veces: el KDC ha detectado que este vale de sesión duplica uno que ya ha recibido. Podría ser un signo de intento de ataque. |
| Código de resultados | 0x29 (la secuencia de mensajes modificada y la suma de comprobación no coinciden). Los datos de autenticación se cifraron con la clave incorrecta para el servidor previsto. Los datos de autenticación se modificaron en tránsito por un error de hardware o software, o por un atacante. Supervise estos eventos porque esto no debería ocurrir en un entorno estándar de Active Directory. |
| Código de resultados | 0x3C (error genérico). Este error puede ayudarle a identificar más rápidamente los problemas con la autenticación Kerberos. |
| Código de resultados | 0x3E (error en la confianza del cliente o no se implementa). Este error le ayuda a identificar los intentos de inicio de sesión con certificados revocados y las situaciones en las que un controlador de dominio no confía en la entidad de certificación raíz que emitió el certificado de tarjeta inteligente (a través de una cadena). |
| Código de resultados | 0x3F, 0x40, 0x41 errores. Estos errores pueden ayudarle a identificar más rápidamente problemas relacionados con tarjetas inteligentes con la autenticación Kerberos. |
Comentarios
Enviar y ver comentarios de