none
Kerberos Ticket Fehlermeldung - > Welche Applikation steckt dahinter? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich hoffe, ihr könnt mir helfen.

    Am DC sehe ich im Security Eventlog folgende Einträge:

    Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          18.02.2021 14:10:46
    Event ID:      4768
    Task Category: Kerberos Authentication Service
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      DC01
    Description:
    A Kerberos authentication ticket (TGT) was requested.

    Account Information:
        Account Name:        <accountname>
        Supplied Realm Name:    <domainname>
        User ID:            NULL SID

    Service Information:
        Service Name:        krbtgt/bla
        Service ID:        NULL SID

    Network Information:
        Client Address:        ::ffff:10.10.10.10
        Client Port:        50498

    Additional Information:
        Ticket Options:        0x40810010
        Result Code:        0x6
        Ticket Encryption Type:    0xFFFFFFFF
        Pre-Authentication Type:    -

    Certificate Information:
        Certificate Issuer Name:        
        Certificate Serial Number:    
        Certificate Thumbprint:        

    Certificate information is only provided if a certificate was used for pre-authentication.

    Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
        <EventID>4768</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>14339</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2021-02-18T13:10:46.714955300Z" />
        <EventRecordID>368518321</EventRecordID>
        <Correlation />
        <Execution ProcessID="732" ThreadID="4256" />
        <Channel>Security</Channel>
        <Computer>DC01</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="TargetUserName">blabla</Data>
        <Data Name="TargetDomainName">bla</Data>
        <Data Name="TargetSid">S-1-0-0</Data>
        <Data Name="ServiceName">krbtgt/bla</Data>
        <Data Name="ServiceSid">S-1-0-0</Data>
        <Data Name="TicketOptions">0x40810010</Data>
        <Data Name="Status">0x6</Data>
        <Data Name="TicketEncryptionType">0xffffffff</Data>
        <Data Name="PreAuthType">-</Data>
        <Data Name="IpAddress">::ffff:10.10.10.10</Data>
        <Data Name="IpPort">50498</Data>
        <Data Name="CertIssuerName">
        </Data>
        <Data Name="CertSerialNumber">
        </Data>
        <Data Name="CertThumbprint">
        </Data>
      </EventData>
    </Event>

    Es ist damit soweit klar, um welche AD Account es sich handelt und auf welchem Client dieser verwendet wird.

    Doch: Wir finden auf dem Client nicht heraus, welche Applikation/Dienste etc. diesen Account verwendet.

    Mit Wireshark konnten wir auch auf dem Client nachweisen, dass der Account dort verwendet wird. Die Kerberos Ticket Anfragen gehen mit diesem Account an den DC, das deckt sich mit den o.g. Security Log Einträgen.

    Habt ihr einer Idee, wie man herausfinden kann, welche Applikation/Dienste etc. diesen Account verwendet?

    Danke und viele Grüße

    Anastasia

    Donnerstag, 18. Februar 2021 13:35
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    wenn es wirklich nur ein Service wäre würdest du den Accountname unter Services sehen. Ansonsten schau mal mit mit den Sysinternal Tools ProcessMonitor und ProcessExplorer. Damit müsstest du sie eigentlich finden können da du ja den Client bereits kennst.

     

    Donnerstag, 18. Februar 2021 18:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ResultCode 6 ist KDC_ERR_C_PRINCIPAL_UNKNOWN, der übergebene Benutzer wurde also vom DC nicht gefunden.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 18. Februar 2021 20:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Evgenij, das stimmt, denn der Account wurde in der AD gelöscht, das ist aber auch gewollt. Jetzt müssen wir die Clients durchgehen, die immer noch Anfragen mit diesem gelöschten Account an den DC schicken, damit wir diese umstellen können.
    Freitag, 19. Februar 2021 07:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Dont-Worry,

    also ein Service ist es nicht, die stehen alle nicht auf diesen AD Account, das haben wir schon gecheckt. Es muss was anderes sein. Kann man das nicht mit dem Wireshark Capture zusätzlich herausfinden? Ich weiß zumindest nicht wie. Wie gesagt, die Anfrage kann im Wireshark Capture sehen, aber nicht die Quelle, die das auslöst.

    Freitag, 19. Februar 2021 07:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    kann ja im Prinzip nur ein Dienst oder ein geplanter Task sein. In einer interaktiven Applikation Accounts zu hinterlegen ist zwar möglich, aber eher unüblich.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 19. Februar 2021 07:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    also ein Dienst ist es definitiv nicht, das habe ich schon gecheckt. Es könnte doch eine Applikation sein, die z.B. ein Share versucht aufzurufen mit diesem Account.

    Freitag, 19. Februar 2021 07:31
    |