windows – 追踪哪个进程/程序导致Kerberos预身份验证错误(代码0

发布时间：2020-12-25 00:04:46 所属栏目：Windows 来源：网络整理

导读：我们有一个域帐户,通过2台服务器之一被锁定.内置审计只告诉我们很多(从SERVER1,SERVER2锁定). 该帐户在5分钟内被锁定,似乎每分钟约1个请求. 我最初尝试运行procmon(来自sysinternals),看看在解锁帐户后是否有任何新的PROCESS START被生成.没有任何可疑的事情

我们有一个域帐户,通过2台服务器之一被锁定.内置审计只告诉我们很多(从SERVER1,SERVER2锁定).

该帐户在5分钟内被锁定,似乎每分钟约1个请求.

我最初尝试运行procmon(来自sysinternals),看看在解锁帐户后是否有任何新的PROCESS START被生成.没有任何可疑的事情出现.在我的工作站上运行procmon并升级到UAC shell(conscent.exe)之后,当您尝试对AD进行身份验证(不确定)时,似乎从堆栈中调用了ntdll.dll和rpct4.dll.

无论如何要缩小哪个进程导致对DC的身份验证请求？它总是相同的DC,所以我们知道它必须是该站点中的服务器.我可以尝试在wireshark中查找调用,但我不确定这会缩小哪个进程实际触发它.

没有服务,驱动器映射或计划任务正在使用该域帐户 – 因此它必须是存储域信誉的东西.在任何服务器(我们已检查)上都没有与该域帐户的开放RDP会话.

进一步说明

是,“成功/失败”登录审核在相关DC上启用 – 在实际锁定帐户之前不会记录任何故障事件.

进一步挖掘表明,一旦帐户解锁,LSASS.exe就会向DC提出KERBEROS呼叫.它(通常)在java之前,似乎由vpxd.exe调用,这是一个vCenter进程.但是,当我看到另一个“server2”时,帐户锁定可以(也)发生,我从未看到对lsass.exe的调用,只有apache进程正在生成.两者唯一的关系是SERVER2是SERVER1的vSphere集群(server1是vSphere OS)的一部分.

DC出错

所以,AD似乎告诉我的是,这是一个pre-auth Kerberos错误.我检查过并且没有klist的门票,并且为了以防万一而做了冲洗.仍然不知道是什么导致了这个kerberos错误.

Index              : 202500597
EntryType          : FailureAudit
InstanceId         : 4771
Message            : Kerberos pre-authentication failed.

                     Account Information:
                         Security ID:        S-1-5-21-3381590919-2827822839-3002869273-5848
                         Account Name:        USER

                     Service Information:
                         Service Name:        krbtgt/DOMAIN

                     Network Information:
                         Client Address:        ::ffff:x.x.x.x
                         Client Port:        61450

                     Additional Information:
                         Ticket Options:        0x40810010
                         Failure Code:        0x18
                         Pre-Authentication Type:    2

                     Certificate Information:
                         Certificate Issuer Name:
                         Certificate Serial Number:
                         Certificate Thumbprint:

                     Certificate information is only provided if a certificate was used for pre-authentication.

                     Pre-authentication types,ticket options and failure codes are defined in RFC 4120.

                     If the ticket was malformed or damaged during transit and could not be decrypted,then many fields
                      in this event might not be present.

登录事件记录尝试登录的过程.在本地安全策略(secpol.msc)中启用失败的登录审核(安全设置>本地策略>审核策略>审核登录事件),然后在安全事件日志中查找事件.您也可以通过组策略启用它,如果这更可取.

将有一个Process Information部分,它记录可执行路径和进程ID.

例：

Process Information:
    Process ID:         0x2a4
    Process Name:       C:WindowsSystem32services.exe

（编辑：伊春站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!