Kerberos коды ошибок

Время на прочтение
4 мин

Количество просмотров 261K


Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Еще раз продублируем ссылку на скачивание документа на сайте Рэнди Франклина Смита www.ultimatewindowssecurity.com/securitylog/quickref/Default.aspx. Нужно будет заполнить небольшую форму, чтобы получить к нему доступ.

P.S. Хотите полностью автоматизировать работу с журналами событий? Попробуйте новую версию NetWrix Event Log Manager 4.0, которая осуществляет сбор и архивирование журналов событий, строит отчеты и генерирует оповещения в режиме реального времени. Программа собирает данные с многочисленных компьютеров сети, предупреждает Вас о критических событиях и централизованно хранит данные обо всех событиях в сжатом формате для удобства анализа архивных данных журналов. Доступна бесплатная версия программы для 10 контроллеров доменов и 100 компьютеров.

Источник
“Cannot find key for %s kvno %d in keytab”, “Cannot find key for %s kvno %d in keytab (request ticket server %s)” Keytab does exist, but does not conain the given key “Cannot decrypt ticket for %s using keytab key for %s” Ticket is not valid, e.g. integrity failed or does not belong to us “Server principal %s does not match request ticket server %s” “No keys in keytab” Local keytab is empty. This usually means that you are pointing to the wrong keytab file “Server principal %s does not match any keys in keytab” Check keytab, server principal is wrong “Request ticket server %s found in keytab but does not match server principal %s” “Request ticket server %s not found in keytab (ticket kvno %d)” “Request ticket server %s kvno %d not found in keytab; ticket is likely out of date” Key could not be refreshed or there is already a higher key version number available “Request ticket server %s kvno %d found in keytab but not with enctype %s” Mismatch between encryption schemes “Request ticket server %s kvno %d enctype %s found in keytab but cannot decrypt ticket” Ticket has bad integrity “Encryption type %s not permitted” Encryption mismatch as no matching encryption scheme could be found “keyfile (%s) is not a regular file: %s” keyfile exists but is not a normal file but a a directory or block device “Could not create temp keytab file name.” file permissions wrong or hard disk full? “Temporary stash file already exists: %s.” This is a race condition and should only occur if command is issued multiple times the same time “rename of temporary keyfile (%s) to (%s) failed: %s” Underlying filesystem problem or file has been removed by 3rd party “Can not fetch master key (error: %s).” “Unable to decrypt latest master key with the provided master key” “Encrypted Challenge used outside of FAST tunnel” preauth failed “Incorrect password in encrypted challenge” preauth failed “Principal %s is missing required realm” principal has no realm but realm is required “Principal %s has realm present” principal has realm present but Kerberos hat been configured without realm “Can’t find client principal %s in cache collection” issues with cache “No Kerberos credentials available (default cache: %s) issues with cache “Subsidiary cache path %s has no parent directory” this should not happen; no absolute path of cache? “Subsidiary cache path %s filename does not begin with “tkt”” “Credential cache directory %s does not exist” It either does not exist or could not be created “Credential cache directory %s exists but is not a directory” is cache directory a file or block device? “Can’t create new subsidiary cache because default cache is not a directory collection” “No begin line not found” PEM file for KVNO does not start with “—–BEGIN CERTIFICATE—–” “No end line found” PEM file for KVNO does not end with “—–END “ “Unexpected header line” PEM file for KVNO has invalid format “Invalid base64” PEM file is not base64 encoded (not a DER certificate) “KDC returned error string: %.*s” take a look at the Kerberos servers’s log “Server %s not found in Kerberos database” “No key table entry found for %s” Principal could not be found in keytable “Too many keytab iterators active” should not happen; multiple processes access the keytab file? “Cannot change keytab with keytab iterators active” “Key table file ‘%s’ not found” file does not exist “Keytab %s is nonexistent or empty” file does not exist “Unable to initialize preauth context” some pre-authenticatio plug-in failed “No default realm set; cannot initialize KDB” default realm is missing inside krb5.conf “Unable to find requested database type: %s” “Unable to load requested database module ‘%s’: plugin symbol ‘kdb_function_table’ not found” “Illegal version number for KRB5_TL_MKEY_AUX %d” “Illegal version number for KRB5_TL_ACTKVNO %d” “Reply has wrong form of session key for anonymous request” “Client ‘%s’ not found in Kerberos database” “No key table entry found matching %s” principal name could not be found in key table
Источник

Windows event log entries often contain Kerberos failure codes (for an example, please see security event 676). These failure codes are the original error codes from the Kerberos RFC 1510 (see page 83 for the complete list).

For your convenience, we have extracted the error codes below and added some of our comments. Please note that in event log entries, a hexedicimal code is used (the number starts with 0x). Be sure to not mistakenly look up the decimal code below.

Error codes
Kerberos
Error Label		 Hex Dec Meaning or MIT code Explanation
KDC_ERR_NONE 0x0 0 No error
KDC_ERR_NAME_EXP 0x1 1 Client’s entry in database has expired
KDC_ERR_SERVICE_EXP 0x2 2 Server’s entry in database has expired
KDC_ERR_BAD_PVNO 0x3 3 Requested protocol version number not supported
KDC_ERR_C_
OLD_MAST_KVNO		 0x4 4 Client’s key encrypted in oldmaster key
KDC_ERR_S_
OLD_MAST_KVNO		 0x5 5 Server’s key encrypted in old master key
KDC_ERR_C_
PRINCIPAL_UNKNOWN		 0x6 6 Client not found in Kerberos database
  • We have seen this code when Active Directory replication does not work correctly. In this case, it is possible that e.g. a computer account joins the domain using one DC. Then, this information is not replicated within AD. If the computer then tries to authenticate to another DC, it is not found there, resulting in this error code.
  • Also, make sure time synchronization between DCs is working well.
KDC_ERR_S_
PRINCIPAL_UNKNOWN		 0x7 7 Server not found in Kerberos database Could be the same cause as error 6 above.
KDC_ERR_
PRINCIPAL_NOT_UNIQUE		 0x8 8 Multiple principal entries in database
KDC_ERR_NULL_KEY 0x9 9 The client or server has a null key
KDC_ERR_CANNOT_
POSTDATE		 0xa 10 Ticket not eligible for postdating
KDC_ERR_NEVER_VALID 0xb 11 Requested start time is later than end time
KDC_ERR_POLICY 0xc 12 KDC policy rejects request
KDC_ERR_BADOPTION 0xd 13 KDC cannot accommodate requested option
KDC_ERR_
ETYPE_NOSUPP		 0xe 14 KDC has no support for encryption type
KDC_ERR_SUMTYPE_NOSUPP 0xf 15 KDC has no support for checksum type
KDC_ERR_
PADATA_TYPE_NOSUPP		 0x10 16 KDC has no support for padata type
KDC_ERR_TRTYPE_NOSUPP 0x11 17 KDC has no support for transited type
KDC_ERR_
CLIENT_REVOKED		 0x12 18 Clients credentials have been revoked This is due to a workstation restriction on the account, or a logon time restriction, or logon attempt outside logon hours, or accout disabled, expired, or locked out.
KDC_ERR_
SERVICE_REVOKED		 0x13 19 Credentials for server have been revoked
KDC_ERR_TGT_REVOKED 0x14 20 TGT has been revoked
KDC_ERR_CLIENT_NOTYET 0x15 21 Client not yet valid – try again later
KDC_ERR_
SERVICE_NOTYET		 0x16 22 Server not yet valid – try again later
KDC_ERR_KEY_
EXPIRED		 0x17 23 Password has expired – change password to reset
KDC_ERR_
PREAUTH_FAILED		 0x18 24 Pre-authentication information was invalid Be sure to check time synchronization within your tree.
KDC_ERR_
PREAUTH_REQUIRED		 0x19 25 Additional pre-authentication required
KRB_AP_ERR_
BAD_INTEGRITY		 0x1f 31 Integrity check on decrypted field failed
KRB_AP_ERR_TKT_
EXPIRED		 0x20 32 Ticket expired
KRB_AP_ERR_TKT_NYV 0x21 33 Ticket not yet valid
KRB_AP_ERR_REPEAT 0x22 34 Request is a replay
KRB_AP_ERR_NOT_US 0x23 35 The ticket isn’t for us
KRB_AP_ERR_BADMATCH 0x24 36 Ticket and authenticator don’t match
KRB_AP_ERR_SKEW 0x25 37 Clock skew too great
KRB_AP_ERR_BADADDR 0x26 38 Incorrect net address
KRB_AP_ERR_
BADVERSION		 0x27 39 Protocol version mismatch
KRB_AP_ERR_MSG_TYPE 0x28 40 Invalid msg type
KRB_AP_ERR_MODIFIED 0x29 41 Message stream modified
KRB_AP_ERR_
BADORDER		 0x2a 42 Message out of order
KRB_AP_ERR_
BADKEYVER		 0x2c 44 Specified version of key is not available
KRB_AP_ERR_NOKEY 0x2d 45 Service key not available
KRB_AP_ERR_MUT_FAIL 0x2e 46 Mutual authentication failed
KRB_AP_ERR_
BADDIRECTION		 0x2f 47 Incorrect message direction
KRB_AP_ERR_METHOD 0x60 48 Alternative authentication method required*
KRB_AP_ERR_BADSEQ 0x31 49 Incorrect sequence number in message
KRB_AP_ERR_
INAPP_CKSUM		 0x32 50 Inappropriate type of checksum in message
KRB_ERR_GENERIC 0x3C 60 Generic error (description in e-text
KRB_ERR_FIELD
_TOOLONG		 0x3D 61 Field is too long for this implementation

Источник

1) 645, 4771
  

(Аудит
входа в систему)

Происшествие 657/4771
на контроллере домена обозначает
неудачную попытку входа через Kerberos на
рабочем компьютере с доменной учетной
записью. Как правило причина — не
правильный пароль, но по коду ошибки
можно узнать почему именно аутентификация
неудачна. Смотрите ниже таблицу кодов
ошибок Kerberos.

2) 676,
Failed 672, 4768

(Аудит
входа в систему) 

Происшествие
676/4768 относиться к другим типам неудачной
аутентификации. Смотрите ниже таблицу
кодов ошибок Kerberos.

Обратите внимание
что в Windows 2003 событие отказа вместо 676
записывается как 672.

3) 681,
Failed 680, 4776

(Аудит
входа в систему) 

Происшествие 675/4776
на контроллере домена говорит о неудачной
попытке входа в ОС через

NTLM под
доменной учетной записью. Код самой
ошибки говорит, почему аутентификация
неудача.

Коды ошибок NTLM можно увидеть
ниже.

Обратите внимание что в Windows
2003 событие отказа вместо 681 записывается
как 680.

4) 642/4738 

(управление
учетной записью)

Изменения
в учетной записи, такие как активация,
деактивация, сброс пароля. Описание
уточняется в зависимости  от типа
изменения.

5) 636/4732
(локальная); 632/4728 (глобальная); 660/4756
(общая)

(
управление учетной записью)

Пользователь
добавлен в группу. Обозначены Локальная
(Local), Глобальная (Global), Общая (Universal) в
зависимости от каждого ID.

6) 624/4720 

(управления
учетными записями)

Создана
учетная запись

7) 644/4740

(управления
учетными записями)

Учетная
запись была заблокирована после неудачных
попыток входа

8)  517/1102

(системные
события)

Пользователь
очистил журнал безопасности

Вход/выход
(Logon/Logoff)

Event
Id — Описание

528/4624 —
Удачный вход в систему

529/4625 —
Неудачный вход в систему. Неверный
пароль или неизвестное имя
пользователя

530/4625 — Неудачный
вход в систему. Вход не был совершен в
течение указаного периода времени

531/4625 —
Неудачный вход в систему. Учетная запись
пользователя временно деактивирована

532/4625 —
Неудачный вход в систему. Срок использования
учетной записи пользователя истек

533/4625 —
Неудачный вход в систему. Пользователю
запрещено входить в систему на указаном
компьютере

534/4625/5461 —
Неудачный вход. Пользователю запрещен
данный тип входа на указаном
компьютере

535/4625 —
Неудачный вход. Срок действия пароля
истек

539/4625 —
Неудачный вход. Учетная запись пользователя
заблокирована

540/4624 —
Успешный вход в систему по сети (Только
Windows XP, 2000, 2003)

Типы
входов (Logon Types)

Тип
входа — Описание

2 —
Интерактивный (клавиатура или экран
системы)

3 —
Сетевой (к примеру подключение по сети
к расшареной папке компьютера или IIS
вход)

4 —
Пакет (batch) (запланированная задача,
например)

5 —
Служба (Запуск службы)

7 —
Разблокировка (например компьютер с
защищенным паролем хранителем экрана)

8 —
NetworkCleartext (Часто означает вход в IIS с
“базовой аутентификацией”. Вход с
правами (credentials), пересланными в
виде текста.)

9 —
NewCredentials

10 —
RemoteInteractive (Удаленный рабочий стол,
удаленный помощник, терминальные службы
)

11 —
CachedInteractive (вход с закешированными
полномочиями, к примеру, вход на компьютер,
который не в сети)

Коды
отказов Kerberos

Код
ошибки — Причина

6 —
Имя учетной записи пользователя не
существует.

12 —Ограничение
времени входа, ограничение компьютера.

18 —
Учетка заблокирована, деактивирована,
истек ее срок действия.

23 —
Истек срок действия пароля.

24 —
Предварительная аутентификация не
удачная; как правило неверный пароль

32 
Истек срок действия заявки. Это нормальное
событие.

37 
Время на компьютере давно не
синхронизировалось с контроллером
домена

Коды
ошибок NTLM

Код
ошибки (16-ричная система) — Код ошибки
(десятичная система) — Описание

C0000064
— 3221225572 — Имя пользователя не
существует

C000006A — 3221225578 — Верное имя,
но не правильный пароль

C0000234 —
3221226036 — пользователь заблокирован

C0000072
— 3221225586 — Учетка деактивирована

C000006F
— 3221225583 — вход вне рабочее время

C0000070
— 3221225584 — Ограничение локальной
станции

C0000193 — 3221225875 — срок действия
учетной записи истек

C0000071 — 3221225585 —
срок действия пароля Истек

C0000224 —
3221226020 — необходимо сменить пароль при
следующем входе

https://eventlogxp.com/rus/index.html

Event 528 is logged
whenever an account logs on to the local computer, except for in the
event of network logons (see event 540).
Event 528 is logged whether the account used for logon is a local SAM
account or a domain account.

Logon
types possible:

Logon Type

Description

2

 Interactive (logon at keyboard and screen
of system) Windows 2000 records Terminal Services logon as this
type rather than Type 10.

3

Network (i.e. connection to shared folder on
this computer from elsewhere on network or IIS logon — Never
logged by 528 on W2k and forward. See event 540)

4

Batch (i.e. scheduled task)

5

Service (Service startup)

7

Unlock (i.e. unnattended workstation with
password protected screen saver)

8

NetworkCleartext (Logon with credentials sent
in the clear text. Most often indicates a logon to IIS with «basic
authentication») See
this article for more information.

9

NewCredentials

10

RemoteInteractive (Terminal Services, Remote
Desktop or Remote Assistance)

11

CachedInteractive (logon with cached domain
credentials such as when logging on to a laptop when away from the
network)

Если у вас появилось
подозрение о том, что кто-то из сотрудников
офиса заходит под вашей учётной записью,
или у вас пропала конфиденциальная
информация (пароли, фото и т.д)

После запуска приложения
«Управление компьютером», нам нужно
выбрать раздел Просмотр событий->Журналы
Windows->Система

И вот тут по правую
сторону приложения ищем строчку с
Источником «Kernel General», именно она
отвечает за запуск и выключения
компьютера. Если нажать на данную строчка
два раза, мы сможем посмотреть подробности
события.

Эта
информация может помочь найти решение
проблемы в Интернете (впрочем, не всегда)
и стоит понимать, какое свойство что
означает:

  • Имя
    журнала — имя файла журнала, куда была
    сохранена информация о событии.

  • Источник
    — название программы, процесса или
    компонента системы, которое сгенерировало
    событие (если вы видите здесь Application
    Error), то имя самого приложение вы можете
    увидеть в поле выше.

  • Код
    — код события, может помочь найти
    информацию о нем в Интернете. Правда,
    искать стоит в англоязычном сегменте
    по запросу Event ID + цифровое обозначение
    кода + название приложения, вызывавшего
    сбой (поскольку коды событий для каждой
    программы уникальны).

  • Код
    операции — как правило, здесь всегда
    указано «Сведения», так что толку от
    этого поля мало.

  • Категория
    задачи, ключевые слова — обычно не
    используются.

  • Пользователь
    и компьютер — сообщает о том, от имени
    какого пользователя и на каком компьютере
    был запущен процесс, вызвавший событие.

Источник

Понравилась статья? Поделить с друзьями:
  • Kenwood kdc 6051u ошибка protect
  • Keyguard test activity ошибка
  • Kenwood ошибка protect на магнитоле
  • Kenwood ошибка call
  • Kenwood kmm 304y ошибка