StefanWe 14 Geschrieben 26. Mai 2021 Melden Teilen Geschrieben 26. Mai 2021 Hallo, wir analysieren seit einiger Zeit unsere Security Logs der Domänencontroller und sehen immer wieder viele Events vom Typ 4771 Statios 0x18 "kerberos pre authentication failed". Gerade aktuell haben wir ein Benutzer, welcher einen mobilen Laptop nutzt. Er hat letzte Woche sein Kennwort geändert und danach das Gerät auch neugestartet. Hier haben wir ca. pro Stunde 600 solcher Events. Sein Konto wird aber nicht gesperrt und auch ansonsten ist er überhaupt nicht eingeschränkt. Einzig, wir sehen die Fehler Events. Ab und zu haben wir dieses Verhalten eben auch bei anderen Accounts. Nun ist die Frage, woher kommende diese Meldungen? Und vor allem, warum? Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 26. Mai 2021 Melden Teilen Geschrieben 26. Mai 2021 https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4771 hilft das? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 26. Mai 2021 Autor Melden Teilen Geschrieben 26. Mai 2021 vor 29 Minuten schrieb v-rtc: https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4771 hilft das? Im Grunde ist das genau das was wir haben. Allerdings sind die Zertifikate aktuell auf den DC's und die betroffenen Anwender geben ihr Kennwort richtig ein. Sonst würden sie ja auch nirgends drauf zugreifen können. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 26. Mai 2021 Melden Teilen Geschrieben 26. Mai 2021 Eventuell versucht die das NB mit gecachten Credentials anzumelden. Da ist dann natürlich das alte Kennwort enthalten. Wenn sich der User ohne Domain-Verbindung nicht mit einem Domain-user anmelden muss, sollte das Cachen der Credentials dekativieren. Zumal man diese Funktion nur in Verbindung mit dem Bitlocker nutzen sollte. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.