StefanWe 14 Geschrieben 26. Mai 2021 Melden Geschrieben 26. Mai 2021 Hallo, wir analysieren seit einiger Zeit unsere Security Logs der Domänencontroller und sehen immer wieder viele Events vom Typ 4771 Statios 0x18 "kerberos pre authentication failed". Gerade aktuell haben wir ein Benutzer, welcher einen mobilen Laptop nutzt. Er hat letzte Woche sein Kennwort geändert und danach das Gerät auch neugestartet. Hier haben wir ca. pro Stunde 600 solcher Events. Sein Konto wird aber nicht gesperrt und auch ansonsten ist er überhaupt nicht eingeschränkt. Einzig, wir sehen die Fehler Events. Ab und zu haben wir dieses Verhalten eben auch bei anderen Accounts. Nun ist die Frage, woher kommende diese Meldungen? Und vor allem, warum? Zitieren
v-rtc 92 Geschrieben 26. Mai 2021 Melden Geschrieben 26. Mai 2021 https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4771 hilft das? Zitieren
StefanWe 14 Geschrieben 26. Mai 2021 Autor Melden Geschrieben 26. Mai 2021 vor 29 Minuten schrieb v-rtc: https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4771 hilft das? Im Grunde ist das genau das was wir haben. Allerdings sind die Zertifikate aktuell auf den DC's und die betroffenen Anwender geben ihr Kennwort richtig ein. Sonst würden sie ja auch nirgends drauf zugreifen können. Zitieren
zahni 566 Geschrieben 26. Mai 2021 Melden Geschrieben 26. Mai 2021 Eventuell versucht die das NB mit gecachten Credentials anzumelden. Da ist dann natürlich das alte Kennwort enthalten. Wenn sich der User ohne Domain-Verbindung nicht mit einem Domain-user anmelden muss, sollte das Cachen der Credentials dekativieren. Zumal man diese Funktion nur in Verbindung mit dem Bitlocker nutzen sollte. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.