Вопрос или проблема
После обновления до Windows 11 некоторые рабочие станции периодически не проходят предварительную аутентификацию Kerberos.
Событие 4771 происходит с учетной записью компьютера, а не учетной записью пользователя.
Идентификатор события: AUDIT_FAILURE(4771)
Домен: [домен/сервер]
SID: [sid]
Имя учетной записи: [учетная запись компьютера (не пользовательская учетная запись)]
Имя службы: krbtgt/[домен]
Адрес клиента: [ip]
Порт: [порт]
Опции билета: 0x40810010
Код ошибки: 0x10
Тип предварительной аутентификации: 16Опции билета:
0x40810010 – Пересылаемый, Обновляемый, Канонизировать,
Обновляемо-оk1
Пересылаемый
(Только TGT). Сообщает службе выдачи билетов, что она
может выдать новый TGT — на основе представленного TGT — с другим
сетевым адресом на основе представленного TGT.8
Обновляемый
Используется в сочетании с полями End Time и Renew Till
для периодического обновления билетов с длительным сроком службы в KDC.15
Канонизация имени
Чтобы запросить ссылки, клиент Kerberos ДОЛЖЕН
явно запросить опцию KDC “канонизировать” для AS-REQ или
TGS-REQ.27
Обновляемо-оk
Опция RENEWABLE-OK указывает, что обновляемый
билет будет приемлем, если билет с запрашиваемым сроком жизни не может
быть предоставлен иным образом, в таком случае может быть выдан обновляемый билет
с сроком обновления, равным запрашиваемому конечному времени. Значение поля
обновлено до сих пор может быть ограничено локальными ограничениями или ограничениями
выбранными отдельными пользователями или сервером.Код ошибки:
0x10
KDC_ERR_PADATA_TYPE_NOSUPP
KDC не поддерживает тип PADATA (данные предварительной аутентификации)
Пытается выполнить вход с помощью смарт-карты, но не удается найти соответствующий сертификат. Эта проблема
может возникать, потому что запрашивается неправильное сертификационное учреждение (CA)
или не удается связаться с правильным CA для получения сертификатов контроля домена или аутентификации контроллера домена для
контроллера домена. Это также может произойти, когда у контроллера домена нет
установленного сертификата для смарт-карт (шаблоны Domain Controller или
Domain Controller Authentication).Тип предварительной аутентификации:
16
PA-PK-AS-REQ
Запрос, отправленный в KDC в сценариях аутентификации с помощью смарт-карты.
Я бы хотел, чтобы это перестало происходить. Кто-то видел что-то подобное и нашел решение?
Может быть, отключите в редакторе групповой политики
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Смарт-карта
Я получал ошибку: [X] KRB-ERROR (16): KDC_ERR_PADATA_TYPE_NOSUPP
______ _
(_____ \ | |
_____) )_ _| |__ _____ _ _ ___
| __ /| | | | _ \| ___ | | | |/___)
| | \ \| |_| | |_) ) ____| |_| |___ |
|_| |_|____/|____/|_____)____/(___/
v2.0.0
[*] Действие: Запросить TGT
[*] Использование PKINIT с etype aes256_cts_hmac_sha1 и субъектом: CN=Администраторы
[*] Создание AS-REQ (с предварительной аутентификацией PKINIT) для: 'contoso.local\Администратор'
[X] KRB-ERROR (16): KDC_ERR_PADATA_TYPE_NOSUPP
Мне удалось решить ошибку, следуя этому руководству:
https://support.citrix.com/s/article/CTX218941-getting-request-not-supported-while-launching-a-published-desktop-with-fas-enabled?language=en_US
Исправление из статьи Citrix:
- На контроллере домена откройте mmc.
- Нажмите Файл, затем Добавить/Удалить оснастку.
- Выберите Сертификаты, нажмите Добавить, затем выберите Учетная запись компьютера.
- Разверните Сертификаты (Локальный компьютер), щелкните правой кнопкой мыши Личные, нажмите Все > Задачи, затем нажмите Запросить новый сертификат.
- Нажмите Далее.
- Выберите шаблон сертификата аутентификации Kerberos и нажмите Зарегистрировать.
Перезагрузка контроллера домена не требуется. В следующий раз, когда я запустил свою команду, она была успешной. Meow to the meow, skript katz.
Статья Citrix фактически упоминает смарт-карты, что я только что заметил. Она определенно исправит ошибку:
Код ошибки: 0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC не поддерживает тип PADATA (данные предварительной аутентификации)
Если смарт-карты задействованы или нет, Rubeus go brrr…
Удачного хакинга,
.
Ответ или решение
После обновления до Windows 11 некоторые рабочие станции начинают испытывать проблемы с периодическим сбоем предаутентификации Kerberos. Эта проблема сопровождается событием 4771, которое регистрируется от имени компьютерного аккаунта, а не пользовательского. Давайте разберемся, что это значит и как решить эту проблему.
Теория
Kerberos — это сетевой протокол аутентификации, который использует билеты для разрешения компьютерам и пользователям доказывать свою личность в небезопасной сети. Он очень важен для доменных сред, таких как Active Directory.
Событие 4771 сигнализирует о том, что предварительная аутентификация не удалась. В данном случае это связано с тем, что проблема возникает у компьютерных аккаунтов, а не у пользовательских. В сообщении о событии указана ошибка с кодом 0x10, что указывает на KDC_ERR_PADATA_TYPE_NOSUPP, что означает отсутствие поддержки KDC для типа PADATA (данные предаутентификации). Проблема может быть связана с неправильной настройкой сертификатов доменного контроллера или отсутствием поддержки PKINIT (набор предварительных данных для аутентификации с использованием сертификата).
Пример
Типичная ошибка, вызывающая данное событие, может возникнуть в ситуации, когда используется вход по смарт-карте, и правильный сертификат не может быть найден. Причины могут быть следующими:
- Ошибочно выбранный центр сертификации (CA) или невозможность связаться с ним для получения сертификатов "Domain Controller" или "Domain Controller Authentication".
- Отсутствие установленного сертификата на доменном контроллере, необходимого для аутентификации с помощью смарт-карты.
Применение
Для устранения проблемы с предаутентификацией Kerberos можно воспользоваться следующим решением, основанным на опыте из предоставленных данных:
- Настройка сертификатов на доменном контроллере:
- Откройте
MMC(Microsoft Management Console) на доменном контроллере. - Перейдите в меню "Файл" и выберите "Добавить или удалить снапин".
- Выберите "Сертификаты", затем "Добавить", выберите "Учетная запись компьютера".
- Разверните "Сертификаты (локальный компьютер)", щелкните правой кнопкой по "Личные", выберите "Все задачи" и затем "Запросить новый сертификат".
- Следуйте указаниям мастера и выберите "Шаблон сертификата проверки подлинности Kerberos" и нажмите "Запросить".
- Откройте
Это действие позволит убедиться, что доменные контроллеры имеют необходимые сертификаты для обработки запросов аутентификации с использованием смарт-карт и других методов, связанных с PKINIT. Так как проблема может также быть связана с настройками групповой политики, можно попробовать отключить или изменить настройки, касающиеся смарт-карт:
- Изменение групповой политики:
- Откройте редактор групповой политики (
gpedit.msc). - Перейдите в "Конфигурация компьютера" > "Административные шаблоны" > "Компоненты Windows" > "Смарт-карты".
- В зависимости от политики безопасности вашего предприятия, возможно, потребуется изменить или отключить некоторые параметры, связанные с использованием смарт-карт.
- Откройте редактор групповой политики (
После выполнения этих шагов ошибки предаутентификации Kerberos должны прекратиться. Важно помнить, что вмешательство в настройки безопасности всегда требует тщательной проверки и оценки рисков, и в случае сомнений, лучше всего консультироваться с квалифицированным IT-специалистом или специалистом по безопасности.