Вопрос или проблема
После перехода на Windows 11 некоторые рабочие станции время от времени пытаются подключиться с помощью смарт-карты, хотя мы не используем смарт-карты.
Событие происходит с учетной записью компьютера, а не учетной записью пользователя, что также интересно.
Идентификатор события: AUDIT_FAILURE(4771)
Домен: [Domain/Server]
SID: [sid]
Имя учетной записи: [учетная запись компьютера (не учетная запись пользователя)]
Имя службы: krbtgt/[домен]
Адрес клиента: [ip]
Порт: [порт]
Опции тикета: 0x40810010
Код ошибки: 0x10
Тип предварительной аутентификации: 16Опции тикета:
0x40810010 – Возможность пересылки, Обновляемый, Канонизация,
Обновление-ок1
Возможность пересылки
(Только TGT). Указывает службе предоставления билетов, что она может выдать новый TGT — на основе предоставленного TGT — с другим адресом сети на основе предоставленного TGT.8
Обновляемый
Используется в комбинации с полями End Time и Renew Till для периодического обновления билетов с долгим сроком действия на KDC.15
Канонизация
Для запроса переадресаций клиент Kerberos ДОЛЖЕН явно запрашивать опцию KDC “canonicalize” для AS-REQ или TGS-REQ.27
Обновление-ок
Опция RENEWABLE-OK указывает, что обновляемый билет будет принят, если билет с запрашиваемым сроком действия иначе не может быть предоставлен, в этом случае может быть выдан обновляемый билет с сроком обновления, равным запрашиваемому времени окончания. Значение поля обновления может по-прежнему ограничиваться местными ограничениями или ограничениями, выбранными отдельным принципалом или сервером.Код ошибки:
0x10
KDC_ERR_PADATA_TYPE_NOSUPP
KDC не поддерживает тип PADATA (данные предварительной аутентификации)
Пытается выполнить вход с помощью смарт-карты, но нужный сертификат не может быть найден. Эта проблема может возникнуть из-за того, что запрашивается не тот орган сертификации (CA), или нужный CA не может быть найден для получения сертификатов контроллера домена или аутентификации контроллера домена для контроллера домена. Это также может произойти, когда на контроллере домена не установлен сертификат для смарт-карт (шаблоны Domain Controller или Domain Controller Authentication).Тип предварительной аутентификации:
16
PA-PK-AS-REQ
Запрос, отправленный на KDC в сценариях аутентификации с помощью смарт-карты.
Я хотел бы, чтобы это прекратилось, но мне трудно выявить проблему.
Хотел узнать, сталкивался ли кто-то еще с чем-то подобным и нашел решение.
Возможно, отключить в редакторе групповых политик
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Смарт-карта
Я получал ошибку:[X] KRB-ERROR (16) : KDC_ERR_PADATA_TYPE_NOSUPP
______ _
(_____ \ | |
_____) )_ _| |__ _____ _ _ ___
| __ /| | | | _ \| ___ | | | |/___)
| | \ \| |_| | |_) ) ____| |_| |___ |
|_| |_|____/|____/|_____)____/(___/
v2.0.0
[*] Действие: Запрос TGT
[*] Использование PKINIT с типом etype aes256_cts_hmac_sha1 и субъектом: CN=Administrators
[*] Создание AS-REQ (с предварительной аутентификацией PKINIT) для: 'contoso.local\Administrator'
[X] KRB-ERROR (16) : KDC_ERR_PADATA_TYPE_NOSUPP
Мне удалось решить ошибку, следуя этому руководству:
https://support.citrix.com/s/article/CTX218941-getting-request-not-supported-while-launching-a-published-desktop-with-fas-enabled?language=en_US
Исправление из статьи Citrix:
- На контроллере домена откройте mmc.
- Нажмите Файл, выберите Добавить/Удалить оснастку.
- Выберите Сертификаты, нажмите Добавить, затем выберите учетную запись Компьютера.
- Разверните Сертификаты (Локальный компьютер), щелкните правой кнопкой на Личное, выберите Все > Задачи, затем нажмите Запросить новый сертификат.
- Нажмите Далее.
- Выберите Шаблон сертификата аутентификации Kerberos и нажмите Записать.
Перезагрузка DC не требуется. В следующий раз, когда я выполнил свою команду, она была успешной. Мяу к мяу, скрипт катц.
Статья Citrix действительно упоминает SmartCards, что я заметил только сейчас. Это определенно исправит ошибку:
Код ошибки: 0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC не поддерживает тип PADATA (данные предварительной аутентификации)
Если SmartCards задействованы или нет, Rubeus go brrr…
Счастливого хакинга,
Ответ или решение
Проблема, с которой вы столкнулись после перехода на Windows 11, связана с попытками некоторых рабочих станций подключиться через смарт-карту, хотя вы не используете эту функцию. Давайте разберёмся с тем, что может вызывать подобное поведение, и как его решить, основываясь на анализе предоставленной информации.
Теория (Theory)
Когда мы говорим о смарт-картах и Windows, это обычно касается процесса аутентификации с использованием Kerberos. В вашем случае, в событии указано использование компьютерного аккаунта, а не пользовательского, что может указывать на автоматические попытки самого компьютера аутентифицироваться через смарт-карты.
Сообщение об ошибке, связанное с Event ID: AUDIT_FAILURE(4771) и кодом ошибки KDC_ERR_PADATA_TYPE_NOSUPP, указывает на то, что контроллер домена (Domain Controller, DC) не поддерживает PADATA типа (предварительные данные аутентификации), используемые для аутентификации через смарт-карты. Это может возникать из-за того, что DC не имеет сертификатов, необходимых для доменной аутентификации с использованием смарт-карт.
Пример (Example)
Другие пользователи сталкивались с аналогичными проблемами, когда включались новые политики безопасности на рабочей станции или на контроллере домена. Одним из решений этой проблемы может быть отключение функции смарт-карт через групповые политики.
Вы также привели пример с использованием Citrix и решением проблемы путем запроса нового сертификата Kerberos на контроллере домена. Это указывает на необходимость дополнительных настроек на уровне DC для поддержки аутентификации с использованием определенных методов пред-аутентификации.
Применение (Application)
Рассмотрим, какие шаги можно предпринять для решения этой проблемы:
-
Отключение смарт-карт в групповая политика:
Перейдите к "Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Смарт-карта" и отключите все настройки, связанные с использованием смарт-карт. Это предотвратит автоматическую попытку системы использовать смарт-карты для аутентификации.
-
Настройка контроллера домена:
Похоже, что ваш контроллер домена не имеет сертификатов для поддержки аутентификации через смарт-карты. Вы можете следовать инструкциям, похожим на те, что предоставлены в вашей выдержке:
- Откройте mmc на контроллере домена.
- Добавьте модуль Сертификаты для "Учетная запись компьютера".
- В Личное хранилище сертификатов запросите новый сертификат, выбрав шаблон "Аутентификация Kerberos" и завершите процесс.
Это может обеспечить совместимость контроллеров домена с запросами, которые, возможно, отправляются по ошибке.
-
Проверка конфигурации Kerberos:
Проверьте настройки вашего Kerberos конфигурационного файла и убедитесь, что ни одно из текущих конфигураций не требует использование смарт-карт.
-
Мониторинг системы:
Используйте инструменты для мониторинга и журналирования событий, чтобы определить причину, по которой происходят такие запросы. Это поможет оценить, происходит ли что-то специфическое на уровне операционной системы или конкретных приложений, вызывающее такие события.
Эти шаги должны помочь в локализации и исправлении проблем с попытками аутентификации через смарт-карты. Если проблема продолжает проявляться, возможно, стоит обратиться к администрации домена или разработчикам специфического ПО, установленного на рабочей станции, для дальнейшей диагностики.