UserID-Agent-credential-phishing kann Anmeldeinformationen nicht extrahieren
44754
Created On 04/14/19 23:55 PM - Last Modified 07/17/23 14:25 PM
Symptom
Beim Aktivieren des Domänenanmeldeinformationsfilters mithilfe ID des Benutzeranmeldeinformations-Agenten auf der firewall stellen Sie möglicherweise fest, dass der keine firewall Anmeldeinformationen empfangen kann. Agentenstatistiken in der firewall Show:
admin@firewall)> show user user-id-agent state rodc-1
rodc-1
Agent: rodc-1(vsys: vsys1) Host: rodc-1.domain.lab(10.1.1.254):5007
Status : conn:idle
Version : 0x5
num of connection tried : 90
num of connection succeeded : 15
num of connection failed : 75
num of status msgs rcvd : 172063
num of request of status msgs sent : 172066
num of request of ip mapping msgs sent : 859812
num of request of new ip mapping msgs sent : 0
num of request of all ip mapping msgs sent : 15
num of user ip mapping msgs rcvd : 0
num of ip msgs rcvd but failed to proc : 0
num of user ip mapping add entries rcvd : 0
num of user ip mapping del entries rcvd : 0
num of request of group msgs sent : 0
num of group msgs rcvd : 0
num of group msgs recvd buf fail to proc : 0
num of xml data msgs rcvd : 0
num of xml data msgs rcvd but failed to proc : 0
num of sync domain messages sent : 0
num of sync domain messages received : 0
num of sync digest messages sent : 0
num of sync digest messages received : 0
num of sync group messages sent : 0
num of sync group messages received : 0
num of sync users messages sent : 0
num of sync users messages received : 0
num of bloomfilter requests sent : 247
num of bloomfilter response received : 247
num of bloomfilter response failed to proc : 0
num of bloomfilter resize requests sent : 0
Last heard(seconds ago) : 1
Messages State:
Job ID : 0
Sent messages : 1032154
Rcvd messages : 172325
Rcvd rate(msgs/s) : 0
Rcvd peak rate(msgs/s) : 0
Lost messages : 0
Failed to send messages : 1
Failed to enqueue messages : 0
Queued sending msgs with priority 0 : 0
Queued sending msgs with priority 1 : 0
Queued rcvring msgs with priority 0 : 0
Queued rcvring msgs with priority 1 : 0
Credential Enforcement Status : Enabled and Pending
No credential state for agent.
User-idd.logs:
2019-03-11 15:20:50.242 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:20:55.292 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:00.896 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:05.261 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:10.382 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:15.731 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:20.562 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
Benutzer- ID Agent Credential Debug-Protokolle:
03/11/19 16:37:38:565 [Debug 4126]: expand groups took 0s
03/11/19 16:37:38:565 [Debug 633]: User list of 768 users unchanged.
03/11/19 16:37:38:565 [Error 716]: Unable to extract credentials.
Environment
AnmeldeinformationenErkennung mit dem Windows-basierten ID Benutzer-Agenten.
Cause
Resolution
Schritt 1: Überprüfen, ob der ID Benutzeranmeldeinformations-Agent als "lokales Systemkonto" ausgeführt wird
Starten Sie services.msc und überprüfen Sie das BenutzerkontoWenn es nicht als lokales Konto ausgeführt wird, dann: Rechtsklick > Eigenschaften > Stoppdienst
Navigieren Sie zur Registerkarte Anmelden und wechseln Sie zu Schritt 2 des lokalen Systems:
Überprüfen Sie, ob sich das Dienstkonto für User-Agent ID in den lokalen Systemadministratoren in Read-Only Domain Controller ( RODC )
befindet. Starten Sie dsmgmt.exe, um lokale Administratoren zu überprüfen
C:\Users\Administrator.domain.lab>dsmgmt.exe dsmgmt.exe: local roles local roles: show role administrators domain.lab\pan_svc <<<<<<< local roles:
Wenn das Dienstkonto nicht angezeigt wird, fügen Sie den Benutzer den lokalen Administratoren hinzu.
local roles: add domain.lab\user1 administrators Successfully updated local role. local roles: show role administrators domain.lab\pan_svc domain.lab\user1 local roles:
Neustart des ID Benutzer-Agent- und ID Benutzer-Agent-Anmeldeinformationen-Dienstes nach der obigen Änderung
Schritt 3: Überprüfen, ob Benutzeranmeldeinformationen in den RODC Cache aufgefüllt werden
Von der Befehlszeile führen Sie: repadmin /prp-Ansicht <domain controller="" cn="">anzeigen | Select-String <username></username> </domain>
>repadmin /prp view WIN-VONGBAM7FQF reveal Reveal List (msDS-RevealedList): RODC "CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com": CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com CN=krbtgt_21580,CN=Users,DC=domain.lab,DC=com CN=user1,CN=Users,DC=domain.lab,DC=com CN=user2,CN=Users,DC=domain.lab,DC=com
Optional können Sie: | Select-String, <username></username> wenn die Liste zu lang ist Schritt 4: Überprüfen Sie
die, ob die oben aufgeführten Benutzer Teil DC von NOT "Denied Password Replication RODC Group" Sind,
Öffnen Sie die DC Active Directory-Benutzer und -Computer > KennwortreplikationPolicy > Der Schritt 5 der RODC Berechtigungsgruppe
verweigert: Überprüfen Sie, ob derAnmeldeinformationsschutz auf der RODC
Schaltflächensicherung aktiviert ist > administrative Vorlagen > System > Device Guard
Launch gpedit.msc
Klicken Sie auf Device Guard
im rechten Bereich, klicken Sie auf Aktivieren Virtualization der
Schritt 6: Überprüfen Sie, ob die folgenden Elemente vorhanden sind
- Endpunktschutzsysteme von Drittanbietern wie Anmeldeinformationswächter/-anti-Virus, die den ID Benutzer-Agent-Anmeldeinformations-Agent daran hindern, die Abrufanmeldeinformationen durch Code zu ausführen.
- Jedes policy Gruppenobjekt, das so konfiguriert ist, dass die Berechtigungen für DC das "Debugprogramm" eingeschränkt werden, verhindert den ID Benutzer-Agent-Anmeldeinformations-Agent .
- Lokaler Serverdienst der Sicherheitsbehörden ( ), der den LSASS ID Benutzer-Agent-Anmeldeinformations-Agent verhindert.