UserID-Agent-credential-phishing kann Anmeldeinformationen nicht extrahieren

UserID-Agent-credential-phishing kann Anmeldeinformationen nicht extrahieren

44754
Created On 04/14/19 23:55 PM - Last Modified 07/17/23 14:25 PM


Symptom


Beim Aktivieren des Domänenanmeldeinformationsfilters mithilfe ID des Benutzeranmeldeinformations-Agenten auf der firewall stellen Sie möglicherweise fest, dass der keine firewall Anmeldeinformationen empfangen kann. Agentenstatistiken in der firewall Show:
admin@firewall)> show user user-id-agent state rodc-1
rodc-1
Agent: rodc-1(vsys: vsys1) Host: rodc-1.domain.lab(10.1.1.254):5007
        Status                                            : conn:idle
        Version                                           : 0x5
        num of connection tried                           : 90
        num of connection succeeded                       : 15
        num of connection failed                          : 75
        num of status msgs rcvd                           : 172063
        num of request of status msgs sent                : 172066
        num of request of ip mapping msgs sent            : 859812
        num of request of new ip mapping msgs sent        : 0
        num of request of all ip mapping msgs sent        : 15
        num of user ip mapping msgs rcvd                  : 0
        num of ip msgs rcvd but failed to proc            : 0
        num of user ip mapping add entries rcvd           : 0
        num of user ip mapping del entries rcvd           : 0
        num of request of group msgs sent                 : 0
        num of group msgs rcvd                            : 0
        num of group msgs recvd buf fail to proc          : 0
        num of xml data msgs rcvd                         : 0
        num of xml data msgs rcvd but failed to proc      : 0
        num of sync domain messages sent                  : 0
        num of sync domain messages received              : 0
        num of sync digest messages sent                  : 0
        num of sync digest messages received              : 0
        num of sync group messages sent                   : 0
        num of sync group messages received               : 0
        num of sync users messages sent                   : 0
        num of sync users messages received               : 0
        num of bloomfilter requests sent                  : 247
        num of bloomfilter response received              : 247
        num of bloomfilter response failed to proc        : 0
        num of bloomfilter resize requests sent           : 0
        Last heard(seconds ago)                           : 1
        Messages State:
          Job ID                                          : 0
          Sent messages                                   : 1032154
          Rcvd messages                                   : 172325
          Rcvd rate(msgs/s)                               : 0
          Rcvd peak rate(msgs/s)                          : 0
          Lost messages                                   : 0
          Failed to send messages                         : 1
          Failed to enqueue messages                      : 0
          Queued sending msgs with priority 0             : 0
          Queued sending msgs with priority 1             : 0
          Queued rcvring msgs with priority 0             : 0
          Queued rcvring msgs with priority 1             : 0
        Credential Enforcement Status : Enabled and Pending 
        No credential state for agent.

User-idd.logs:
2019-03-11 15:20:50.242 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:20:55.292 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:00.896 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:05.261 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:10.382 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:15.731 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:20.562 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.

Benutzer- ID Agent Credential Debug-Protokolle:
03/11/19 16:37:38:565 [Debug 4126]: expand groups took 0s
03/11/19 16:37:38:565 [Debug  633]: User list of 768 users unchanged.
03/11/19 16:37:38:565 [Error  716]: Unable to extract credentials.


 

Environment


AnmeldeinformationenErkennung mit dem Windows-basierten ID Benutzer-Agenten.

Cause



 

Resolution


Schritt 1: Überprüfen, ob der ID Benutzeranmeldeinformations-Agent als "lokales Systemkonto" ausgeführt wird

Starten Sie services.msc und überprüfen Sie das Benutzerkonto
Benutzeriertes Bild

Wenn es nicht als lokales Konto ausgeführt wird, dann: Rechtsklick > Eigenschaften > Stoppdienst
Benutzeriertes Bild

Navigieren Sie zur Registerkarte Anmelden und wechseln Sie zu Schritt 2 des lokalen Systems:
Benutzeriertes Bild


Überprüfen Sie, ob sich das Dienstkonto für User-Agent ID in den lokalen Systemadministratoren in Read-Only Domain Controller ( RODC )
befindet. Starten Sie dsmgmt.exe, um lokale Administratoren zu überprüfen
C:\Users\Administrator.domain.lab>dsmgmt.exe
dsmgmt.exe: local roles
local roles: show role administrators
        domain.lab\pan_svc      <<<<<<<
local roles:

Wenn das Dienstkonto nicht angezeigt wird, fügen Sie den Benutzer den lokalen Administratoren hinzu.
local roles: add domain.lab\user1 administrators
Successfully updated local role.
local roles: show role administrators
        domain.lab\pan_svc
        domain.lab\user1
local roles:

Neustart des ID Benutzer-Agent- und ID Benutzer-Agent-Anmeldeinformationen-Dienstes nach der obigen Änderung


Schritt 3: Überprüfen, ob Benutzeranmeldeinformationen in den RODC Cache aufgefüllt werden
Von der Befehlszeile führen Sie: repadmin /prp-Ansicht <domain controller="" cn="">anzeigen | Select-String <username></username> </domain> 
>repadmin /prp view WIN-VONGBAM7FQF reveal
Reveal List (msDS-RevealedList):
RODC "CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com":
CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com
CN=krbtgt_21580,CN=Users,DC=domain.lab,DC=com
CN=user1,CN=Users,DC=domain.lab,DC=com
CN=user2,CN=Users,DC=domain.lab,DC=com

Optional können Sie: | Select-String, <username></username> wenn die Liste zu lang ist Schritt 4: Überprüfen Sie


die, ob die oben aufgeführten Benutzer Teil DC von NOT "Denied Password Replication RODC Group" Sind,

Öffnen Sie die DC Active Directory-Benutzer und -Computer > KennwortreplikationPolicy > Der Schritt 5 der RODC Berechtigungsgruppe
Benutzeriertes Bild

Benutzeriertes Bild


verweigert: Überprüfen Sie, ob derAnmeldeinformationsschutz auf der RODC
Schaltflächensicherung aktiviert ist > administrative Vorlagen > System > Device Guard
Launch gpedit.msc
Benutzeriertes Bild

Klicken Sie auf Device Guard
Benutzeriertes Bild

im rechten Bereich, klicken Sie auf Aktivieren Virtualization der
Benutzeriertes Bild

Benutzeriertes Bild




Schritt 6: Überprüfen Sie, ob die folgenden Elemente vorhanden sind
  • Endpunktschutzsysteme von Drittanbietern wie Anmeldeinformationswächter/-anti-Virus, die den ID Benutzer-Agent-Anmeldeinformations-Agent daran hindern, die Abrufanmeldeinformationen durch Code zu ausführen.
  • Jedes policy Gruppenobjekt, das so konfiguriert ist, dass die Berechtigungen für DC das "Debugprogramm" eingeschränkt werden, verhindert den ID Benutzer-Agent-Anmeldeinformations-Agent .
  • Lokaler Serverdienst der Sicherheitsbehörden ( ), der den LSASS ID Benutzer-Agent-Anmeldeinformations-Agent verhindert.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLaXCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language