UserID-Agent-credential-phishing No puede extraer credenciales

44762

Created On 04/14/19 23:55 PM - Last Modified 07/17/23 14:25 PM

Symptom

Al habilitar el filtro de credenciales de dominio mediante el agente de credenciales de usuario ID en el , puede observar que no puede recibir firewall firewall credenciales. Estadísticas del agente en el firewall programa:

admin@firewall)> show user user-id-agent state rodc-1
rodc-1
Agent: rodc-1(vsys: vsys1) Host: rodc-1.domain.lab(10.1.1.254):5007
        Status                                            : conn:idle
        Version                                           : 0x5
        num of connection tried                           : 90
        num of connection succeeded                       : 15
        num of connection failed                          : 75
        num of status msgs rcvd                           : 172063
        num of request of status msgs sent                : 172066
        num of request of ip mapping msgs sent            : 859812
        num of request of new ip mapping msgs sent        : 0
        num of request of all ip mapping msgs sent        : 15
        num of user ip mapping msgs rcvd                  : 0
        num of ip msgs rcvd but failed to proc            : 0
        num of user ip mapping add entries rcvd           : 0
        num of user ip mapping del entries rcvd           : 0
        num of request of group msgs sent                 : 0
        num of group msgs rcvd                            : 0
        num of group msgs recvd buf fail to proc          : 0
        num of xml data msgs rcvd                         : 0
        num of xml data msgs rcvd but failed to proc      : 0
        num of sync domain messages sent                  : 0
        num of sync domain messages received              : 0
        num of sync digest messages sent                  : 0
        num of sync digest messages received              : 0
        num of sync group messages sent                   : 0
        num of sync group messages received               : 0
        num of sync users messages sent                   : 0
        num of sync users messages received               : 0
        num of bloomfilter requests sent                  : 247
        num of bloomfilter response received              : 247
        num of bloomfilter response failed to proc        : 0
        num of bloomfilter resize requests sent           : 0
        Last heard(seconds ago)                           : 1
        Messages State:
          Job ID                                          : 0
          Sent messages                                   : 1032154
          Rcvd messages                                   : 172325
          Rcvd rate(msgs/s)                               : 0
          Rcvd peak rate(msgs/s)                          : 0
          Lost messages                                   : 0
          Failed to send messages                         : 1
          Failed to enqueue messages                      : 0
          Queued sending msgs with priority 0             : 0
          Queued sending msgs with priority 1             : 0
          Queued rcvring msgs with priority 0             : 0
          Queued rcvring msgs with priority 1             : 0
        Credential Enforcement Status : Enabled and Pending 
        No credential state for agent.

User-idd.logs:

2019-03-11 15:20:50.242 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:20:55.292 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:00.896 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:05.261 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:10.382 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:15.731 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
2019-03-11 15:21:20.562 +1300 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.

Registros ID de depuración de credenciales de agente de usuario:

03/11/19 16:37:38:565 [Debug 4126]: expand groups took 0s
03/11/19 16:37:38:565 [Debug  633]: User list of 768 users unchanged.
03/11/19 16:37:38:565 [Error  716]: Unable to extract credentials.

Environment

Detección de credenciales con el Agente de usuario basado en ID Windows.

Cause

Resolution

Paso 1: Compruebe si el agente de credenciales de usuario ID se está ejecutando como "cuenta del sistema local"

Inicie services.msc y compruebe la cuenta de usuario

Si no se ejecuta como cuenta local, haga clic con el botón derecho en > propiedades > detener el servicio
Imagen de usuario añadido

Vaya a la pestaña Iniciar sesión y cambie a la cuenta del sistema local
Imagen de usuario añadido

Paso2: Compruebe si la cuenta de servicio del Agente de usuario ID está en los administradores del sistema local en Controlador de dominio de solo lectura ( RODC )
De forma predeterminada, no se agrega ninguna cuenta de usuario a este grupo. Inicie dsmgmt.exe para comprobar los administradores locales

C:\Users\Administrator.domain.lab>dsmgmt.exe
dsmgmt.exe: local roles
local roles: show role administrators
        domain.lab\pan_svc      <<<<<<<
local roles:

Si no ve la cuenta de servicio, agregue el usuario a los administradores locales

local roles: add domain.lab\user1 administrators
Successfully updated local role.
local roles: show role administrators
        domain.lab\pan_svc
        domain.lab\user1
local roles:

Reinicie el servicio User- ID Agent y User- ID Agent Credentials después del cambio anterior Paso

3: Compruebe si las credenciales de usuario se rellenan en la RODC caché
Desde la línea de comandos, ejecute: repadmin /prp view <domain controller="" cn="">reveal | Seleccionar-Cadena <username></username> </domain>

>repadmin /prp view WIN-VONGBAM7FQF reveal
Reveal List (msDS-RevealedList):
RODC "CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com":
CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com
CN=krbtgt_21580,CN=Users,DC=domain.lab,DC=com
CN=user1,CN=Users,DC=domain.lab,DC=com
CN=user2,CN=Users,DC=domain.lab,DC=com

Opcionalmente, puede utilizar: | Seleccionar-Cadena <username></username> si la lista es demasiado larga

Paso 4: Compruebe DC si los usuarios mencionados anteriormente forman parte NOT del "Grupo de replicación de contraseñas denegadas" RODC

Abra e inicie Usuarios y equipos de DC Active Directory > Replicación de contraseñasPolicy > Grupo de replicación de RODC contraseñas denegado
Imagen de usuario añadido

Paso 5: Compruebe si Credential Guard está habilitado en el RODC
panel Navegar a configuración del equipo > plantillas administrativas > sistema >
inicio de device guard gpedit.msc
Imagen de usuario añadido

Click Device Guard
Imagen de usuario añadido

En el panel derecho, haga clic en Activar seguridad Virtualization basada
Imagen de usuario añadido

si está habilitada, desactive la configuración del protector de credenciales.

Paso 6: Compruebe si hay los siguientes elementos para ver si hay algunos

Sistemas de protección de endpoints de terceros como credential guards/anti-virus que impiden al Agente de credenciales del agente de usuario ID ejecutar el código de las credenciales de recuperación.
Cualquier objeto de grupo policy configurado para restringir los privilegios de DC "programa de depuración", evitando el Agente de credenciales de agente de usuario ID .
Servicio de servidor de autoridad de seguridad local ( LSASS ), configurado que impide el agente de credenciales de agente de ID usuario.

UserID-Agent-credential-phishing No puede extraer credenciales

Symptom

Environment

Cause

Resolution

Other users also viewed: