UserID-Agent-credential-phishing No puede extraer credenciales
44762
Created On 04/14/19 23:55 PM - Last Modified 07/17/23 14:25 PM
Symptom
Al habilitar el filtro de credenciales de dominio mediante el agente de credenciales de usuario ID en el , puede observar que no puede recibir firewall firewall credenciales. Estadísticas del agente en el firewall programa:
admin@firewall)> show user user-id-agent state rodc-1
rodc-1
Agent: rodc-1(vsys: vsys1) Host: rodc-1.domain.lab(10.1.1.254):5007
Status : conn:idle
Version : 0x5
num of connection tried : 90
num of connection succeeded : 15
num of connection failed : 75
num of status msgs rcvd : 172063
num of request of status msgs sent : 172066
num of request of ip mapping msgs sent : 859812
num of request of new ip mapping msgs sent : 0
num of request of all ip mapping msgs sent : 15
num of user ip mapping msgs rcvd : 0
num of ip msgs rcvd but failed to proc : 0
num of user ip mapping add entries rcvd : 0
num of user ip mapping del entries rcvd : 0
num of request of group msgs sent : 0
num of group msgs rcvd : 0
num of group msgs recvd buf fail to proc : 0
num of xml data msgs rcvd : 0
num of xml data msgs rcvd but failed to proc : 0
num of sync domain messages sent : 0
num of sync domain messages received : 0
num of sync digest messages sent : 0
num of sync digest messages received : 0
num of sync group messages sent : 0
num of sync group messages received : 0
num of sync users messages sent : 0
num of sync users messages received : 0
num of bloomfilter requests sent : 247
num of bloomfilter response received : 247
num of bloomfilter response failed to proc : 0
num of bloomfilter resize requests sent : 0
Last heard(seconds ago) : 1
Messages State:
Job ID : 0
Sent messages : 1032154
Rcvd messages : 172325
Rcvd rate(msgs/s) : 0
Rcvd peak rate(msgs/s) : 0
Lost messages : 0
Failed to send messages : 1
Failed to enqueue messages : 0
Queued sending msgs with priority 0 : 0
Queued sending msgs with priority 1 : 0
Queued rcvring msgs with priority 0 : 0
Queued rcvring msgs with priority 1 : 0
Credential Enforcement Status : Enabled and Pending
No credential state for agent.
User-idd.logs:
2019-03-11 15:20:50.242 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:20:55.292 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:00.896 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:05.261 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:10.382 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:15.731 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:20.562 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
Registros ID de depuración de credenciales de agente de usuario:
03/11/19 16:37:38:565 [Debug 4126]: expand groups took 0s
03/11/19 16:37:38:565 [Debug 633]: User list of 768 users unchanged.
03/11/19 16:37:38:565 [Error 716]: Unable to extract credentials.
Environment
Detección de credenciales con el Agente de usuario basado en ID Windows.
Cause
Resolution
Paso 1: Compruebe si el agente de credenciales de usuario ID se está ejecutando como "cuenta del sistema local"
Inicie services.msc y compruebe la cuenta de usuarioSi no se ejecuta como cuenta local, haga clic con el botón derecho en > propiedades > detener el servicio
Vaya a la pestaña Iniciar sesión y cambie a la cuenta del sistema local
Paso2: Compruebe si la cuenta de servicio del Agente de usuario ID está en los administradores del sistema local en Controlador de dominio de solo lectura ( RODC )
De forma predeterminada, no se agrega ninguna cuenta de usuario a este grupo. Inicie dsmgmt.exe para comprobar los administradores locales
C:\Users\Administrator.domain.lab>dsmgmt.exe dsmgmt.exe: local roles local roles: show role administrators domain.lab\pan_svc <<<<<<< local roles:
Si no ve la cuenta de servicio, agregue el usuario a los administradores locales
local roles: add domain.lab\user1 administrators Successfully updated local role. local roles: show role administrators domain.lab\pan_svc domain.lab\user1 local roles:
Reinicie el servicio User- ID Agent y User- ID Agent Credentials después del cambio anterior Paso
3: Compruebe si las credenciales de usuario se rellenan en la RODC caché
Desde la línea de comandos, ejecute: repadmin /prp view <domain controller="" cn="">reveal | Seleccionar-Cadena <username></username> </domain>
>repadmin /prp view WIN-VONGBAM7FQF reveal Reveal List (msDS-RevealedList): RODC "CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com": CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com CN=krbtgt_21580,CN=Users,DC=domain.lab,DC=com CN=user1,CN=Users,DC=domain.lab,DC=com CN=user2,CN=Users,DC=domain.lab,DC=com
Opcionalmente, puede utilizar: | Seleccionar-Cadena <username></username> si la lista es demasiado larga
Paso 4: Compruebe DC si los usuarios mencionados anteriormente forman parte NOT del "Grupo de replicación de contraseñas denegadas" RODC
Abra e inicie Usuarios y equipos de DC Active Directory > Replicación de contraseñasPolicy > Grupo de replicación de RODC contraseñas denegado
Paso 5: Compruebe si Credential Guard está habilitado en el RODC
panel Navegar a configuración del equipo > plantillas administrativas > sistema >
inicio de device guard gpedit.msc
Click Device Guard
En el panel derecho, haga clic en Activar seguridad Virtualization basada
si está habilitada, desactive la configuración del protector de credenciales.
Paso 6: Compruebe si hay los siguientes elementos para ver si hay algunos
- Sistemas de protección de endpoints de terceros como credential guards/anti-virus que impiden al Agente de credenciales del agente de usuario ID ejecutar el código de las credenciales de recuperación.
- Cualquier objeto de grupo policy configurado para restringir los privilegios de DC "programa de depuración", evitando el Agente de credenciales de agente de usuario ID .
- Servicio de servidor de autoridad de seguridad local ( LSASS ), configurado que impide el agente de credenciales de agente de ID usuario.