UserID-Agent-credential-phishing Pas en mesure d’extraire les informations d’identification
44760
Created On 04/14/19 23:55 PM - Last Modified 07/17/23 14:25 PM
Symptom
Lors de l’activation du filtre d’identification de domaine à l’aide de ID l’agent d’identification utilisateur firewall sur le , vous remarquerez peut-être que le firewall n’est pas en mesure de recevoir des informations d’identification. Statistiques de l’agent sur firewall le spectacle:
admin@firewall)> show user user-id-agent state rodc-1
rodc-1
Agent: rodc-1(vsys: vsys1) Host: rodc-1.domain.lab(10.1.1.254):5007
Status : conn:idle
Version : 0x5
num of connection tried : 90
num of connection succeeded : 15
num of connection failed : 75
num of status msgs rcvd : 172063
num of request of status msgs sent : 172066
num of request of ip mapping msgs sent : 859812
num of request of new ip mapping msgs sent : 0
num of request of all ip mapping msgs sent : 15
num of user ip mapping msgs rcvd : 0
num of ip msgs rcvd but failed to proc : 0
num of user ip mapping add entries rcvd : 0
num of user ip mapping del entries rcvd : 0
num of request of group msgs sent : 0
num of group msgs rcvd : 0
num of group msgs recvd buf fail to proc : 0
num of xml data msgs rcvd : 0
num of xml data msgs rcvd but failed to proc : 0
num of sync domain messages sent : 0
num of sync domain messages received : 0
num of sync digest messages sent : 0
num of sync digest messages received : 0
num of sync group messages sent : 0
num of sync group messages received : 0
num of sync users messages sent : 0
num of sync users messages received : 0
num of bloomfilter requests sent : 247
num of bloomfilter response received : 247
num of bloomfilter response failed to proc : 0
num of bloomfilter resize requests sent : 0
Last heard(seconds ago) : 1
Messages State:
Job ID : 0
Sent messages : 1032154
Rcvd messages : 172325
Rcvd rate(msgs/s) : 0
Rcvd peak rate(msgs/s) : 0
Lost messages : 0
Failed to send messages : 1
Failed to enqueue messages : 0
Queued sending msgs with priority 0 : 0
Queued sending msgs with priority 1 : 0
Queued rcvring msgs with priority 0 : 0
Queued rcvring msgs with priority 1 : 0
Credential Enforcement Status : Enabled and Pending
No credential state for agent.
Identifiants d’utilisateur.logs:
2019-03-11 15:20:50.242 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:20:55.292 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:00.896 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:05.261 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:10.382 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:15.731 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:20.562 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
Journaux ID de débogage des informations d’identification de l’utilisateur :
03/11/19 16:37:38:565 [Debug 4126]: expand groups took 0s
03/11/19 16:37:38:565 [Debug 633]: User list of 768 users unchanged.
03/11/19 16:37:38:565 [Error 716]: Unable to extract credentials.
Environment
Détection des informations d’identification avec l’utilisateur-agent basé sur ID Windows.
Cause
Resolution
Étape 1 : Vérifiez si ID l’agent d’identification de l’utilisateur est en cours d’exécution en tant que « compte système local »
Lancez services.msc et vérifiez le compte utilisateurS’il n’est pas en cours d’exécution en tant que compte local, alors: clic droit > propriétés > arrêter le service
Naviguer vers le journal sur l’onglet Et passer à l’étape
2 du compte systèmelocal: Vérifiez si le compte de service pour user-agent est dans les administrateurs système ID local dans Read-Only Domain Controller ( ) RODC Par
défaut, aucun compte utilisateur sont ajoutés à ce groupe. Lancer dsmgmt.exe pour vérifier les administrateurs locaux
C:\Users\Administrator.domain.lab>dsmgmt.exe dsmgmt.exe: local roles local roles: show role administrators domain.lab\pan_svc <<<<<<< local roles:
Si vous ne voyez pas le compte de service, ajoutez l’utilisateur aux administrateurs locaux
local roles: add domain.lab\user1 administrators Successfully updated local role. local roles: show role administrators domain.lab\pan_svc domain.lab\user1 local roles:
Redémarrez le service d’identification de l’agent utilisateur et de l’agent utilisateur après la modification ci-dessus Étape 3 : Vérifiez si ID les informations ID
d’identification de l’utilisateur sont remplies RODC vers le cache À
partir de la ligne de commande, exécutez : repadmin /prp <domain controller="" cn="">view reveal | Sélectionnez-String <username></username> </domain>
>repadmin /prp view WIN-VONGBAM7FQF reveal Reveal List (msDS-RevealedList): RODC "CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com": CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com CN=krbtgt_21580,CN=Users,DC=domain.lab,DC=com CN=user1,CN=Users,DC=domain.lab,DC=com CN=user2,CN=Users,DC=domain.lab,DC=com
En option, vous pouvez utiliser : | <username></username>Sélectionnez-String si la liste est trop longue
Étape 4: Vérifiez sur le pour voir si les utilisateurs DC énumérés ci-dessus font NOT partie de « Denied Password RODC Replication Group »
Ouvrez le DC et lancez Active Directory Users and Computers > Password ReplicationPolicy > Denied Password RODC Replication Group
Étape1 5: Vérifiez si la garde d’informations d’identification est activée sur RODC
la navigation vers la configuration de l’ordinateur > modèles administratifs > System > Device Guard
Launch gpedit.msc
Cliquez sur la
garde de l’appareil sur la vitre droite, cliquez sur Activer la sécurité Virtualization basée
si elle est activée, désactiver la configuration de garde d’identification.
Étape 6 : Vérifiez les éléments ci-dessous pour voir s’il y en a
- Les systèmes de protection de point de terminaison tiers comme les gardes d’identification/antivirus qui empêchent ID l’agent d’identification de l’utilisateur-agent d’exécuter le code d’exécution des informations d’identification de récupération.
- Tout objet policy de groupe configuré DC pour restreindre les privilèges du « programme de débogage », empêchant l’agent ID d’identification de l’agent utilisateur.
- Local Security Authority Server Service ( LSASS ), configuré qui empêche l’utilisateur- ID Agent d’identification de l’agent.