Kerberos pre authentication failed

[StefanWe 14]

Hallo,

 

wir analysieren seit einiger Zeit unsere Security Logs der Domänencontroller und sehen immer wieder viele Events vom Typ 4771 Statios 0x18 "kerberos pre authentication failed". Gerade aktuell haben wir ein Benutzer, welcher einen mobilen Laptop nutzt. Er hat letzte Woche sein Kennwort geändert und danach das Gerät auch neugestartet.

Hier haben wir ca. pro Stunde 600 solcher Events. Sein Konto wird aber nicht gesperrt und auch ansonsten ist er überhaupt nicht eingeschränkt. Einzig, wir sehen die Fehler Events.

 

Ab und zu haben wir dieses Verhalten eben auch bei anderen Accounts. Nun ist die Frage, woher kommende diese Meldungen? Und vor allem, warum? 

[v-rtc 92]

https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4771
 

hilft das?

[StefanWe 14]

vor 29 Minuten schrieb v-rtc:

https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4771
 

hilft das?

 

Im Grunde ist das genau das was wir haben. Allerdings sind die Zertifikate aktuell auf den DC's und die betroffenen Anwender geben ihr Kennwort richtig ein. Sonst würden sie ja auch nirgends drauf zugreifen können.

[zahni 587]

Eventuell versucht die das NB mit gecachten Credentials anzumelden. Da ist dann natürlich das alte Kennwort enthalten. Wenn sich der User ohne Domain-Verbindung nicht mit einem Domain-user anmelden muss, sollte das Cachen der Credentials dekativieren.

Zumal man diese Funktion nur in Verbindung mit dem Bitlocker nutzen sollte.