事件 ID 4773 – Kerberos 服务票证请求失败

Kerberos 是一种身份验证协议，用于在不可信网络（例如 Internet）上验证主机的身份。 Kerberos 支持内置于所有主要计算机操作系统中，包括 Microsoft Windows。

从Windows 2000开始，Kerberos协议就被微软用作默认的身份验证方法，它是Windows Active Directory (AD)服务的基本组成部分。

Kerberos 事件 ID 4773 是什么？

4773

账户登录

Kerberos 服务票证操作

Kerberos 服务票证请求失败

当 Kerberos 服务请求失败时，将记录事件 ID 4773，并且日志数据提供以下信息：

帐户信息：

• 帐户名称
• 账户域

服务信息：

• 服务名称

网络信息：

• 客户地址
• 客户端端口

附加信息：

• 门票选项
• 故障代码

为什么需要监控事件 ID 4773？

事件 ID 4773 尽管可能出现在某些文档中，但实际上并不是 Windows 系统中当前使用的事件。 Microsoft 不会记录此特定事件。

您可能会看到对其的引用有几个原因：

• 过时信息：某些资源可能引用了使用事件 ID 4773 的旧版 Windows。 Microsoft 将其替换为针对 Kerberos 服务票证请求失败的事件 ID 4769（失败审核）。
• 误解：功能可能会被误解。虽然未使用事件 ID 4773，但出于安全目的，监视 Kerberos 身份验证失败（如事件 ID 4769）仍然很重要。

以下是监控 Kerberos 身份验证失败（如事件 ID 4769）很重要的原因：

• 安全：它可以帮助检测可疑的登录尝试。失败的 Kerberos 请求可能表明存在诸如无效凭据、过期密码或尝试访问未经授权的资源等问题。这可能是暴力攻击或试图利用 Kerberos 身份验证中的漏洞的迹象。
• 故障排除：它可以帮助识别配置问题。失败的请求可能是由于服务配置错误、网络连接问题或 Kerberos 基础结构问题造成的。监视这些事件可以帮助查明登录失败的根本原因。
• 运营效率：有助于保证用户访问的流畅性。通过监视这些事件，您可以识别可能导致用户登录中断的任何重复出现的问题。这有助于维持系统正常运行时间和用户生产力。

总之，重点监视事件 ID 4769（故障审核）以了解 Kerberos 服务票证故障，而不是事件 ID 4773。这将为维护安全、健康的 Active Directory 环境提供有价值的信息。

结论

管理员必须完全了解其 Active Directory 上发生的情况，以确保立即识别并响应与潜在安全威胁相关的任何可疑活动。

Lepide Active Directory 审核工具可以有效监控、审核和报告所有 Active Directory 状态和更改（包括帐户登录事件）。帐户登录预配置报告可帮助识别尝试登录需要提升权限的计算机的恶意用户。