ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Kerberos authentication security logs on a domain controller monitoring station
Event ID 4768InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4768 – Microsoft-Windows-Security-Auditing : Ticket d'authentification Kerberos (TGT) demandé

L'ID d'événement 4768 se connecte lorsqu'un utilisateur ou un service demande un Ticket Granting Ticket (TGT) Kerberos à un contrôleur de domaine lors de l'authentification.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4768Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4768 représente le cœur de la journalisation de l'authentification Kerberos dans les environnements Windows Active Directory. Lorsqu'un utilisateur se connecte à un ordinateur joint au domaine, la première étape d'authentification consiste à demander un TGT au service KDC du contrôleur de domaine. Cette demande génère un événement 4768 contenant des informations détaillées sur la tentative d'authentification.

L'événement capture à la fois les demandes de TGT réussies et échouées, ce qui le rend inestimable pour la surveillance de la sécurité et le dépannage. Les tentatives échouées indiquent souvent des problèmes de mot de passe, des verrouillages de compte, des problèmes de synchronisation temporelle ou des attaques potentielles par force brute. L'événement inclut le nom du compte demandeur, l'adresse IP du client, les types de chiffrement pris en charge par le client, et des codes de résultat spécifiques qui aident à diagnostiquer les échecs d'authentification.

Dans les environnements Windows modernes, les événements 4768 peuvent générer un volume de journaux significatif, en particulier dans les grandes organisations avec une activité d'authentification fréquente. Les contrôleurs de domaine peuvent enregistrer des milliers de ces événements par heure pendant les périodes de pointe. La structure de l'événement comprend des champs pour les informations de compte, les détails réseau, les options d'authentification et les codes d'échec qui offrent une visibilité complète sur le processus d'authentification.

Les équipes de sécurité exploitent les événements 4768 pour la détection des menaces, en se concentrant sur des modèles tels que plusieurs tentatives échouées à partir d'une seule adresse IP, des tentatives d'authentification en dehors des heures de bureau, ou des demandes pour des comptes à privilèges élevés. L'événement soutient également les exigences de conformité en fournissant une piste d'audit de toutes les tentatives d'authentification contre le domaine.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Utilisateur se connectant à un ordinateur ou serveur joint au domaine
  • Compte de service demandant une authentification pour des processus automatisés
  • Compte d'ordinateur s'authentifiant lors du démarrage ou des tâches planifiées
  • Application demandant une authentification Kerberos pour accéder aux ressources du domaine
  • Opérations de changement de mot de passe nécessitant une ré-authentification
  • Tentatives d'authentification échouées en raison de mots de passe incorrects
  • Scénarios de verrouillage de compte empêchant les demandes de TGT réussies
  • Problèmes de synchronisation de l'heure entre le client et le contrôleur de domaine
  • Violations de la politique Kerberos ou incompatibilités de type de chiffrement
  • Problèmes de connectivité réseau lors des tentatives d'authentification
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement 4768 pour comprendre le contexte d'authentification et identifier les codes d'échec éventuels.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4768 en utilisant Filtrer le journal actuel
  4. Double-cliquez sur un événement 4768 pour voir les informations détaillées
  5. Examinez les champs clés:
    • Nom du compte: L'utilisateur ou le compte de service demandeur
    • Domaine du compte: Domaine du compte demandeur
    • Adresse du client: Adresse IP de la demande d'authentification
    • Code de résultat: Succès (0x0) ou code d'échec spécifique
    • Type de chiffrement du ticket: Méthode de chiffrement utilisée
    • Type de pré-authentification: Méthode d'authentification employée
  6. Pour les tentatives échouées, notez les valeurs de Code d'échec et Sous-état
  7. Recoupez l'horodatage avec les rapports des utilisateurs ou les événements système
Astuce pro : Les codes d'échec courants incluent 0x6 (mauvais nom d'utilisateur), 0x12 (compte désactivé), 0x17 (mot de passe expiré), et 0x18 (compte verrouillé).
02

Interroger les événements avec le filtrage PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les événements 4768 sur plusieurs contrôleurs de domaine ou périodes.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine
  2. Interrogez les événements récents 4768 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768} -MaxEvents 100 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les tentatives d'authentification échouées :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768} | Where-Object {$_.Message -like '*0x*' -and $_.Message -notlike '*0x0*'} | Select-Object TimeCreated, Message
  4. Recherchez l'activité d'un compte utilisateur spécifique :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768; StartTime=(Get-Date).AddHours(-24)}
$Events | Where-Object {$_.Message -like '*AccountName*username*'} | Format-Table TimeCreated, Message -Wrap
  5. Analysez les modèles d'authentification par adresse IP :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768; StartTime=(Get-Date).AddDays(-1)}
$Events | ForEach-Object { if($_.Message -match 'Client Address:\s+::ffff:([0-9.]+)') { $matches[1] } } | Group-Object | Sort-Object Count -Descending
  6. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768; StartTime=(Get-Date).AddDays(-7)} | Export-Csv -Path "C:\Temp\Kerberos_TGT_Events.csv" -NoTypeInformation
Avertissement : Interroger un grand nombre d'événements de sécurité peut affecter les performances du contrôleur de domaine. Utilisez des filtres temporels et limitez les résultats de manière appropriée.
03

Configurer les politiques d'audit avancées

Optimisez la journalisation de l'authentification Kerberos en configurant des stratégies d'audit avancées pour capturer le bon niveau de détail sans surcharger le journal de sécurité.

  1. Ouvrez la Console de gestion des stratégies de groupe sur un contrôleur de domaine
  2. Modifiez la Stratégie des contrôleurs de domaine par défaut ou créez un nouveau GPO
  3. Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  4. Développez Ouverture de session de compte et configurez :
    • Audit du service d'authentification Kerberos : Activer Succès et Échec
    • Audit des opérations de ticket de service Kerberos : Activer selon les besoins
  5. Utilisez PowerShell pour vérifier les paramètres d'audit actuels :
    auditpol /get /subcategory:"Kerberos Authentication Service"
  6. Configurez la stratégie d'audit via la ligne de commande si nécessaire :
    auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
  7. Surveillez la taille du journal de sécurité et configurez la rétention appropriée :
    Get-WinEvent -ListLog Security | Select-Object LogName, FileSize, MaximumSizeInBytes, RecordCount
  8. Envisagez de mettre en œuvre le transfert de journaux vers un système SIEM pour une analyse centralisée
Astuce pro : Dans les environnements à fort volume, envisagez d'activer uniquement l'audit des échecs pour les événements 4768 afin de réduire le bruit des journaux tout en maintenant la visibilité de la sécurité.
04

Dépanner les échecs d'authentification Kerberos

Diagnostiquer systématiquement et résoudre les problèmes d'authentification Kerberos courants identifiés par l'analyse des événements 4768.

  1. Identifier le code d'échec spécifique à partir des détails de l'événement 4768
  2. Vérifier la synchronisation temporelle entre le client et le contrôleur de domaine :
    w32tm /query /status
w32tm /resync /rediscover
  3. Vérifier le statut et les propriétés du compte :
    Get-ADUser -Identity username -Properties AccountLockoutTime, PasswordExpired, PasswordLastSet, LastLogonDate
  4. Tester la fonctionnalité Kerberos depuis le client :
    klist purge
klist tgt
  5. Vérifier les types de chiffrement pris en charge :
    Get-ADUser -Identity username -Properties msDS-SupportedEncryptionTypes
  6. Examiner les paramètres de la politique Kerberos :
    Get-ADDefaultDomainPasswordPolicy
Get-ADDomainController | Get-ADObject -Properties msDS-KrbTgtLinkBl
  7. Valider la résolution DNS pour le contrôleur de domaine :
    nslookup -type=SRV _kerberos._tcp.domain.com
Test-NetConnection -ComputerName dc.domain.com -Port 88
  8. Activer la journalisation Kerberos pour un dépannage détaillé :
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" /v LogLevel /t REG_DWORD /d 1 /f
Avertissement : L'activation de la journalisation détaillée de Kerberos peut générer un volume de journaux important et ne doit être utilisée que temporairement pour le dépannage.
05

Mettre en œuvre la surveillance et l'alerte de sécurité

Établir une surveillance proactive des événements 4768 pour détecter les menaces de sécurité et les anomalies d'authentification en temps réel.

  1. Créer un script PowerShell pour une surveillance continue :
    # Surveiller les modèles d'authentification suspects
$StartTime = (Get-Date).AddMinutes(-5)
$FailedEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768; StartTime=$StartTime} | Where-Object {$_.Message -notlike '*0x0*'}

if ($FailedEvents.Count -gt 10) {
    # Alerte sur un taux d'échec élevé
    Write-EventLog -LogName Application -Source "Security Monitor" -EventId 1001 -Message "Taux d'échec Kerberos élevé détecté : $($FailedEvents.Count) échecs en 5 minutes"
}
  2. Configurer le Planificateur de tâches Windows pour exécuter le script de surveillance toutes les 5 minutes
  3. Configurer des vues personnalisées dans le Visualiseur d'événements pour une analyse rapide :
    • Créer une vue personnalisée filtrant pour l'ID d'événement 4768 avec des codes d'échec
    • Enregistrer la vue sous "Échecs d'authentification Kerberos"
  4. Mettre en œuvre le transfert de journaux en utilisant le Transfert d'événements Windows (WEF) :
    # Sur le serveur collecteur
wecutil qc
wecutil cs subscription.xml
  5. Créer un XML d'abonnement pour les événements 4768 :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>KerberosAuth</SubscriptionId>
  <Query>
    <![CDATA[<QueryList><Query Id="0"><Select Path="Security">*[System[EventID=4768]]</Select></Query></QueryList>]]>
  </Query>
</Subscription>
  6. Surveiller les modèles d'attaque spécifiques :
    • Échecs multiples depuis des adresses IP uniques
    • Tentatives d'authentification pour des comptes désactivés
    • Authentification hors heures ouvrables pour des comptes privilégiés
    • Demandes de type de chiffrement inhabituelles
  7. Intégrer avec des solutions SIEM pour une corrélation et une alerte avancées
Astuce pro : Établir des modèles d'authentification de référence pendant les heures ouvrables normales pour mieux identifier les activités anormales dans les événements 4768.

Aperçu

L'ID d'événement 4768 se déclenche chaque fois qu'un utilisateur, un ordinateur ou un compte de service demande un Ticket Granting Ticket (TGT) Kerberos à un contrôleur de domaine. Cet événement est fondamental pour l'authentification Active Directory et apparaît dans le journal de sécurité sur les contrôleurs de domaine. La demande de TGT est la première étape de l'authentification Kerberos, où le client prouve son identité au Centre de Distribution de Clés (KDC) et reçoit un ticket pouvant être utilisé pour demander des tickets de service.

Cet événement génère des volumes massifs sur les contrôleurs de domaine occupés puisque chaque tentative d'authentification crée une entrée 4768. L'événement contient des informations judiciaires critiques, y compris le compte demandeur, l'adresse IP du client, les types de chiffrement utilisés et les codes de résultat d'authentification. Les équipes de sécurité surveillent cet événement pour les tentatives d'authentification échouées, les schémas de connexion inhabituels et les attaques potentielles sur les identifiants.

Comprendre les événements 4768 est essentiel pour le dépannage Active Directory, la surveillance de la sécurité et l'audit de conformité. L'événement offre une visibilité sur les flux d'authentification et aide à identifier les problèmes de configuration Kerberos, les problèmes de synchronisation temporelle et les scénarios de verrouillage de compte.

Questions Fréquentes

Que signifie l'ID d'événement 4768 et quand se produit-il ?+
L'ID d'événement 4768 indique qu'un Ticket Granting Ticket (TGT) Kerberos a été demandé à un contrôleur de domaine. Cet événement se produit chaque fois qu'un utilisateur, un ordinateur ou un compte de service tente de s'authentifier sur le domaine Active Directory. C'est la première étape du processus d'authentification Kerberos et il apparaît dans le journal de sécurité sur les contrôleurs de domaine. L'événement capture à la fois les tentatives d'authentification réussies et échouées, fournissant des informations détaillées sur le compte demandeur, l'adresse IP du client et les codes de résultat d'authentification.
Comment puis-je distinguer entre les événements 4768 réussis et échoués ?+
Les événements réussis 4768 affichent un code de résultat de 0x0 dans les détails de l'événement, tandis que les tentatives échouées affichent des codes d'erreur spécifiques indiquant la raison de l'échec. Les codes d'échec courants incluent 0x6 (mauvais nom d'utilisateur), 0x12 (compte désactivé), 0x17 (mot de passe expiré) et 0x18 (compte verrouillé). Vous pouvez filtrer les événements échoués dans PowerShell en utilisant : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768} | Where-Object {$_.Message -like '*0x*' -and $_.Message -notlike '*0x0*'}. Le champ Sub Status fournit un contexte supplémentaire pour les échecs d'authentification.
Pourquoi est-ce que je vois des milliers d'événements 4768 sur mon contrôleur de domaine ?+
Des volumes élevés d'événements 4768 sont normaux dans les environnements Active Directory car chaque tentative d'authentification génère cet événement. Cela inclut les connexions utilisateur, les authentifications de comptes d'ordinateur, les demandes de comptes de service et les authentifications d'applications. Dans les environnements occupés, les contrôleurs de domaine peuvent enregistrer des milliers de ces événements par heure. Pour gérer le volume des journaux, envisagez de filtrer uniquement les événements d'échec, de mettre en œuvre le transfert de journaux vers un emplacement central ou d'augmenter la taille du journal de sécurité. Vous pouvez également utiliser des politiques d'audit avancées pour affiner ce qui est enregistré tout en maintenant la visibilité de la sécurité.
Que dois-je faire si je vois des échecs répétés 4768 provenant de la même adresse IP ?+
Des échecs répétés 4768 provenant d'une seule adresse IP peuvent indiquer une attaque par force brute, une application mal configurée ou un utilisateur ayant des problèmes d'authentification. Tout d'abord, identifiez l'IP source et déterminez si elle est interne ou externe. Vérifiez les noms de compte ciblés et les codes d'échec spécifiques. Pour les problèmes légitimes, vérifiez le statut du compte, l'expiration du mot de passe et la synchronisation temporelle. Pour les attaques potentielles, envisagez de mettre en œuvre des politiques de verrouillage de compte, de blocage d'IP ou une surveillance supplémentaire. Utilisez PowerShell pour analyser les modèles : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768} | Where-Object {$_.Message -like '*ClientAddress*IP_ADDRESS*'} pour suivre toutes les tentatives de cette source.
Comment puis-je utiliser les événements 4768 pour la surveillance de la sécurité et la conformité ?+
L'ID d'événement 4768 offre une excellente visibilité pour la surveillance de la sécurité et l'audit de conformité. Surveillez les schémas suspects tels que les tentatives d'authentification en dehors des heures ouvrables, les échecs multiples pour les comptes privilégiés ou les demandes provenant d'adresses IP inhabituelles. Créez des alertes automatisées pour des taux d'échec élevés ou un ciblage spécifique de comptes. Pour la conformité, les événements 4768 fournissent une piste d'audit de toutes les tentatives d'authentification, soutenant les exigences de journalisation des accès et de surveillance de la sécurité. Mettez en œuvre le transfert de journaux vers un système SIEM pour la corrélation avec d'autres événements de sécurité, et établissez des schémas d'authentification de référence pour identifier les anomalies. L'analyse régulière des événements 4768 aide à détecter les attaques par vol d'identifiants, les compromissions de comptes et les violations de politiques.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Kerberos authentication logginghttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies in Windows environmentshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#kerberos-authentication#event-id-4768

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...