derwowusste
Goto Top

Auditing von account enumeration zickt auf Server 2022

Moin.

Laut https://learn.microsoft.com/en-us/windows/security/threat-protection/aud ...
kann man mittels der advanced auditing policy "Audit Kerberos Authentication Service" auch erkennen, wenn ein Angreifer Nutzernamen durchtestet:
Result Code 0x6 (The username doesn't exist), if you see, for example N events in last N minutes. This can be an indicator of account enumeration attack, especially for highly critical accounts.
Stelle ich das nun auf einem DC (Server 2022 22H1) auf die Probe, dann wird jedoch nichts dergleichen im Sicherheitslog geloggt. Stattdessen tritt zeitlich parallel im Sicherheitslog jedoch dieses Event auf:
Event ID 521: Unable to log events to security log.
Dafür gibt es leider keine erkennbare Ursache und an der Performance wird's nicht liegen, der Server idlet.
Ist das ein Bug?
Funktioniert das bei einem Eurer 2022 DCs (für den Fall, dass Ihr's nicht aktiv habt, kann man es so testen):
ad1
Edit
Zu betonen ist, dass es z.B. auf Server 2016 problemlos so funktioniert.

Content-ID: 4241316244

Url: https://administrator.de/forum/auditing-von-account-enumeration-zickt-auf-server-2022-4241316244.html

Ausgedruckt am: 05.04.2025 um 13:04 Uhr

3063370895
3063370895 12.10.2022 um 08:24:19 Uhr
Goto Top
Schonmal versucht das Eventlog umzubenennen? Eventuell ist es korrupt.

%SystemRoot%\System32\Winevt\Logs\Security.evtx
DerWoWusste
DerWoWusste 12.10.2022 um 09:34:35 Uhr
Goto Top
Servus.

Wenn ein Log korrupt wird, kann nicht mehr reingeloggt werden. Es wird dann nicht wählerisch, was geloggt wird (denn alles andere kommt ja an). So meine Erfahrung. Aber dennoch, ja, leeren und auch Neuanlegen hat nichts gebracht.
3063370895
3063370895 12.10.2022 aktualisiert um 10:00:48 Uhr
Goto Top
Welcher Statuscode ist im Event 521 hinterlegt?

Eventuell hilfreicher Link
DerWoWusste
DerWoWusste 12.10.2022 um 10:14:34 Uhr
Goto Top
Der selbe wie in deinem Link.

Kann man probieren, auch wenn ich dem LimitlessTechnology nicht weiter traue, als ich ihn werfen könnte. Kenne dessen "Expertise" aus unzähligen Threads. Schon allein seine Ansage "The best resolution is to disable login success" (?)

Werde ich dennoch heute Abend testen.
Danke!
clSchak
clSchak 12.10.2022 aktualisiert um 16:24:44 Uhr
Goto Top
Hi

hast du auf dem Gerät die Settings aktiviert, dass er die dargestellten Einstellungen beachtet?

2022-10-12 16_09_00-editor für lokale gruppenrichtlinien

Computer Konfiguration\Windows Einstellung\Sicherheitseinstellungen\Lokale Richtlinine\Sicherheitsoption\"Überwachung: Unterkategorieeinstellung der Überwachungsrichtlinie erzwingen"

Ansonste ignoriert das System die Einstellungen einfach, da du gpedit.msc aufgerufen hast, steht es wohl nicht in einer GPO face-smile

Das hat bei uns auch erst nicht funktioniert, erst nachdem wir das aktiviert hatten, scheinbar ist es bis Server 2016 egal, ab 2019 will er die Einstellung explizit gesetzt haben damit die Einstellungen beachtet werden.

Wir setzen zur Analyse AD-AUDIT ein um die Logs besser durchsuchen zu können.

Edit/Add:
wir setzen 2019 - 2022 als DC ein, haben vor rund 3 Monaten alle DCs hochgezogen, soweit es Lizenztechnisch möglich war.

2022-10-12 16_22_51-adaudit plus
DerWoWusste
DerWoWusste 13.10.2022 um 20:46:47 Uhr
Goto Top
Weder @chaot1coz noch @clSchak, leider beides vergebens.
Ich wage zu behaupten, das ist ein Bug auf 2022. Oder läuft das bei irgendjemandem korrekt?
DerWoWusste
DerWoWusste 21.10.2022 um 21:24:55 Uhr
Goto Top
Habe meinen VM-Lab DC von 2022 auf VNext Preview upgegradet - Fehler weg.