{"id":612,"date":"2010-05-10T20:50:13","date_gmt":"2010-05-10T19:50:13","guid":{"rendered":"http:\/\/blog.m-ri.de\/?p=612"},"modified":"2010-05-09T18:51:40","modified_gmt":"2010-05-09T17:51:40","slug":"eventlog-eintraege-mit-der-ereigniskennung-675-im-sicherheit-ereignisprotokoll","status":"publish","type":"post","link":"http:\/\/blog.m-ri.de\/index.php\/2010\/05\/10\/eventlog-eintraege-mit-der-ereigniskennung-675-im-sicherheit-ereignisprotokoll\/","title":{"rendered":"Eventlog Eintr\u00e4ge mit der Ereigniskennung 675 im Sicherheit Ereignisprotokoll"},"content":{"rendered":"<p>Auf meinem <em>Windows Server 2003 R2 <\/em>haben sich in der letzten Zeit Fehlereintr\u00e4ge im Eventlog f\u00fcr die Sicherheit angeh\u00e4uft. Und das bis zu 200 Eintr\u00e4ge und mehr t\u00e4glich.<\/p>\n<p>Bei der Analyse stie\u00df ich haupts\u00e4chlich auf die Ereigniskennung 675 mit dem Fehlercode 0x19. Meistens traten diese Eventlog Eintr\u00e4ge im Viererpack auf, immer wenn ein Benutzer sich mit seinem PC im Netz angemeldet hat. Jeweils erschienen dann Eintr\u00e4ge f\u00fcr den PC und den Benutzer, wie die nachfolgenden Beispiele beiden Beispiele aus dem Ereignisprotokoll meines Servers zeigen:<\/p>\n<pre lang=\"text\">Ereignistyp: Fehler\u00fcberw.\r\nEreignisquelle: Security\r\nEreigniskategorie: Kontoanmeldung\r\nEreigniskennung: 675\r\nDatum: 21.04.2010\r\nZeit: 10:48:33\r\nBenutzer: NT-AUTORIT\u00c4T\\SYSTEM\r\nComputer: SERVER\r\nBeschreibung:\r\nFehlgeschlagene Vorbest\u00e4tigung:\r\n  Benutzername: COMPUTER$\r\n  Benutzerkennung: DOMAIN\\COMPUTER$\r\n  Dienstname: krbtgt\/domain.loc\r\n  Vorauthentifizierungstyp: 0x0\r\n  Fehlercode: 0x19\r\n  Clientadresse: 192.168.16.150<\/pre>\n<p>sowie:<\/p>\n<pre lang=\"text\">Ereignistyp: Fehler\u00fcberw.\r\nEreignisquelle: Security\r\nEreigniskategorie: Kontoanmeldung\r\nEreigniskennung: 675\r\nDatum: 21.04.2010\r\nZeit: 10:48:52\r\nBenutzer: NT-AUTORIT\u00c4T\\SYSTEM\r\nComputer: SERVER\r\nBeschreibung:\r\nFehlgeschlagene Vorbest\u00e4tigung:\r\n  Benutzername: Martin\r\n  Benutzerkennung: DOMAIN\\Martin\r\n  Dienstname: krbtgt\/DOMAIN\r\n  Vorauthentifizierungstyp: 0x0\r\n  Fehlercode: 0x19\r\n  Clientadresse: 192.168.16.150<\/pre>\n<p>Nach einiger Recherche kam ich dahinter, dass dies nur Arbeitspl\u00e4tze betraf, die <em>Windows Vista <\/em>oder <em>Windows 7 <\/em>einsetzten. Rechner mit <em>Windows XP <\/em>oder <em>Windows 2003 Server <\/em>tauchten hier nie auf.<\/p>\n<p>Ein wenig weiteres Forschen brachte mich dann auf die Ursache:<\/p>\n<p>Diese Event Id wird ausgegeben wenn, der Dom\u00e4nencontroller den <em>Kerberos<\/em>-Authentifizierungsversuch eines Rechners nicht versteht. Das nur <em>Windows Vista<\/em> und <em>Windows 7 <\/em>Rechner als Verursacher auftauchen liegt daran, dass mit <em>Windows Vista<\/em> <em>AES (Advanced Encryption Standard) <\/em>als Verschl\u00fcsselungsverfahren von den Clients bevorzugt wird.<br \/>\nLeider kennt aber der <em>Windows 2003 <\/em>Dom\u00e4nen-Controller dieses Verfahren noch nicht. Weil es aber einen Fallback auf das\u00a0<em>RC4-HMAC <\/em>Verfahren gibt merkt der Anwender nichts davon.<\/p>\n<p>Windows Systeme unterst\u00fctzen die folgenden Verschl\u00fcsselungsverfahren f\u00fcr Kerberos:<\/p>\n<ul>\n<li>DES-CBC-CRC (Registrycode 0x1)<\/li>\n<li>DES-CBC-MD5 (Registrycode 0x3)<\/li>\n<li>RC4-HMAC (Registrycode 0x17)<\/li>\n<li>AES (Registrycode 0x12) Wird seit <em>Windows Server 2008<\/em> unterst\u00fctzt (d.h. auch <em>Vista <\/em>und <em>Windows 7<\/em>)<\/li>\n<\/ul>\n<p>Die Standard Preauthentifizierung erfolgt bei <em>Windows 2000<\/em>, <em>Windows Server 2003<\/em>, <em>Windows XP <\/em>immer <em>RC4-HMAC<\/em>.<\/p>\n<p>Die L\u00f6sung ist ein kleiner Workaround in dem man einfach dem <em>Vista <\/em>oder <em>Windows 7 <\/em>Rechner mitteilt er soll doch einfach auch die <em>RC4-HMAC <\/em>Verschl\u00fcsselung w\u00e4hlen. Das verhindert dann die Nutzung von <em>AES\u00a0 <\/em>und die Fehler sind weg, die durch den vergeblichen <em>AES <\/em>Anmeldeversuch entstehen.<br \/>\nDas erreicht man in dem man den <em>Code 0x17<\/em> (siehe Aufz\u00e4hlung oben) f\u00fcr den <em>DefaultEncryptionType <\/em>eintr\u00e4gt. Nachfolgend der entsprechende Auszug aus der REG-Datei, die ich auf die Clients verteilt habe.<\/p>\n<pre lang=\"reg\">Windows Registry Editor Version 5.00\r\n[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\Kerberos\\Parameters]\r\n\"DefaultEncryptionType\"=dword:00000017<\/pre>\n<p>Oder in anderen Worten gesagt:<\/p>\n<ul>\n<li>Man startet Regedit an den betroffenen Clients<\/li>\n<li>Man w\u00e4hlt den Ast <em>HKLM\\System\\CurrentControlSet\\Control\\LSA\\Kerberos\\Parameters<\/em><\/li>\n<li>Dort erzeugt man einen <em>DWORD <\/em>Wert mit Namen <em>DefaultEncryptionType<\/em><\/li>\n<li>In diesen Wert setzt man <em>0x17 <\/em>(bzw. <em>23 <\/em>dezimal) ein<\/li>\n<\/ul>\n<p>Nun ist Ruhe mit <strong>diesem <\/strong>Fehler \ud83d\ude42<\/p>\n<p>Weitere Links zum Thema Kerberos hier:<br \/>\n<a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/cc738673(WS.10).aspx\">http:\/\/technet.microsoft.com\/en-us\/library\/cc738673(WS.10).aspx<\/a><br \/>\n<a href=\"http:\/\/tools.ietf.org\/html\/rfc4757\">http:\/\/tools.ietf.org\/html\/rfc4757<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auf meinem Windows Server 2003 R2 haben sich in der letzten Zeit Fehlereintr\u00e4ge im Eventlog f\u00fcr die Sicherheit angeh\u00e4uft. Und das bis zu 200 Eintr\u00e4ge und mehr t\u00e4glich. Bei der Analyse stie\u00df ich haupts\u00e4chlich auf die Ereigniskennung 675 mit dem Fehlercode 0x19. Meistens traten diese Eventlog Eintr\u00e4ge im Viererpack auf, immer wenn ein Benutzer sich &hellip; <a href=\"http:\/\/blog.m-ri.de\/index.php\/2010\/05\/10\/eventlog-eintraege-mit-der-ereigniskennung-675-im-sicherheit-ereignisprotokoll\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eEventlog Eintr\u00e4ge mit der Ereigniskennung 675 im Sicherheit Ereignisprotokoll\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[12,14,91,188],"tags":[232,104,233,358,231,186],"class_list":["post-612","post","type-post","status-publish","format-standard","hentry","category-software","category-vista","category-windows-software","category-windows-7-software","tag-kerberos","tag-server","tag-sicherheit","tag-vista","tag-windows-2003","tag-windows-7"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts\/612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/comments?post=612"}],"version-history":[{"count":1,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts\/612\/revisions"}],"predecessor-version":[{"id":614,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts\/612\/revisions\/614"}],"wp:attachment":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/media?parent=612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/categories?post=612"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/tags?post=612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}