ID d'événement 4649

Outil d’audit Active Directory

Les informations sur Qui, Où et Quand sont très importantes pour un administrateur parce qu’elles lui donnent une connaissance complète de toutes les activités qui ont lieu sur son Active Directory. Cela leur permet d'identifier toute activité souhaitée ou indésirable. ADAudit Plus aide un administrateur à obtenir ces informations sous forme de rapports. Veillez, en temps réel, à ce que les ressources critiques dans le réseau telles que les contrôleurs de domaine soient auditées, surveillées et fassent l'objet de rapports contenant toutes les informations sur les objets AD — utilisateurs, groupes, objets de stratégie de groupe, ordinateurs, unités d'organisation, DNS, modifications du schéma et de la configuration AD — avec plus de 200 rapports détaillés sur l'interface utilisateur graphique spécifique aux événements et des alertes par e-mail.

System Event » ID d'événement 4649

ID d'événement 4649 - Une attaque par rejeu a été détectée

ID d'événement4649
CatégorieConnexion/Déconnexion
Sous-catégorieAutres événements de connexion/déconnexion
TypeAudit de succès
DescriptionUne attaque par rejeu a été détectée.

Si les champs nom du serveur, nom du client, heure et microseconde de la correspondance Authenticator sont trouvés dans les entrées récentes du cache, une réponse Kerberos KRB_AP_ERR_REPEAT est envoyée au client. L'envoi de cette réponse déclenche l'ID d'événement 4649, qui est enregistré par le contrôleur de domaine correspondant

Cet événement peut se produire si les mêmes packages sont envoyés par un périphérique réseau mal configuré entre le serveur et le client.

Les données de ce journal fournissent les informations suivantes :

  • ID de sécurité
  • Nom du compte
  • Domaine du compte
  • ID de connexion
  • Nom du compte (rejoué)
  • Domaine du compte (rejoué)
  • ID de processus
  • Nom du processus
  • Nom de la station de travail
  • Informations détaillées sur l'authentification

Pourquoi l’ID d'événement 4649 doit-il être surveillé ?

  • Cet événement pourrait être le signe d'une attaque par rejeu Kerberos
  • Il peut s'agir d'un problème de routage ou de configuration d’un périphérique réseau

Conseil de pro :

ADAudit Plus fournit des rapports pré-configurés en temps réel sur les connexions de comptes, ce qui permet d'identifier les utilisateurs mal intentionnés qui tentent de se connecter à des machines nécessitant des privilèges élevés. Les rapports fournissent également une preuve complète de toute action administrée par un utilisateur. Ces rapports sont utiles pour surmonter les difficultés liées à l'audit de la connexion au compte, telles que les attaques par rejeu.

L'événement 4649 s'applique aux systèmes d'exploitation suivants :

  • Windows 2008 R2 et 7
  • Windows 2012 R2 et 8.16
  • Windows 2016 et 10

Explorer l'audit et la création de rapports Active Directory avec ADAudit Plus.

  • Enter your email id
    Please enter a valid email id
  • Enter your phone number
  • Select demo date
  • En cliquant sur 'Planifier une démonstration personnalisée', vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité. Vous pouvez vous désabonner de nos courriers à tout moment.
Account Management Auditing
Active Directory Auditing
Windows Server Auditing