AD 管理員帳戶登錄之謎 - 上次登錄時間戳
我們發現域管理員帳戶(除非發生災難恢復情況,否則我們不會使用該帳戶)在 LastLogonTimeStamp 屬性中具有最近的日期。據我所知,在相關時間段(以及幾個月後)內,沒有人應該使用過此帳戶,但也許某些白痴已將其配置為執行計劃任務。
由於安全日誌事件的數量(以及缺乏用於分析的 SIEM 工具),我想確定哪個 DC 具有帳戶的實際lastLogon時間(即不是複制屬性),但我已經查詢了域中的每個 DC,並且他們每個人都有一個 lastLogon 為管理員的“none”。
這是林中的子域,因此可能有人使用此子域管理員帳戶在父域中執行某些東西。
除了檢查 LastLogonTimestamp 中記錄的時間前後來自 16 個森林 DC 的潛在 2000 萬個事件之外,誰能想出一種方法來確定哪個 DC 正在執行登錄?我想我可以首先針對父域 DC(因為子 DC 似乎沒有進行身份驗證)。
解釋
[根據以下使用後歸零原因後添加
repadmin]這個請求的最初原因是由於我們的 IT 安全團隊,他們想知道為什麼我們顯然經常使用預設域管理員帳戶登錄。
我們知道我們沒有登錄它。事實證明,有一種稱為“Kerberos S4u2Self”的機制,當作為本地系統執行的呼叫程序正在執行一些權限提升時。它在域控制器上以管理員身份進行*網路登錄(非互動式)。*由於它是非互動式的,這就是為什麼
lastLogon在任何 DC 上都沒有該帳戶的原因(該帳戶從未登錄到任何目前的域控制器)。這篇文章解釋了為什麼這個東西會 ping 你的日誌並使你的安全團隊有小貓(源機器是 Server 2003,讓事情變得更糟)。以及如何追踪它。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
經驗教訓 - 僅
lastLogon在涉及管理員登錄時向 IT 安全團隊提供有關屬性的報告。
repadmin /showobjmeta DCNAME "ObjectDN"將顯示原始 DSA。
例子:
repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com" 54 entries. Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute ======= =============== ========= ============= === ========= 4178442 CONTOSO-MDSite\CONTOSOMDDC1 4178442 2017-03-15 11:37:30 55 lastLogonTimestamp