AD Administrator misteri log masuk akun - stempel waktu masuk terakhir

14

Kami telah menemukan account domain Administrator - yang kita tidak menggunakan kecuali dalam hal skenario pemulihan bencana - memiliki tanggal terbaru dalam atribut LastLogonTimeStamp. Sejauh yang saya ketahui, tidak seorang pun seharusnya menggunakan akun ini pada periode waktu yang bersangkutan (dan beberapa bulan setelahnya), tetapi mungkin beberapa orang idiot telah mengonfigurasinya untuk menjalankan tugas yang dijadwalkan.

Karena jumlah peristiwa log keamanan (dan kurangnya alat SIEM untuk analisis), saya ingin menentukan DC mana yang memiliki waktu LastLogon aktual (yaitu bukan atribut yang direplikasi) untuk akun tersebut, tetapi saya telah meminta setiap DC dalam domain, dan mereka masing-masing memiliki Log terakhir dari "tidak ada" untuk Administrator.

Ini adalah domain anak di hutan, jadi ada kemungkinan bahwa seseorang telah menggunakan akun Administrator domain anak ini untuk menjalankan sesuatu di domain induk.

Adakah yang bisa memikirkan cara untuk menentukan DC mana yang melakukan log masuk selain memeriksa potensi 20 juta peristiwa dari 16 DC hutan sekitar waktu yang dicatat dalam LastLogonTimestamp? Saya kira saya bisa menargetkan DC domain induk pertama (karena DC anak tampaknya tidak melakukan auth).

Penjelasan

[Ditambahkan setelah memberi penekanan pada penyebab setelah menggunakan repadminper di bawah ini]

Alasan asli untuk permintaan ini adalah karena tim Keamanan TI kami, yang bertanya-tanya mengapa kami tampaknya log on dengan akun Administrator domain default secara rutin.

Kami tahu bahwa KAMI tidak mencatatnya. Ternyata ada mekanisme yang disebut "Kerberos S4u2Self" saat itulah proses panggilan berjalan sebagai Sistem Lokal melakukan beberapa eskalasi hak istimewa. Itu logon jaringan (bukan interaktif) sebagai Administrator pada pengontrol domain. Karena tidak interaktif, inilah sebabnya tidak ada lastLogonakun di DC mana pun (akun ini tidak pernah masuk ke pengontrol domain saat ini).

Artikel ini menjelaskan mengapa benda itu membuat log Anda dan membuat tim keamanan Anda memiliki anak kucing (mesin sumbernya adalah Server 2003, untuk memperburuk keadaan). Dan bagaimana cara melacaknya. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

Pelajaran yang dipelajari - hanya menyediakan laporan tentang lastLogonatribut ke tim keamanan TI ketika menyangkut Administrator login.

Trix
sumber

Jawaban:

18
repadmin /showobjmeta DCNAME "ObjectDN"  

Akan menampilkan DSA yang berasal.

Contoh:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp
Greg Askew
sumber
1
memukul kepala terima kasih! Saya hanya di sini merekomendasikan repadmin untuk sesuatu yang lain, dan saya seharusnya memikirkan yang itu! Terima kasih banyak atas tanggapan yang cepat.
Trix