Kami telah menemukan account domain Administrator - yang kita tidak menggunakan kecuali dalam hal skenario pemulihan bencana - memiliki tanggal terbaru dalam atribut LastLogonTimeStamp. Sejauh yang saya ketahui, tidak seorang pun seharusnya menggunakan akun ini pada periode waktu yang bersangkutan (dan beberapa bulan setelahnya), tetapi mungkin beberapa orang idiot telah mengonfigurasinya untuk menjalankan tugas yang dijadwalkan.
Karena jumlah peristiwa log keamanan (dan kurangnya alat SIEM untuk analisis), saya ingin menentukan DC mana yang memiliki waktu LastLogon aktual (yaitu bukan atribut yang direplikasi) untuk akun tersebut, tetapi saya telah meminta setiap DC dalam domain, dan mereka masing-masing memiliki Log terakhir dari "tidak ada" untuk Administrator.
Ini adalah domain anak di hutan, jadi ada kemungkinan bahwa seseorang telah menggunakan akun Administrator domain anak ini untuk menjalankan sesuatu di domain induk.
Adakah yang bisa memikirkan cara untuk menentukan DC mana yang melakukan log masuk selain memeriksa potensi 20 juta peristiwa dari 16 DC hutan sekitar waktu yang dicatat dalam LastLogonTimestamp? Saya kira saya bisa menargetkan DC domain induk pertama (karena DC anak tampaknya tidak melakukan auth).
Penjelasan
[Ditambahkan setelah memberi penekanan pada penyebab setelah menggunakan repadmin
per di bawah ini]
Alasan asli untuk permintaan ini adalah karena tim Keamanan TI kami, yang bertanya-tanya mengapa kami tampaknya log on dengan akun Administrator domain default secara rutin.
Kami tahu bahwa KAMI tidak mencatatnya. Ternyata ada mekanisme yang disebut "Kerberos S4u2Self" saat itulah proses panggilan berjalan sebagai Sistem Lokal melakukan beberapa eskalasi hak istimewa. Itu logon jaringan (bukan interaktif) sebagai Administrator pada pengontrol domain. Karena tidak interaktif, inilah sebabnya tidak ada lastLogon
akun di DC mana pun (akun ini tidak pernah masuk ke pengontrol domain saat ini).
Artikel ini menjelaskan mengapa benda itu membuat log Anda dan membuat tim keamanan Anda memiliki anak kucing (mesin sumbernya adalah Server 2003, untuk memperburuk keadaan). Dan bagaimana cara melacaknya. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
Pelajaran yang dipelajari - hanya menyediakan laporan tentang lastLogon
atribut ke tim keamanan TI ketika menyangkut Administrator login.