Таємниця входу в обліковий запис адміністратора AD - остання часова мітка входу в систему

Ми знайшли обліковий запис адміністратора домену - який ми не використовуємо, за винятком випадків аварійного відновлення, - атрибут LastLogonTimeStamp має останню дату. Наскільки мені відомо, ніхто не повинен був використовувати цей обліковий запис у відповідний період часу (і на кілька місяців пізніше), але, можливо, якийсь ідіот налаштував його для виконання запланованого завдання.

Через кількість подій журналу безпеки (та відсутність інструменту SIEM для аналізу) я хотів визначити, який саме DC має фактичний час lastLogon (тобто не реплікуваний атрибут) для облікового запису, але я запитав кожен DC в домені, і кожен з них має останній логотип "жодного" для Адміністратора.

Це дочірній домен у лісі, тому можливо, хтось використовував цей обліковий запис адміністратора дочірнього домену, щоб запустити щось у батьківському домені.

Чи може хто-небудь придумати спосіб визначити, який саме ДК робить вхід, окрім вивчення потенційних 20 мільйонів подій з 16 лісових ДС протягом часу, записаного в LastLogonTimestamp? Я припускаю, що я міг би націлити спочатку DC-то батьківського домену (оскільки, здається, дочірні DC не зробили auth).

Пояснення

[Додано після нульового введення причини після використання repadminвідповідно до наведеного нижче]

Первісна причина цього запиту була пов’язана з нашою командою з безпеки ІТ, яка цікавилась, чому ми, мабуть, часто входимо в обліковий запис адміністратора домену за замовчуванням.

Ми знали, що МИ не входили в нього. Виявляється, існує механізм, який називається "Kerberos S4u2Self", саме тоді процес виклику, який працює як Local System, здійснює певну ескалацію привілеїв. Він здійснює мережевий вхід (не інтерактивний) як адміністратор на контролері домену. Оскільки він не інтерактивний, тому немає жодного lastLogonоблікового запису в будь-якому DC (цей обліковий запис ніколи не входив до жодного поточного контролера домену).

Ця стаття пояснює, чому річ записує ваші журнали та змушує вашу команду безпеки мати кошенят (вихідними машинами є Server 2003, щоб погіршити ситуацію). І як це відстежити. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-update-with-kerberos-s4u2self/

Досвід уроку - надайте звіти про lastLogonатрибути командам із ІТ-безпеки лише тоді, коли це стосується логотипів адміністратора.

repadmin /showobjmeta DCNAME "ObjectDN"  

Покаже початковий DSA.

Приклад:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp