Тайна входа в учетную запись администратора AD - время последнего входа

Мы обнаружили, что учетная запись администратора домена, которую мы не используем, за исключением случаев аварийного восстановления, имеет недавнюю дату в атрибуте LastLogonTimeStamp. Насколько мне известно, никто не должен был использовать эту учетную запись в соответствующий период времени (и несколько месяцев спустя), но, возможно, какой-то идиот настроил ее для выполнения запланированной задачи.

Из-за количества событий журнала безопасности (и отсутствия инструмента SIEM для анализа) я хотел определить, какой DC имеет фактическое время lastLogon (т.е. не реплицированный атрибут) для учетной записи, но я запросил каждый DC в домене, и у каждого из них есть lastLogon «none» для администратора.

Это дочерний домен в лесу, поэтому возможно, что кто-то использовал эту учетную запись администратора дочернего домена для запуска чего-либо в родительском домене.

Может кто-нибудь придумать способ определить, какой DC выполняет вход в систему, кроме изучения потенциальных 20 миллионов событий из 16 DC леса за время, записанное в LastLogonTimestamp? Я полагаю, что я мог бы сначала нацелить контроллеры домена родительского домена (поскольку дочерние контроллеры домена, кажется, не делали аутентификацию).

объяснение

[Добавлено после установки на причину после использования repadminсогласно ниже]

Первоначальная причина этого запроса была из-за нашей команды ИТ-безопасности, которая задавалась вопросом, почему мы, по-видимому, часто входили в систему с учетной записью администратора домена по умолчанию.

Мы знали, что МЫ не входили в систему. Оказывается, существует механизм под названием «Kerberos S4u2Self», когда вызывающий процесс, работающий как локальная система, выполняет повышение привилегий. Он выполняет сетевой вход (не интерактивный) в качестве администратора на контроллере домена. Поскольку он неинтерактивен, именно поэтому нет lastLogonучетной записи на любом контроллере домена (эта учетная запись никогда не была зарегистрирована на каком-либо текущем контроллере домена).

В этой статье объясняется, почему эта вещь пингует ваши журналы и заставляет вашу команду безопасности иметь котят (на исходных компьютерах установлен Server 2003, что еще хуже). И как это отследить. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

Извлеченный урок - предоставлять отчеты об lastLogonатрибутах группам ИТ-безопасности только в том, что касается входа в систему администратора.

repadmin /showobjmeta DCNAME "ObjectDN"  

Покажет исходный DSA.

Пример:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp