AD Yönetici hesabı oturum açma gizemi - son oturum açma zaman damgası

Biz do - Biz alanı yönetici hesabı buldum değil bir felaket kurtarma senaryosunda durumlar dışında kullanmak - lastLogonTimestamp Özellikte son kullanma tarihi vardır. Bildiğim kadarıyla, hiç kimse bu hesabı ilgili süre içinde (ve birkaç ay sonra) kullanmamalıydı, ancak belki de bazı salak bunu zamanlanmış bir görevi çalıştıracak şekilde yapılandırdı.

Güvenlik günlüğü olaylarının (ve analiz için SIEM aracının eksikliğinin) miktarı nedeniyle, hangi DC'nin hesap için gerçek lastLogon süresine (yani çoğaltılan öznitelik değil ) sahip olduğunu belirlemek istedim , ancak etki alanındaki her DC'yi sorguladım, ve her birinin Administrator için bir lastLogon "none" vardır.

Bu, ormandaki bir alt etki alanıdır, bu nedenle birisinin üst etki alanında bir şey çalıştırmak için bu alt etki alanı Yönetici hesabını kullanması mümkündür.

LastLogonTimestamp'ta kaydedilen süre boyunca 16 orman DC'sinden potansiyel 20 milyon olayı incelemek dışında, hangi DC'nin oturum açma işlemini gerçekleştirdiğini belirlemenin bir yolu düşünebilir mi? Sanırım ilk olarak ana etki alanı DC'lerini hedefleyebilirim (alt DC'ler yetkilendirmeyi yapmamış gibi görünüyor).

açıklama

[ repadminAşağıdakine göre kullandıktan sonra nedeni sıfırladıktan sonra eklendi ]

Bu isteğin orijinal nedeni, görünüşe göre neden varsayılan etki alanı Yönetici hesabıyla sık sık oturum açtığımızı merak eden BT Güvenlik ekibimizdi.

Oturum açmadığımızı biliyorduk. "Kerberos S4u2Self" adında bir mekanizma olduğu ortaya çıktı, o zaman Yerel Sistem olarak çalışan bir çağrı işlemi bir ayrıcalık yükseltme yapıyor. Bir does ağ etki alanı denetleyicisinde yönetici olarak oturum açma (interaktif değil). Etkileşimli olmadığı lastLogoniçin , bu nedenle herhangi bir DC'deki hesap için hiçbir şey yoktur (bu hesap, herhangi bir geçerli etki alanı denetleyicisinde hiç oturum açmamıştı).

Bu makalede, neden günlüklerinize ping işlemi yapar ve güvenlik ekibinizin yavru kedileri olmasını sağlar (işleri daha da kötüleştirmek için kaynak makineler Server 2003'tür). Ve bunu nasıl izleyeceğim. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

Alınan ders - lastLogonBT güvenlik ekiplerine yalnızca Yönetici oturum açma işlemleriyle ilgili özellikler hakkında raporlar verin .

repadmin /showobjmeta DCNAME "ObjectDN"  

Kaynak DSA'yı gösterir.

Misal:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp