我们发现域管理员帐户(除非发生灾难恢复情况,否则我们不会使用该帐户)在 LastLogonTimeStamp 属性中具有最近的日期。据我所知,在相关时间段(以及几个月后)内,没有人应该使用过此帐户,但也许某些白痴已将其配置为运行计划任务。
由于安全日志事件的数量(以及缺乏用于分析的 SIEM 工具),我想确定哪个 DC 具有帐户的实际lastLogon时间(即不是复制属性),但我已经查询了域中的每个 DC,并且他们每个人都有一个 lastLogon 为管理员的“none”。
这是林中的子域,因此可能有人使用此子域管理员帐户在父域中运行某些东西。
除了检查 LastLogonTimestamp 中记录的时间前后来自 16 个森林 DC 的潜在 2000 万个事件之外,谁能想到一种方法来确定哪个 DC 正在执行登录?我想我可以首先针对父域 DC(因为子 DC 似乎没有进行身份验证)。
解释
[根据以下使用后归零原因后添加repadmin]
这个请求的最初原因是由于我们的 IT 安全团队,他们想知道为什么我们显然经常使用默认域管理员帐户登录。
我们知道我们没有登录它。事实证明,有一种称为“Kerberos S4u2Self”的机制,当作为本地系统运行的调用进程正在执行一些权限提升时。它在域控制器上以管理员身份进行网络登录(非交互式)。由于它是非交互式的,这就是为什么lastLogon在任何 DC 上都没有该帐户的原因(该帐户从未登录到任何当前的域控制器)。
这篇文章解释了为什么这个东西会 ping 你的日志并使你的安全团队有小猫(源机器是 Server 2003,让事情变得更糟)。以及如何追踪它。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
经验教训 - 仅lastLogon在涉及管理员登录时向 IT 安全团队提供有关属性的报告。
将显示原始 DSA。
例子: