Lee*_*eeM 14 security active-directory domain
我们发现域管理员帐户(除非发生灾难恢复情况,否则我们不使用该帐户)在 LastLogonTimeStamp 属性中具有最近的日期。据我所知,在相关时间段内(以及之后的几个月),没有人应该使用过这个帐户,但也许有些白痴已将其配置为运行计划任务。
由于安全日志事件的数量(并且缺少用于分析的SIEM工具),我想确定哪个DC具有该帐户的实际lastLogon时间(即不是复制属性),但我已经查询了域中的每个DC,他们每个人都有一个“无”的最后登录管理员。
这是林中的子域,因此可能有人使用此子域管理员帐户在父域中运行某些内容。
除了检查在 LastLogonTimestamp 中记录的时间前后来自 16 个森林 DC 的潜在 2000 万个事件之外,有人能想出一种方法来确定哪个 DC 正在执行登录吗?我想我可以首先针对父域 DC(因为子 DC 似乎没有完成身份验证)。
解释
[repadmin根据以下使用后归零原因后添加]
此请求的最初原因是我们的 IT 安全团队,他们想知道为什么我们显然经常使用默认域管理员帐户登录。
我们知道我们没有登录它。事实证明,有一种称为“Kerberos S4u2Self”的机制,当作为本地系统运行的调用进程进行一些特权升级时。它在域控制器上以管理员身份进行网络登录(非交互式)。由于它是非交互式的,这就是为什么lastLogon在任何 DC 上都没有该帐户的原因(此帐户从未登录到任何当前的域控制器)。
这篇文章解释了为什么这件事会 ping 您的日志并使您的安全团队拥有小猫(源机器是 Server 2003,让事情变得更糟)。以及如何追踪它。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
经验教训 - 仅lastLogon在涉及管理员登录时向 IT 安全团队提供有关属性的报告。
Gre*_*kew 18
repadmin /showobjmeta DCNAME "ObjectDN"
将显示原始 DSA。
例子:
repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"
54 entries.
Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute
======= =============== ========= ============= === =========
4178442 CONTOSO-MDSite\CONTOSOMDDC1 4178442 2017-03-15 11:37:30 55 lastLogonTimestamp
| 归档时间: |
|
| 查看次数: |
2099 次 |
| 最近记录: |