我们发现域管理员帐户(除非发生灾难恢复情况,否则我们不使用该帐户)在 LastLogonTimeStamp 属性中具有最近的日期。据我所知,在相关时间段内(以及之后的几个月),没有人应该使用过这个帐户,但也许有些白痴已将其配置为运行计划任务。
由于安全日志事件的数量(并且缺少用于分析的SIEM工具),我想确定哪个DC具有该帐户的实际lastLogon时间(即不是复制属性),但我已经查询了域中的每个DC,他们每个人都有一个“无”的最后登录管理员。
这是林中的子域,因此可能有人使用此子域管理员帐户在父域中运行某些内容。
除了检查在 LastLogonTimestamp 中记录的时间前后来自 16 个森林 DC 的潜在 2000 万个事件之外,有人能想出一种方法来确定哪个 DC 正在执行登录吗?我想我可以首先针对父域 DC(因为子 DC 似乎没有完成身份验证)。
解释
[repadmin根据以下使用后归零原因后添加]
此请求的最初原因是我们的 IT 安全团队,他们想知道为什么我们显然经常使用默认域管理员帐户登录。
我们知道我们没有登录它。事实证明,有一种称为“Kerberos S4u2Self”的机制,当作为本地系统运行的调用进程进行一些特权升级时。它在域控制器上以管理员身份进行网络登录(非交互式)。由于它是非交互式的,这就是为什么lastLogon在任何 DC 上都没有该帐户的原因(此帐户从未登录到任何当前的域控制器)。
这篇文章解释了为什么这件事会 ping 您的日志并使您的安全团队拥有小猫(源机器是 Server 2003,让事情变得更糟)。以及如何追踪它。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
经验教训 - 仅lastLogon在涉及管理员登录时向 IT 安全团队提供有关属性的报告。
我有 6 台服务器运行 Windows Server 2016 文件服务器 DFS 复制。
我的 DFS 文件服务器复制、运行状况报告生成的报告和
dfsrdiag backlog /smem:$src /rmem:$dest /rgname:$GroupName /rfname:$foldername
结果:
SourceComputer DestinationComputer Enabled MinimumRDCFileSizeInKB RdcEnabled State BackLog
SERVER-B SERVER-C TRUE 64 TRUE Normal 226450
SERVER-B SERVER-X TRUE 64 TRUE Normal 243177
SERVER-B SERVER-N TRUE 64 TRUE Normal 227989
SERVER-B SERVER-A TRUE 64 TRUE Normal 227281
SERVER-N SERVER-X TRUE 64 TRUE Normal 322091
SERVER-N SERVER-B TRUE 64 TRUE Normal 321380
SERVER-N SERVER-A TRUE 64 TRUE Normal 2
SERVER-N SERVER-C TRUE 64 TRUE …