Geheimnis der Anmeldung am AD-Administratorkonto - Zeitstempel der letzten Anmeldung

14

Wir haben das Domain - Administrator - Konto gefunden - die wir nicht verwenden , außer im Fall eines Disaster - Recovery - Szenarios - haben ein aktuelles Datum in dem Attribute lastlogontimestamp. Soweit mir bekannt ist, sollte niemand dieses Konto in dem betreffenden Zeitraum (und darüber hinaus in einigen Monaten) verwendet haben, aber vielleicht hat ein Idiot es so konfiguriert, dass eine geplante Aufgabe ausgeführt wird.

Aufgrund der Menge der Sicherheitsprotokollereignisse (und des Fehlens des SIEM-Tools für die Analyse) wollte ich feststellen, welcher Domänencontroller die tatsächliche LastLogon- Zeit (dh nicht das replizierte Attribut) für das Konto hatte, habe jedoch jeden Domänencontroller in der Domäne abgefragt. und sie haben jeweils eine lastLogon von "none" für Administrator.

Dies ist eine untergeordnete Domäne in der Gesamtstruktur. Es ist daher möglich, dass jemand dieses Administratorkonto für die untergeordnete Domäne verwendet hat, um etwas in der übergeordneten Domäne auszuführen.

Kann sich jemand eine andere Möglichkeit vorstellen, um zu bestimmen, welcher Domänencontroller die Anmeldung durchführt, als die potenziellen 20 Millionen Ereignisse von 16 Domänencontrollern in der Gesamtstruktur zu untersuchen, die in LastLogonTimestamp aufgezeichnet wurden? Ich nehme an, ich könnte zuerst auf die Domänencontroller der übergeordneten Domäne abzielen (da die untergeordneten Domänencontroller anscheinend nicht die Authentifizierung durchgeführt haben).

Erläuterung

[Wurde hinzugefügt, nachdem die Ursache nach der Verwendung repadminauf Null gestellt wurde.]

Der ursprüngliche Grund für diese Anfrage war unser IT-Sicherheitsteam, das sich fragte, warum wir uns anscheinend häufig mit dem Standard-Domänenadministratorkonto anmelden.

Wir wussten, dass WIR es nicht angemeldet haben. Es stellt sich heraus, dass es einen Mechanismus namens "Kerberos S4u2Self" gibt, bei dem ein aufrufender Prozess, der als lokales System ausgeführt wird, eine gewisse Eskalation von Berechtigungen durchführt. Es wird eine Netzwerkanmeldung (nicht interaktiv) als Administrator auf einem Domänencontroller durchgeführt. Da es nicht interaktiv ist, gibt lastLogones auf keinem Domänencontroller ein Konto für das Konto (dieses Konto war noch nie auf einem aktuellen Domänencontroller angemeldet).

In diesem Artikel wird erläutert, warum das Objekt Ihre Protokolle pingt und Ihr Sicherheitsteam Kätzchen hat (die Quellcomputer sind Server 2003, um die Situation zu verschlimmern). Und wie man es aufspürt. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

Gelernte Lektion - Berichte zu lastLogonAttributen nur an IT-Sicherheitsteams senden, wenn es um Administratoranmeldungen geht.

Trix
quelle

Antworten:

18
repadmin /showobjmeta DCNAME "ObjectDN"  

Zeigt den ursprünglichen DSA an.

Beispiel:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp
Greg Askew
quelle
1
klatscht Kopf DANKE! Ich war gerade hier und empfehle repadmin für etwas anderes, und ich hätte darüber nachdenken sollen! Vielen Dank für die prompte Antwort.
Trix