Mistério de logon da conta do administrador do AD - carimbo de data e hora do último logon

14

Descobrimos que a conta de administrador do domínio - que não usamos, exceto no caso de um cenário de recuperação de desastre - tem uma data recente no atributo LastLogonTimeStamp. Tanto quanto sei, ninguém deveria ter usado essa conta no período em questão (e vários meses depois), mas talvez algum idiota tenha configurado para executar uma tarefa agendada.

Devido à quantidade de eventos de log de segurança (e à falta da ferramenta SIEM para análise), eu queria determinar qual controlador de domínio tinha o tempo real lastLogon (ou seja, não o atributo replicado) da conta, mas consultei todos os controladores de domínio no domínio, e cada um deles tem um lastLogon de "none" para Administrador.

Esse é um domínio filho na floresta, portanto, é possível que alguém tenha usado essa conta de administrador do domínio filho para executar algo no domínio pai.

Alguém pode pensar em uma maneira de determinar qual controlador de domínio está fazendo o logon, além de examinar os possíveis 20 milhões de eventos de 16 DCs da floresta no período registrado no LastLogonTimestamp? Suponho que eu poderia direcionar os DCs do domínio pai primeiro (como os DCs filhos parecem não ter feito a autenticação).

Explicação

[Adicionado após se concentrar na causa após o uso repadminconforme abaixo]

O motivo original dessa solicitação foi devido à nossa equipe de segurança de TI, que se perguntava por que estávamos aparentemente fazendo logon com a conta de administrador de domínio padrão com frequência.

Sabíamos que NÃO estávamos logando. Acontece que existe um mecanismo chamado "Kerberos S4u2Self" que ocorre quando um processo de chamada em execução como Sistema Local está realizando uma escalada de privilégios. Ele faz um logon de rede (não interativo) como administrador em um controlador de domínio. Como não é interativo, é por isso que não existe lastLogonuma conta em nenhum controlador de domínio (essa conta nunca foi registrada em nenhum controlador de domínio atual).

Este artigo explica por que a coisa faz ping em seus logs e faz com que sua equipe de segurança tenha gatinhos (as máquinas de origem são o Server 2003, para piorar as coisas). E como rastrear isso. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

Lição aprendida - forneça apenas relatórios sobre lastLogonatributos às equipes de segurança de TI quando se trata de logons de administrador.

Trix
fonte

Respostas:

18
repadmin /showobjmeta DCNAME "ObjectDN"  

Mostrará o DSA de origem.

Exemplo:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp
Greg Askew
fonte
1
cheira cabeça OBRIGADO! Eu estava aqui recomendando repadmin para outra coisa, e eu deveria ter pensado nisso! Muito obrigado pela pronta resposta.
Trix