我们发现域管理员帐户-LastLogonTimeStamp属性中的日期是最新的,除非发生灾难恢复,否则将不使用该域。据我所知,没有人应该在相关时间段内(以及数月后)使用此帐户,但是也许有些白痴将其配置为运行预定任务。
由于安全日志事件的数量(并且缺乏用于分析的SIEM工具),我想确定哪个DC具有该帐户的实际lastLogon时间(即没有复制的属性),但是我已经查询了域中的每个DC,每个管理员的lastLogon都为“ none”。
这是林中的子域,因此有人可能使用了该子域管理员帐户在父域中运行某些内容。
除了在LastLogonTimestamp中记录的时间附近检查来自16个森林DC的潜在2000万个事件之外,谁能想到确定哪个DC正在执行登录的方法?我想我可以首先定位父域DC(因为子DC似乎未完成身份验证)。
说明
[ repadmin根据以下内容归零后添加原因]
提出此请求的最初原因是由于我们的IT安全团队在想为什么我们显然经常使用默认的域管理员帐户登录。
我们知道我们没有登录。事实证明,有一种称为“ Kerberos S4u2Self”的机制,该机制是在作为本地系统运行的调用进程进行某些特权提升时。它以域控制器上的管理员身份进行网络登录(非交互式)。由于它是非交互的,因此这就是为什么lastLogon任何DC上都没有该帐户的原因(该帐户从未登录到任何当前域控制器上)。
本文解释了为什么该事件会ping您的日志,并使您的安全团队陷入困境(源计算机是Server 2003,这会使情况更糟)。以及如何追踪。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
获得的经验教训-仅lastLogon在涉及管理员登录时才向IT安全团队提供有关属性的报告。