Misterio de inicio de sesión de la cuenta de administrador de AD: última marca de tiempo de inicio de sesión


14

Hemos encontrado que la cuenta de administrador de dominio, que no usamos excepto en el caso de un escenario de recuperación de desastres, tiene una fecha reciente en el atributo LastLogonTimeStamp. Hasta donde yo sé, nadie debería haber usado esta cuenta en el período de tiempo en cuestión (y varios meses después), pero tal vez algún idiota la haya configurado para ejecutar una tarea programada.

Debido a la cantidad de eventos de registro de seguridad (y la falta de la herramienta SIEM para el análisis), quería determinar qué DC tenía el tiempo real de LastLogon (es decir, no el atributo replicado) para la cuenta, pero he consultado cada DC en el dominio, y cada uno tiene un último inicio de sesión de "ninguno" para el Administrador.

Este es un dominio secundario en el bosque, por lo que es posible que alguien haya utilizado esta cuenta de administrador de dominio secundario para ejecutar algo en el dominio primario.

¿Alguien puede pensar en una forma de determinar qué DC está haciendo el inicio de sesión que no sea examinar los 20 millones de eventos potenciales de 16 DC de bosque alrededor del tiempo registrado en LastLogonTimestamp? Supongo que podría apuntar primero a los DC del dominio principal (ya que los DC secundarios parecen no haber realizado la autenticación).

Explicación

[Agregado después de concentrarse en la causa después de usar repadminsegún lo siguiente]

La razón original de esta solicitud se debió a nuestro equipo de seguridad de TI, que se preguntaba por qué aparentemente estábamos iniciando sesión con la cuenta predeterminada de administrador de dominio con frecuencia.

Sabíamos que no estábamos iniciando sesión. Resulta que hay un mecanismo llamado "Kerberos S4u2Self" que es cuando un proceso de llamada que se ejecuta como Sistema local está haciendo una escalada de privilegios. Realiza un inicio de sesión en la red (no interactivo) como administrador en un controlador de dominio. Como no es interactivo, es por eso que no hay lastLogonpara la cuenta en ningún DC (esta cuenta nunca se había registrado en ningún controlador de dominio actual).

Este artículo explica por qué la cosa hace ping a sus registros y hace que su equipo de seguridad tenga gatitos (las máquinas de origen son Server 2003, para empeorar las cosas). Y cómo rastrearlo. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

Lección aprendida: solo proporcione informes sobre los lastLogonatributos a los equipos de seguridad de TI cuando se trate de inicios de sesión de administrador.

Respuestas:


18
repadmin /showobjmeta DCNAME "ObjectDN"  

Mostrará el DSA de origen.

Ejemplo:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp

1
golpea la cabeza ¡ GRACIAS! Estaba aquí recomendando repadmin por otra cosa, ¡y debería haber pensado en eso! Muchas gracias por la pronta respuesta.
Trix
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.