Abbiamo trovato che l'account dell'amministratore di dominio - che non utilizziamo se non in caso di uno scenario di ripristino di emergenza - ha una data recente nell'attributo LastLogonTimeStamp. Per quanto ne so, nessuno avrebbe dovuto usare questo account nel periodo di tempo interessato (e diversi mesi dopo), ma forse qualche idiota lo ha configurato per eseguire un'attività pianificata.
A causa della quantità di eventi del registro di sicurezza (e della mancanza dello strumento SIEM per l'analisi), volevo determinare quale DC aveva il tempo lastLogon effettivo (ovvero non l'attributo replicato) per l'account, ma ho interrogato tutti i DC nel dominio, e ciascuno di essi ha un ultimo registro di "nessuno" per l'amministratore.
Questo è un dominio figlio nella foresta, quindi è possibile che qualcuno abbia usato questo account amministratore di dominio figlio per eseguire qualcosa nel dominio padre.
Qualcuno può pensare a un modo per determinare quale controller di dominio sta eseguendo l'accesso diverso dall'esaminare i potenziali 20 milioni di eventi da 16 controller di dominio forestali nel periodo registrato in LastLogonTimestamp? Suppongo che potrei prima scegliere come target i controller di dominio padre (poiché i controller di dominio figlio sembrano non aver eseguito l'autorizzazione).
Spiegazione
[Aggiunto dopo aver azzerato la causa dopo aver usato repadminper quanto segue]
Il motivo originale di questa richiesta era dovuto al nostro team di sicurezza IT, che si chiedeva perché apparentemente stavamo effettuando l'accesso con l'account predefinito dell'amministratore di dominio su base frequente.
Sapevamo che NON stavamo effettuando l'accesso. Si scopre che esiste un meccanismo chiamato "Kerberos S4u2Self" che avviene quando un processo di chiamata in esecuzione come sistema locale sta eseguendo un'escalation dei privilegi. Esegue un accesso alla rete (non interattivo) come amministratore su un controller di dominio. Poiché non è interattivo, questo è il motivo per cui non esiste alcun lastLogonaccount per qualsiasi controller di dominio (questo account non era mai stato registrato su nessun controller di dominio corrente).
Questo articolo spiega perché la cosa esegue il ping dei log e rende i team di sicurezza dotati di gattini (le macchine di origine sono Server 2003, per peggiorare le cose). E come rintracciarlo. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
Lezione appresa: fornire report sugli lastLogonattributi ai team di sicurezza IT solo quando si tratta di accessi da amministratore.