เราพบบัญชีผู้ดูแลโดเมนซึ่งเราไม่ได้ใช้ยกเว้นในกรณีที่มีสถานการณ์การกู้คืนความเสียหาย - มีวันที่ล่าสุดในแอตทริบิวต์ LastLogonTimeStamp เท่าที่ฉันทราบไม่มีใครควรใช้บัญชีนี้ในช่วงเวลาที่เกี่ยวข้อง (และอีกหลายเดือน) แต่บางทีคนบ้าบางคนได้กำหนดให้ทำงานตามกำหนดเวลา
เนื่องจากปริมาณของเหตุการณ์ที่เกิดขึ้นเข้าสู่ระบบการรักษาความปลอดภัย (และขาดเครื่องมือ SIEM สำหรับการวิเคราะห์) ผมอยากจะตรวจสอบว่าซีมีจริงlastLogonเวลา (เช่นไม่แอตทริบิวต์จำลอง) สำหรับบัญชี แต่ผมได้สอบถามทุก DC ในโดเมน และพวกเขาแต่ละคนมีการเข้าสู่ระบบล่าสุดเป็น "none" สำหรับผู้ดูแลระบบ
นี่คือโดเมนลูกในฟอเรสต์ดังนั้นจึงเป็นไปได้ว่ามีคนใช้บัญชีผู้ดูแลโดเมนลูกนี้เพื่อเรียกใช้บางอย่างในโดเมนแม่
ใครบ้างคิดวิธีที่จะตรวจสอบว่า DC ใดกำลังทำล็อกออนนอกเหนือจากการตรวจสอบเหตุการณ์ที่อาจเกิดขึ้น 20 ล้านเหตุการณ์จาก DC 16 ฟอเรสต์รอบเวลาที่บันทึกไว้ใน LastLogonTimestamp ฉันคิดว่าฉันสามารถกำหนดเป้าหมายโดเมนหลักของ DC เป็นอันดับแรกได้ (เนื่องจาก DC เด็กนั้นไม่ได้ทำการตรวจสอบสิทธิ์)
คำอธิบาย
[เพิ่มหลังจาก zeroing in บนสาเหตุหลังจากใช้งานrepadminตามด้านล่าง]
เหตุผลดั้งเดิมสำหรับคำขอนี้เกิดจากทีมความปลอดภัยด้านไอทีของเราซึ่งสงสัยว่าทำไมเราจึงเข้าสู่ระบบด้วยบัญชีผู้ดูแลโดเมนเริ่มต้นเป็นประจำ
เรารู้ว่าเราไม่ได้เข้าสู่ระบบ ปรากฎว่ามีกลไกที่เรียกว่า "Kerberos S4u2Self" นั่นคือเมื่อกระบวนการเรียกใช้ทำงานเป็น Local System กำลังทำการเพิ่มระดับสิทธิ์ มันเข้าสู่ระบบเครือข่าย (ไม่โต้ตอบ) ในฐานะผู้ดูแลระบบในตัวควบคุมโดเมน นี่คือสาเหตุที่ไม่มีlastLogonสำหรับบัญชีใน DC ใด ๆ (บัญชีนี้ไม่เคยถูกบันทึกลงในตัวควบคุมโดเมนใด ๆ ในปัจจุบัน)
บทความนี้อธิบายว่าทำไมสิ่งที่ส่งบันทึกของคุณและทำให้ทีมรักษาความปลอดภัยของคุณมีลูกแมว (เครื่องต้นทางคือ Server 2003 เพื่อทำให้สิ่งเลวร้ายลง) และจะติดตามอย่างไรลง https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
เรียนรู้บทเรียน - เพียงจัดทำรายงานเกี่ยวกับlastLogonคุณลักษณะของทีมรักษาความปลอดภัยด้านไอทีเมื่อเกี่ยวข้องกับการเข้าสู่ระบบของผู้ดูแลระบบ