ADpipe理员帐户login神秘 – 上次login时间戳

我们find了pipe理员帐户 – 除非在灾难恢复情况下,我们使用 – 在LastLogonTimeStamp属性中最近有一个date。 据我所知,没有人应该使用这个帐户在有关的时间段(和几个月以上),但也许有一个白痴已经configuration它运行一个计划的任务。

由于安全日志事件的数量(以及缺乏分析的SIEM工具),我想确定哪个DC具有帐户的实际lastLogon时间(即不是复制的属性),但是我查询了域中的每个DC,他们每个人都有一个最后login“无”pipe理员。

这是林中的一个子域,所以有人可能使用这个子域pipe理员帐户在父域中运行某些东西。

任何人都可以想出一种方法来确定哪些DC正在进行login,而不是在LastLogonTimestamp中logging的时间内检查来自16个森林DC的潜在2000万事件吗? 我想我可以首先瞄准父域DC(因为小孩DC似乎没有做auth)。

附录

这个请求的最初原因是由于我们的IT安全团队,他们想知道为什么我们显然使用默认的域pipe理员帐户频繁login。

我们知道我们没有login。 事实certificate,有一种叫做“Kerberos S4u2Self”的机制,当一个作为本地系统运行的调用进程正在做一些特权升级时。 它以域控制器上的pipe理员身份执行networkinglogin(不是交互式)。 由于它是非交互式的,这就是为什么在任何DC上没有lastLogon帐户(该帐户从未login到任何当前的域控制器)。

这篇文章解释了为什么这个东西会把你的日志写出来,并使你的安全团队有小猫(源机器是Server 2003,使事情变得更糟)。 以及如何追踪。 https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

获得的经验 – 只有在涉及pipe理员login时,才向IT安全团队提供有关lastLogon属性的报告。

 repadmin /showobjmeta DCNAME "ObjectDN" 

将显示原始DSA。

例:

 repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com" 54 entries. Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute ======= =============== ========= ============= === ========= 4178442 CONTOSO-MDSite\CONTOSOMDDC1 4178442 2017-03-15 11:37:30 55 lastLogonTimestamp