재해 복구 시나리오를 제외하고는 사용 하지 않는 도메인 관리자 계정 의 LastLogonTimeStamp 특성에 최근 날짜가 있습니다. 내가 아는 한, 아무도이 계정을 관련 기간 (몇 개월 이상)에 사용해서는 안되었지만, 일부 바보가 예약 된 작업을 실행하도록 구성했을 수도 있습니다.
보안 로그 이벤트의 양 (및 분석을위한 SIEM 도구가 없음 )으로 인해 계정에 대한 실제 마지막 로그온 시간 (즉 , 복제 된 속성이 아님) 이있는 DC를 확인하고 싶었지만 도메인의 모든 DC를 쿼리했습니다. 그리고 관리자에게는 각각 "없음"이라는 마지막 로그온이 있습니다.
이것은 포리스트의 자식 도메인이므로 누군가이 자식 도메인 관리자 계정을 사용하여 부모 도메인에서 무언가를 실행했을 수 있습니다.
누구든지 LastLogonTimestamp에 기록 된 시간 동안 16 개의 포리스트 DC에서 발생하는 2 천만 개의 이벤트를 검사하는 것 외에 어떤 DC가 로그온을 수행하고 있는지 확인할 수있는 방법을 생각할 수 있습니까? 하위 DC가 인증을 수행하지 않은 것처럼 상위 도메인 DC를 먼저 타겟팅 할 수 있다고 가정합니다.
설명
[ repadmin아래에 따라 사용 후 원인을 제로화 한 후 추가 ]
이 요청의 원래 이유는 IT 보안 팀에 의한 것입니다. IT 보안 팀은 왜 자주 우리가 기본 도메인 관리자 계정으로 로그온했는지 궁금해하고있었습니다.
로그온하지 않았다는 것을 알고있었습니다. "Kerberos S4u2Self"라는 메커니즘이 있는데, 이는 로컬 시스템으로 실행중인 호출 프로세스가 권한 에스컬레이션을 수행 할 때 발생합니다. 그것은 않는 네트워크 도메인 컨트롤러에 관리자로 로그온 (인터랙티브되지 않음). 비대화 lastLogon식이므로 DC에 계정 이없는 이유입니다 (이 계정은 현재 도메인 컨트롤러에 로그온 한 적이 없습니다).
이 기사에서는 로그를 핑하는 이유와 보안 팀에 새끼 고양이가있는 이유를 설명합니다 (소스 시스템은 Server 2003이므로 상황이 악화됩니다). 그리고 그것을 추적하는 방법. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
교훈- lastLogon관리자 로그온과 관련하여 IT 보안 팀에게 속성에 대한 보고서 만 제공합니다 .