ドメイン管理者アカウント(災害復旧シナリオの場合を除いて使用しない)には、LastLogonTimeStamp属性に最近の日付があることがわかりました。私の知る限り、誰もこの期間(および数か月後)にこのアカウントを使用するべきではありませんでしたが、一部のバカがスケジュールされたタスクを実行するように設定している可能性があります。
セキュリティログイベントの量(および分析用のSIEMツールの不足)のため、アカウントの実際のlastLogon時間(レプリケートされた属性ではない)があるDCを特定したかったのですが、ドメイン内のすべてのDCを照会しました。また、管理者のlastLogonはそれぞれ「なし」です。
これはフォレスト内の子ドメインなので、誰かがこの子ドメイン管理者アカウントを使用して親ドメインで何かを実行している可能性があります。
LastLogonTimestampに記録されている時間帯に、16のフォレストDCから発生する可能性のある2,000万のイベントを調べる以外に、どのDCがログオンを行っているかを判断する方法はありますか?最初に親ドメインDCをターゲットにできると思います(子DCは認証を行っていないようです)。
説明
[ repadmin以下に従って使用後の原因をゼロ化した後に追加]
この要求の元々の理由は、ITセキュリティチームが、なぜデフォルトドメイン管理者アカウントで頻繁にログオンしているのか疑問に思っていたためです。
ログオンしていないことはわかっていました。「Kerberos S4u2Self」と呼ばれるメカニズムが存在することがわかりました。これは、ローカルシステムとして実行されている呼び出しプロセスが何らかの権限昇格を行っている場合です。それはありませんネットワークのドメインコントローラ上で管理者としてログオン(インタラクティブではないが)。非対話型であるため、これがlastLogonDCのアカウントに存在しない理由です(このアカウントは現在のドメインコントローラーにログオンしたことがありませんでした)。
この記事では、ログがpingを実行し、セキュリティチームに子猫がいる理由を説明します(事態を悪化させるために、ソースマシンはServer 2003です)。そして、それを追跡する方法。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
教訓- lastLogon属性に関するレポートは、管理者のログオンに関する場合にのみITセキュリティチームに提供します。