AD व्यवस्थापक खाता लॉगऑन रहस्य - अंतिम लॉगऑन टाइमस्टैम्प

हमें डोमेन व्यवस्थापक खाता मिल गया है - जिसका उपयोग हम एक आपदा वसूली परिदृश्य की स्थिति को छोड़कर नहीं करते हैं - लास्टलोनगोनटाइमस्टैम्प विशेषता में हाल ही की तारीख है। जहाँ तक मेरी जानकारी है, किसी को भी इस खाते का उपयोग संबंधित समयावधि (और कई महीनों से आगे) में नहीं किया जाना चाहिए था, लेकिन शायद कुछ बेवकूफों ने इसे एक निर्धारित कार्य को चलाने के लिए कॉन्फ़िगर किया है।

सुरक्षा लॉग घटनाओं की मात्रा के कारण, मैं निर्धारित करने के लिए जो डीसी वास्तविक था चाहता था (और विश्लेषण के लिए सिएम उपकरण की कमी) lastLogon समय (यानी नहीं , खाते के लिए दोहराया विशेषता), लेकिन मैं डोमेन हर डीसी पूछे गए हैं, और उनमें से प्रत्येक के पास प्रशासक के लिए "कोई नहीं" का लास्टलोन है।

यह जंगल में एक बाल डोमेन है, इसलिए यह संभव है कि किसी ने मूल डोमेन में कुछ चलाने के लिए इस बाल डोमेन व्यवस्थापक खाते का उपयोग किया हो।

क्या कोई यह निर्धारित करने का तरीका सोच सकता है कि लास्टलोगोनटेम्पैम्प में दर्ज समय के आसपास 16 वन डीसी से संभावित 20 मिलियन घटनाओं की जांच करने के अलावा कौन सा डीसी लॉगऑन कर रहा है? मुझे लगता है कि मैं मूल डोमेन डीसी को पहले लक्षित कर सकता हूं (जैसा कि बच्चे को लगता है कि डीसी ने ऐसा नहीं किया है)।

व्याख्या

[ repadminनीचे दिए गए उपयोग के बाद कारण को शून्य करने के बाद जोड़ा गया ]

इस अनुरोध का मूल कारण हमारी आईटी सुरक्षा टीम के कारण था, जो सोच रहे थे कि हम डिफ़ॉल्ट डोमेन व्यवस्थापक खाते के साथ लगातार आधार पर लॉग इन क्यों कर रहे थे।

हमें पता था कि हम इसे लॉग नहीं कर रहे हैं। यह पता चला है कि "केर्बरोस एस ४ यू २ एसएलएफ" नामक एक तंत्र है, जब स्थानीय प्रणाली के रूप में चलने वाली कॉलिंग प्रक्रिया कुछ विशेषाधिकार वृद्धि कर रही है। यह एक डोमेन नियंत्रक पर एक नेटवर्क लॉगऑन (इंटरैक्टिव नहीं) प्रशासक के रूप में करता है। जैसा कि यह गैर-इंटरैक्टिव है, यही कारण है कि lastLogonकिसी भी डीसी पर खाते के लिए नहीं है (यह खाता किसी भी वर्तमान डोमेन नियंत्रक पर लॉग नहीं किया गया था)।

यह आलेख बताता है कि क्यों चीज़ आपके लॉग को पिंग करती है और आपकी सुरक्षा टीम में बिल्ली के बच्चे हैं (स्रोत मशीनें सर्वर 2003 हैं, चीजों को बदतर बनाने के लिए)। और इसे कैसे ट्रैक करें। https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

सबक सीखा - केवल lastLogonआईटी सुरक्षा टीमों को विशेषताओं पर रिपोर्ट प्रदान करता है जब यह प्रशासक लॉगऑन की चिंता करता है।

repadmin /showobjmeta DCNAME "ObjectDN"  

मूल डीएसए दिखाएगा।

उदाहरण:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp