Descobrimos que a conta de Administrador do domínio - que não é não usada, exceto no caso de um cenário de recuperação de desastre - tem uma data recente no atributo LastLogonTimeStamp. Tanto quanto eu sei, ninguém deveria ter usado essa conta no período de tempo em questão (e vários meses além), mas talvez algum idiota tenha configurado para executar uma tarefa agendada.
Devido à quantidade de eventos de log de segurança (e falta de ferramenta SIEM para análise), eu queria determinar qual CD tinha o tempo lastLogon real (ou seja, não atributo replicado) para a conta, mas eu tenho consultado cada DC no domínio, e cada um deles tem um lastLogon de "nenhum" para Administrador.
Este é um domínio filho na floresta, portanto, é possível que alguém tenha usado essa conta de administrador de domínio filho para executar algo no domínio pai.
Alguém pode pensar em uma maneira de determinar qual CD está fazendo o logon, além de examinar os possíveis 20 milhões de eventos de 16 DCs de floresta ao redor do tempo registrado em LastLogonTimestamp? Eu suponho que eu poderia direcionar os DCs do domínio pai primeiro (já que os CDs filhos parecem não ter feito a autenticação).
Explicação
[Adicionado após zerar a causa depois de usar repadmin por abaixo]
O motivo original dessa solicitação foi devido à nossa equipe de segurança de TI, que estava se perguntando por que, aparentemente, estávamos fazendo logon com a conta de administrador de domínio padrão com frequência.
Sabíamos que não estávamos a iniciar sessão. Acontece que existe um mecanismo chamado "Kerberos S4u2Self" que é quando um processo de chamada em execução como Sistema Local está fazendo algum escalonamento de privilégios. Ele faz um logon de rede (não interativo) como Administrador em um controlador de domínio. Como não é interativo, é por isso que não há lastLogon para a conta em qualquer DC (essa conta nunca foi registrada em nenhum controlador de domínio atual).
Este artigo explica porque a coisa pinga seus logs e faz com que sua equipe de segurança tenha gatinhos (as máquinas de origem são o Server 2003, para piorar as coisas). E como rastreá-lo. link
Lição aprendida - forneça apenas relatórios sobre os atributos lastLogon para as equipes de segurança de TI quando se trata de logons do Administrador.
repadmin /showobjmeta DCNAME "ObjectDN"
mostrará o DSA originário.
Exemplo:
repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"
54 entries.
Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute
======= =============== ========= ============= === =========
4178442 CONTOSO-MDSite\CONTOSOMDDC1 4178442 2017-03-15 11:37:30 55 lastLogonTimestamp