Как узнать дату последнего использования учётной записи в AD?

Question

[Tarakanator]

Я предположил что искомое найду в lastlogon, lastlogondate или lastlogontimestamp
Попробовал опросить все DC
foreach ($b in $adcontrollers.hostname) {
$d=Get-ADuser -server $b "Scans-Regist" -Properties LastLogon, LastLogonDate, lastLogonTimestamp | Select-Object Name, LastLogon, LastLogondate, lastLogonTimestamp
$d.lastlogon=[datetime]::FromFileTime($d.lastlogon)
$d.lastLogonTimestamp=[datetime]::FromFileTime($d.lastLogonTimestamp)
$d
}

Name LastLogon LastLogondate lastLogonTimestamp
---- --------- ------------- ------------------
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 21.09.2018 16:5... 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
Scans-Regist 01.01.1601 3:00:00 26.03.2023 14:49:50 26.03.2023 14:49:50
lastlogon вообще ересь показывает, а две другие просто устарели на 3 дня.
Под уз работает сетевой сканер. Его ребутнули и отсканировали на нём документ с отправкой в сетевую папку(с использованием доменной уз), но lastlogon не поменялся.

Comments

[Alexey Dmitriev]

Может стоит почитать, что собой представляют все три эти сущности? У них у всех есть ньюансы.

[Tarakanator]

Alexey Dmitriev, Я читал про нюансы, но я так и не понял каким образом ВСЕ LastLogon могут быть меньше, чем lastLogonTimestamp, если контроллеры домена не отключались.
И так и не понял каким образом событие логина может не попадать в статистику.
Вся разница, что я нашёл это формат данных и репликация. Но т.к. оно не совпало с реальными данными я решил потыкаться. Не получилось. Ещё погуглил, не нашёл информации. Написал сюда.

Answer 1

[Роман Безруков]

Вам нужен LastLogon

LastLogon - атрибут обновляется только на том КД, который выполнил аутентификацию пользователя. Атрибут не реплицируется, т.е. надо обходить все контроллеры и спрашивать этот атрибут.
LastLogonTimestamp - это реплицируемый вариант LastLogon, но он не совпадает с LastLogon. Логика следующая: из текущей даты вычитается значение LastLogonTimestamp (получаем значение d1), далее вычисляется значение d2 (14 минус случайный процент от 5). Если d1>d2 - происходит обновление значения LastLogonTimestamp, в противном случае все остается как есть.
LastLogonDate - это вычисляемый атрибут, не реплицируется. По сути - значение LastLogonTimestamp, сконвертированное в удобный для пользователя вид

Еще, как вариант, на контроллерах в Security Log смотреть события 4624

Comments

[Tarakanator]

Вам нужен LastLogon

Я привёл пример кода, где используется lastlogon. Он не работает. показывает последнее использование в 2018 году, хотя уз использовалась час назад.

[Роман Безруков]

Tarakanator, значит он у вас ходит через один и тот же КД - смотрите на нем события 4624 (Successful logon) в известный вам временной интервал...
а LastLogondate и lastLogonTimestamp всегда совпадают

[Tarakanator]

Роман Безруков, не понял, как он может ходить через тот-же КД и не обновлять lastlogon?
4624 для данной уз почему-то не вижу. для других, в том числе на том КД вижу.

а LastLogondate и lastLogonTimestamp всегда совпадают

Я в курсе, но учитывая чертовщину решил проверить.

Answer 2

[MaxKozlov]

Если посмотреть на доки
атрибут Last-Logon
Атрибут Last-Logon-Timestamp
То там есть

Значение нуля означает, что время последнего входа неизвестно.

Фиг знает, почему оно может быть неизвестно, но это может быть ваш случай :)

ну и эту ссылочку оставлю для тех, кто ещё не разобрался в нюансах
Understanding the AD Account attributes - LastLogo...

Comments

[Tarakanator]

Фиг знает почему оно может быть неизвестно, но это может быть ваш случай :)

ну это конечно объясняет странные результаты, но
1)не помогает в решении проблемы.
2)с наибольшей вероятностью УЗ используется там, где lastlogon в 2018 году, а не 0. КРАЙНЕ сомнительно что на том DC с 2018 года она ни разу не использовалась.

[MaxKozlov]

Так а что евенты 4624, как предложил Роман Безруков ?
они как раз покажут "где"
а "почему" - это тогда будет отдельным вопросом
в $adcontrollers актуальная инфа ? всякие rodc там или ещё что ?

[Tarakanator]

MaxKozlov, 4624 не нашёл. Не понимаю почему.
для других уз 4624 есть в том числе на нужном DC.
DC получаю с помощью $adcontrollers=Get-ADDomainController -Filter *
вроде как ошибиться негде.
RODC нету
что там ещё может быть не представляю, вроде всё стандартно.

[MaxKozlov]

Tarakanator, Может он как-то использует кешированные kerberos тикеты для захода по шаре ? хотя это было бы странно с учётом перезагрузки. да и давности lastlogon

Вы сами если под этой учёткой сунетесь, на ту же шару, событие будет?

а так-то есть ещё
Событие 4648

[MaxKozlov]

У других юзеров lastlogon нормальный ?
security с нормальными юзерами и проблемным совпадают ?

[Tarakanator]

MaxKozlov, примерно 5-10% пользователей с нулевым lastlogon
Пользователи разные, но среди них много технических учёток. возможно что-то с security и есть одинаковое у них. Только вот куда смотреть?
UPD зашёл в винду под данной уз, то lastlogon обновился, 4624 событие появилось.
вероятно проблема вызвана способом использования уз, а не security.

[Tarakanator]

MaxKozlov, я ищу события не по event id, а по тексту "Scans-Regist"
ломануться на ту ширу под той уз попробую уже завтра.

[MaxKozlov]

Tarakanator, Есть шанс, что логин у вас не через kerberos получается, а ntlm.
Принтеры - они такие, там чаще всего внутри самба 3 и smb v1.0
Генерит ли такой логин нужное событие - я не знаю (не проверял)

[MaxKozlov]

Tarakanator, Вы лучше посмотрите все события за интересующий период.

[Tarakanator]

MaxKozlov,
Всех событий будет многовато.
UPD.
проверил, ntlm и v1 и v2 на нужном DC(на всех не проверял) логируются(по крайней мере 4624)
Пошёл организовывать тестирование максимально близкое к сценарию использования сканера.
UPD2 Если ломануться с недоменного компа на файловую шару 4624 не возникает. То что я увидел при первом тесте вероятно было какой-то не связанной с тестом активностью.
На домен контроллере соответствующих записей в логе не вижу, на файловой шаре есть 5140

[MaxKozlov]

Tarakanator, и совпадения SubjectLogonId из 5140 где-то есть на DC?
Обещают, что должно быть

В принципе, можно предположить, что события может не быть, если kerberos ticket уже есть на сервере с шарой, но вот откуда он может браться... а юзера случайно локального на сервере шары нет с таким же паролем ? что там вообще за данные в 5140 ?

[Tarakanator]

MaxKozlov,
Совпадений нет. Есть только ещё 5145, но это тоже на файловом сервере
Не нашёл где обещают что должно быть.
Я посмотрел через wireshark от клиента идёт обрашение к DC и kerberos отправляет tgs-rep.
Локального юзера нет.

лог

_id
CLijMYcBBzwddOmpWJsU
_index
.ds-logs-system.security-default-2023.03.29-000554
_score
0
@timestamp
Mar 30, 2023 @ 11:29:59.367
agent.ephemeral_id
d88d1ad0-7e54-4a38-839e-8523a7d081ea
agent.hostname
file-server-name
agent.id
ed45591e-1c1f-4ea7-85e4-f499031b683c
agent.name
file-server-name
agent.type
filebeat
agent.version
7.17.1
data_stream.dataset
system.security
data_stream.namespace
default
data_stream.type
logs
ecs.version
1.12.0
elastic_agent.id
ed45591e-1c1f-4ea7-85e4-f499031b683c
elastic_agent.snapshot
false
elastic_agent.version
7.17.1
event.action
Общий файловый ресурс
event.agent_id_status
verified
event.code
5140
event.created
Mar 30, 2023 @ 11:30:00.254
event.dataset
system.security
event.ingested
Mar 30, 2023 @ 11:30:01.000
event.kind
event
event.module
system
event.outcome
success
event.provider
Microsoft-Windows-Security-Auditing
host.architecture
x86_64
host.hostname
file-server-name
host.id
7f6356a0-8228-404a-af5e-9bcaeca2ca94
host.ip
file.server.ip
host.mac
00:15:5d:16:2d:05
host.name
file-server-name.domain.name
host.os.build
9600.19968
host.os.family
windows
host.os.kernel
6.3.9600.20564 (winblue_ltsb_escrow.220809-0737)
host.os.name
Windows Server 2012 R2 Standard
host.os.platform
windows
host.os.type
windows
host.os.version
6.3
input.type
winlog
log.level
сведения
message

Получен доступ к объекту сетевой папки.

Субъект:
Код безопасности: S-1-5-21-1433428062-1903647318-3045599452-88471
Имя учетной записи: test-user
Домен учетной записи: domain
Код входа в систему: 0x3995D6209

Сведения о сети:
Тип объекта: File
Адрес источника: 172.17.60.62
Порт источника: 1111

Сведения об общем ресурсе:
Имя общего ресурса: \\*\IPC$
Путь к общему ресурсу:

Сведения о запросе доступа:
Маска доступа: 0x1
Доступы: Чтение данных (или перечисление каталогов)

winlog.api
wineventlog
winlog.channel
Security
winlog.computer_name
file-server-name.domain.name
winlog.event_data.AccessList
%%4416

winlog.event_data.AccessListDescription
ReadData (or ListDirectory)
winlog.event_data.AccessMask
0x1
winlog.event_data.AccessMaskDescription
Create Child
winlog.event_data.IpAddress
172.17.60.62
winlog.event_data.IpPort
1111
winlog.event_data.ObjectType
File
winlog.event_data.ShareName
\\*\IPC$
winlog.event_data.SubjectDomainName
domainname
winlog.event_data.SubjectLogonId
0x3995d6209
winlog.event_data.SubjectUserName
test-user
winlog.event_data.SubjectUserSid
S-1-5-21-1433428062-1903647318-3045599452-88471
winlog.event_id
5140
winlog.keywords
Аудит успеха
winlog.logon.id
0x3995d6209
winlog.opcode
Сведения
winlog.process.pid
4
winlog.process.thread.id
11,216
winlog.provider_guid
{54849625-5478-4994-A5BA-3E3B0328C30D}
winlog.provider_name
Microsoft-Windows-Security-Auditing
winlog.record_id
23818715872
winlog.task
Общий файловый ресурс
winlog.version
1

[MaxKozlov]

Tarakanator, Обещают тут

Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

А вот если есть обращение к DC по идее событие должно было записаться.
Я в kerberos не спец, но tgs-rep это уже где-то в конце
https://defcon.ru/penetration-testing/18990/

Answer 3

[TheBigBear]

А просто зайти в AD пользователи и посмотреть?

Comments

[Tarakanator]

Совпадает с lastlogondate

[MaxKozlov]

Это другой атрибут
Атрибут Modify-Time-Stamp

[Tarakanator]

MaxKozlov, Я знаю что другой, я к тому, что численно совпадает.