Alexey Dmitriev, Я читал про нюансы, но я так и не понял каким образом ВСЕ LastLogon могут быть меньше, чем lastLogonTimestamp, если контроллеры домена не отключались.
И так и не понял каким образом событие логина может не попадать в статистику.
Вся разница, что я нашёл это формат данных и репликация. Но т.к. оно не совпало с реальными данными я решил потыкаться. Не получилось. Ещё погуглил, не нашёл информации. Написал сюда.
LastLogon - атрибут обновляется только на том КД, который выполнил аутентификацию пользователя. Атрибут не реплицируется, т.е. надо обходить все контроллеры и спрашивать этот атрибут. LastLogonTimestamp - это реплицируемый вариант LastLogon, но он не совпадает с LastLogon. Логика следующая: из текущей даты вычитается значение LastLogonTimestamp (получаем значение d1), далее вычисляется значение d2 (14 минус случайный процент от 5). Если d1>d2 - происходит обновление значения LastLogonTimestamp, в противном случае все остается как есть. LastLogonDate - это вычисляемый атрибут, не реплицируется. По сути - значение LastLogonTimestamp, сконвертированное в удобный для пользователя вид
Еще, как вариант, на контроллерах в Security Log смотреть события 4624
Tarakanator, значит он у вас ходит через один и тот же КД - смотрите на нем события 4624 (Successful logon) в известный вам временной интервал...
а LastLogondate и lastLogonTimestamp всегда совпадают
Роман Безруков, не понял, как он может ходить через тот-же КД и не обновлять lastlogon?
4624 для данной уз почему-то не вижу. для других, в том числе на том КД вижу.
а LastLogondate и lastLogonTimestamp всегда совпадают
Я в курсе, но учитывая чертовщину решил проверить.
Фиг знает почему оно может быть неизвестно, но это может быть ваш случай :)
ну это конечно объясняет странные результаты, но
1)не помогает в решении проблемы.
2)с наибольшей вероятностью УЗ используется там, где lastlogon в 2018 году, а не 0. КРАЙНЕ сомнительно что на том DC с 2018 года она ни разу не использовалась.
Так а что евенты 4624, как предложил Роман Безруков ?
они как раз покажут "где"
а "почему" - это тогда будет отдельным вопросом
в $adcontrollers актуальная инфа ? всякие rodc там или ещё что ?
MaxKozlov, 4624 не нашёл. Не понимаю почему.
для других уз 4624 есть в том числе на нужном DC.
DC получаю с помощью $adcontrollers=Get-ADDomainController -Filter *
вроде как ошибиться негде.
RODC нету
что там ещё может быть не представляю, вроде всё стандартно.
Tarakanator, Может он как-то использует кешированные kerberos тикеты для захода по шаре ? хотя это было бы странно с учётом перезагрузки. да и давности lastlogon
Вы сами если под этой учёткой сунетесь, на ту же шару, событие будет?
MaxKozlov, примерно 5-10% пользователей с нулевым lastlogon
Пользователи разные, но среди них много технических учёток. возможно что-то с security и есть одинаковое у них. Только вот куда смотреть?
UPD зашёл в винду под данной уз, то lastlogon обновился, 4624 событие появилось.
вероятно проблема вызвана способом использования уз, а не security.
Tarakanator, Есть шанс, что логин у вас не через kerberos получается, а ntlm.
Принтеры - они такие, там чаще всего внутри самба 3 и smb v1.0
Генерит ли такой логин нужное событие - я не знаю (не проверял)
MaxKozlov,
Всех событий будет многовато.
UPD.
проверил, ntlm и v1 и v2 на нужном DC(на всех не проверял) логируются(по крайней мере 4624)
Пошёл организовывать тестирование максимально близкое к сценарию использования сканера.
UPD2 Если ломануться с недоменного компа на файловую шару 4624 не возникает. То что я увидел при первом тесте вероятно было какой-то не связанной с тестом активностью.
На домен контроллере соответствующих записей в логе не вижу, на файловой шаре есть 5140
Tarakanator, и совпадения SubjectLogonId из 5140 где-то есть на DC? Обещают, что должно быть
В принципе, можно предположить, что события может не быть, если kerberos ticket уже есть на сервере с шарой, но вот откуда он может браться... а юзера случайно локального на сервере шары нет с таким же паролем ? что там вообще за данные в 5140 ?
MaxKozlov,
Совпадений нет. Есть только ещё 5145, но это тоже на файловом сервере
Не нашёл где обещают что должно быть.
Я посмотрел через wireshark от клиента идёт обрашение к DC и kerberos отправляет tgs-rep.
Локального юзера нет.
лог
_id
CLijMYcBBzwddOmpWJsU
_index
.ds-logs-system.security-default-2023.03.29-000554
_score
0
@timestamp
Mar 30, 2023 @ 11:29:59.367
agent.ephemeral_id
d88d1ad0-7e54-4a38-839e-8523a7d081ea
agent.hostname
file-server-name
agent.id
ed45591e-1c1f-4ea7-85e4-f499031b683c
agent.name
file-server-name
agent.type
filebeat
agent.version
7.17.1
data_stream.dataset
system.security
data_stream.namespace
default
data_stream.type
logs
ecs.version
1.12.0
elastic_agent.id
ed45591e-1c1f-4ea7-85e4-f499031b683c
elastic_agent.snapshot
false
elastic_agent.version
7.17.1
event.action
Общий файловый ресурс
event.agent_id_status
verified
event.code
5140
event.created
Mar 30, 2023 @ 11:30:00.254
event.dataset
system.security
event.ingested
Mar 30, 2023 @ 11:30:01.000
event.kind
event
event.module
system
event.outcome
success
event.provider
Microsoft-Windows-Security-Auditing
host.architecture
x86_64
host.hostname
file-server-name
host.id
7f6356a0-8228-404a-af5e-9bcaeca2ca94
host.ip
file.server.ip
host.mac
00:15:5d:16:2d:05
host.name
file-server-name.domain.name
host.os.build
9600.19968
host.os.family
windows
host.os.kernel
6.3.9600.20564 (winblue_ltsb_escrow.220809-0737)
host.os.name
Windows Server 2012 R2 Standard
host.os.platform
windows
host.os.type
windows
host.os.version
6.3
input.type
winlog
log.level
сведения
message
Получен доступ к объекту сетевой папки.
Субъект:
Код безопасности: S-1-5-21-1433428062-1903647318-3045599452-88471
Имя учетной записи: test-user
Домен учетной записи: domain
Код входа в систему: 0x3995D6209
Сведения о сети:
Тип объекта: File
Адрес источника: 172.17.60.62
Порт источника: 1111
Сведения об общем ресурсе:
Имя общего ресурса: \\*\IPC$
Путь к общему ресурсу:
Сведения о запросе доступа:
Маска доступа: 0x1
Доступы: Чтение данных (или перечисление каталогов)
Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”