新钛云服已累计为您分享868篇技术干货
大家好!欢迎来到今天的深度探讨。
在企业 IT 中,Active Directory (AD)已经不仅是基础设施,更是身份中枢。
从员工登录电脑,到访问核心业务数据,再到云端应用的 SSO (Single Sign-On),AD 无处不在。
也正因为如此,AD 成为了黑客眼中的“零号目标”:勒索软件、高级持续性威胁(APT)、内部恶意行为……几乎所有重大攻击,最终目的都是夺取 AD 的最高控制权。
困境:AD 每天产生数以百万计的日志,我们该看什么?如何从日志“汪洋大海”中找到真正的威胁信号?
这篇“终极审计指南”,帮你:
理解基础:深入剖析 WindowsLogon Type,看懂攻击者的“作案手法”;
聚焦关键:拆解 10 大“黄金”审计事件,直击最有价值的信号;
进阶检测:掌握 Kerberos 票据攻击检测、GPO 变更监控;
构建体系:教你如何搭建一套行之有效的监控与告警策略。
无论你是正在学习系统管理的学生,还是经验丰富的 IT 专家,都能在这里获得新的启发。
让我们即刻启程!
理解 Logon Type (攻击的“作案手法”)
在 Windows 事件中,Logon Type是解读所有登录行为的关键。它能告诉你:某个账户究竟是 如何 与系统交互的。
1、物理接触型登录 (Direct Access)
通常意味着用户直接或间接接触到了设备。
Interactive
用户坐在机器前输入凭据。
特别关注服务器上的交互式登录,若发生在 非工作时间,要立刻调查。
Unlock
解锁已存在的会话,而不是完整新建。
短时间大量失败 → 说明有人在尝试进入你的电脑。
Cached Interactive
当计算机无法连接 DC 时,会使用缓存凭据。
笔记本丢失风险极高 → 必须配合强密码策略 + BitLocker。
2、远程访问型登录 (Remote Access)
网络攻击和远程运维的核心。
Remote Interactive
即 RDP 登录。
暴露公网 = 黑客最爱目标。大量类型 10 登录失败 =暴力破解。最佳实践:永远不要直接暴露 RDP,通过VPN访问。
Network
用户访问远程资源(共享文件夹、打印机等)。
内网攻击者横向移动常见方式。
短时间内,大量失败类型 3 登录 = 横向扫描。
Pass-the-Hash攻击正是利用此机制。
3、系统与自动化登录 (Automated/System)
幕后运行的“自动会话”。
Batch
计划任务触发执行时创建。
异常计划任务 = 攻击者持久化手段。
Service
服务以特定账户身份运行时产生。
绝不能用 Domain Admin 账户运行服务,否则一旦泄露 =高权限失陷。
关键审计事件(Golden Events)
理解了登录方式,现在进入“精华篇”——真正值得关注的 10 大黄金事件。
目标1:账户生命周期 (Account Lifecycle)
Event ID: 4720 (创建用户), 4726 (删除用户), 4722 (启用用户), 4725 (禁用用户)
威胁场景:攻击者常建“影子账户”,或启用休眠账户。内部恶意可能删除/禁用关键账号。
快速响应:
实时告警账户创建/启用/删除事件;
定期审计休眠/临时账户;
所有操作必须有变更记录。
目标2:权限变更 (Privilege Escalation)
Event ID: 4728/4729 (全局组成员变更), 4732/4733 (本地组成员变更)
风险点:Domain Admins、Enterprise Admins 组成员变化 =域级别失陷。
响应动作:
对特权组变更设置最高级别告警;
严格对应变更流程核查。
目标3:非法访问与横向移动 (Lateral Movement)
Event ID: 4624 (成功登录), 4625 (登录失败)
分析关键:必须结合Logon Type!
场景示例:
大量 4625 + Remote Interactive →RDP 爆破
单一账户 + 大量 4625 + Network →横向扫描
4624 + Interactive + 凌晨 + 关键服务器 →失陷信号
目标4:特权滥用与凭据盗窃
Event ID: 4672 (特殊权限分配), 4776 (凭据验证)
风险点:
4672 标记了特权账户登录;
4776 出现在普通工作站 + 域管凭据验证 =NTLM Relay / 哈希盗窃。
目标5:防御规避与销毁证据
Event ID: 1102 (清除日志)
典型攻击者后期行为。
快速响应:
日志必须转发到独立 SIEM,避免篡改;
1102 = 最高级别告警,立刻调查。
进阶审计与检测(Beyond Basics)
除了黄金事件,还需要关注更高级的攻击手法:
Kerberos 攻击
4768 (TGT 请求):大量失败 + 错误码 0x18 =密码喷洒攻击;
4769 (TGS 请求):异常加密类型(如 RC4)=Golden Ticket攻击迹象。
目录服务 / GPO 变更
136 (对象修改):用于监控 OU、用户对象、Default Domain Policy 改动。
若攻击者篡改 GPO,可影响整个域。
构建防御体系(From Logs to Defense)
1、分级告警
P1紧急(立即响应):1102、4728
P2 高优先级(上班必查):4720、4625+类型10
P3 一般关注(定期审计):4624 管理员登录
2、自动化平台
引入 SIEM / SOAR,通过规则自动关联,减少人工分析压力。
3、人和流程
严格变更管理,减少误报;
定期培训,提高安全意识;
开展Threat Hunting(主动威胁狩猎)。
十大黄金事件速查表
总 结
安全是一场没有终点的旅程。
AD 审计的核心,不只是“记录日志”,而是能从中提炼出真正的攻击信号。
从今天开始,哪怕只挑选1-2 个关键事件设置告警,也是在为企业筑起一道防线。
那么问题来了:在你的实战中,还遇到过哪些本文没提及但极具威胁的事件?
你又是如何通过日志分析,成功阻止一次攻击的?欢迎留言分享经验!
热门跟贴