Active Directory 安全防线：从入门到进阶的审计指南

新钛云服已累计为您分享868篇技术干货

大家好！欢迎来到今天的深度探讨。

在企业 IT 中，Active Directory (AD)已经不仅是基础设施，更是身份中枢。

从员工登录电脑，到访问核心业务数据，再到云端应用的 SSO (Single Sign-On)，AD 无处不在。

也正因为如此，AD 成为了黑客眼中的“零号目标”：勒索软件、高级持续性威胁（APT）、内部恶意行为……几乎所有重大攻击，最终目的都是夺取 AD 的最高控制权。

困境：AD 每天产生数以百万计的日志，我们该看什么？如何从日志“汪洋大海”中找到真正的威胁信号？

这篇“终极审计指南”，帮你：

• 理解基础：深入剖析 WindowsLogon Type，看懂攻击者的“作案手法”；

• 聚焦关键：拆解 10 大“黄金”审计事件，直击最有价值的信号；

• 进阶检测：掌握 Kerberos 票据攻击检测、GPO 变更监控；

• 构建体系：教你如何搭建一套行之有效的监控与告警策略。

无论你是正在学习系统管理的学生，还是经验丰富的 IT 专家，都能在这里获得新的启发。

让我们即刻启程！

理解 Logon Type （攻击的“作案手法”）

在 Windows 事件中，Logon Type是解读所有登录行为的关键。它能告诉你：某个账户究竟是 如何 与系统交互的。

1、物理接触型登录 (Direct Access)

通常意味着用户直接或间接接触到了设备。

• Interactive
  

• 用户坐在机器前输入凭据。

• 特别关注服务器上的交互式登录，若发生在 非工作时间，要立刻调查。

• Unlock
  

• 解锁已存在的会话，而不是完整新建。

• 短时间大量失败 → 说明有人在尝试进入你的电脑。

• Cached Interactive
  

• 当计算机无法连接 DC 时，会使用缓存凭据。

• 笔记本丢失风险极高 → 必须配合强密码策略 + BitLocker。

2、远程访问型登录 (Remote Access)

网络攻击和远程运维的核心。

• Remote Interactive
  

• 即 RDP 登录。

• 暴露公网 = 黑客最爱目标。大量类型 10 登录失败 =暴力破解。最佳实践：永远不要直接暴露 RDP，通过VPN访问。

• Network
  

• 用户访问远程资源（共享文件夹、打印机等）。

• 内网攻击者横向移动常见方式。

短时间内，大量失败类型 3 登录 = 横向扫描。

Pass-the-Hash攻击正是利用此机制。

3、系统与自动化登录 (Automated/System)

幕后运行的“自动会话”。

• Batch
  

• 计划任务触发执行时创建。

• 异常计划任务 = 攻击者持久化手段。

• Service
  

• 服务以特定账户身份运行时产生。

• 绝不能用 Domain Admin 账户运行服务，否则一旦泄露 =高权限失陷。

关键审计事件（Golden Events）

理解了登录方式，现在进入“精华篇”——真正值得关注的 10 大黄金事件。

目标1：账户生命周期 (Account Lifecycle)

• Event ID: 4720 (创建用户), 4726 (删除用户), 4722 (启用用户), 4725 (禁用用户)

• 威胁场景：攻击者常建“影子账户”，或启用休眠账户。内部恶意可能删除/禁用关键账号。

• 快速响应：

1. 实时告警账户创建/启用/删除事件；

2. 定期审计休眠/临时账户；

3. 所有操作必须有变更记录。

目标2：权限变更 (Privilege Escalation)

• Event ID: 4728/4729 (全局组成员变更), 4732/4733 (本地组成员变更)

• 风险点：Domain Admins、Enterprise Admins 组成员变化 =域级别失陷。

• 响应动作：

• 对特权组变更设置最高级别告警；

• 严格对应变更流程核查。

目标3：非法访问与横向移动 (Lateral Movement)

• Event ID: 4624 (成功登录), 4625 (登录失败)

• 分析关键：必须结合Logon Type！

• 场景示例：

• 大量 4625 + Remote Interactive →RDP 爆破

• 单一账户 + 大量 4625 + Network →横向扫描

• 4624 + Interactive + 凌晨 + 关键服务器 →失陷信号
  

目标4：特权滥用与凭据盗窃

• Event ID: 4672 (特殊权限分配), 4776 (凭据验证)

• 风险点：

• 4672 标记了特权账户登录；

• 4776 出现在普通工作站 + 域管凭据验证 =NTLM Relay / 哈希盗窃。

目标5：防御规避与销毁证据

• Event ID: 1102 (清除日志)

• 典型攻击者后期行为。

• 快速响应：

• 日志必须转发到独立 SIEM，避免篡改；

• 1102 = 最高级别告警，立刻调查。

进阶审计与检测（Beyond Basics）

除了黄金事件，还需要关注更高级的攻击手法：

• Kerberos 攻击
  

• 4768 (TGT 请求)：大量失败 + 错误码 0x18 =密码喷洒攻击；

• 4769 (TGS 请求)：异常加密类型（如 RC4）=Golden Ticket攻击迹象。

• 目录服务 / GPO 变更
  

• 136 (对象修改)：用于监控 OU、用户对象、Default Domain Policy 改动。

• 若攻击者篡改 GPO，可影响整个域。

构建防御体系（From Logs to Defense）

1、分级告警

• P1紧急（立即响应）：1102、4728

• P2 高优先级（上班必查）：4720、4625+类型10

• P3 一般关注（定期审计）：4624 管理员登录

2、自动化平台

• 引入 SIEM / SOAR，通过规则自动关联，减少人工分析压力。

3、人和流程

• 严格变更管理，减少误报；

• 定期培训，提高安全意识；

• 开展Threat Hunting（主动威胁狩猎）。

十大黄金事件速查表

总 结

安全是一场没有终点的旅程。

AD 审计的核心，不只是“记录日志”，而是能从中提炼出真正的攻击信号。

从今天开始，哪怕只挑选1-2 个关键事件设置告警，也是在为企业筑起一道防线。

那么问题来了：在你的实战中，还遇到过哪些本文没提及但极具威胁的事件？

你又是如何通过日志分析，成功阻止一次攻击的？欢迎留言分享经验！