云服务器网关

大家好！欢迎来到今天的深度探讨。

在企业 IT 中，Active Directory (AD)已经不仅是基础设施，更是身份中枢。

从员工登录电脑，到访问核心业务数据，再到云端应用的 SSO (Single Sign-On)，AD 无处不在。

也正因为如此，AD 成为了黑客眼中的零号目标：勒索软件、高级持续性威胁（APT）、内部恶意行为……几乎所有重大攻击，最终目的都是夺取 AD 的最高控制权。

困境：AD 每天产生数以百万计的日志，我们该看什么？如何从日志汪洋大海中找到真正的威胁信号？

这篇终极审计指南，帮你：

理解基础：深入剖析 WindowsLogon Type，看懂攻击者的作案手法；聚焦关键：拆解 10 大黄金审计事件，直击最有价值的信号；进阶检测：掌握 Kerberos 票据攻击检测、GPO 变更监控；构建体系：教你如何搭建一套行之有效的监控与告警策略。

无论你是正在学习系统管理的学生，还是经验丰富的 IT 专家，都能在这里获得新的启发。

让我们即刻启程！

理解 Logon Type （攻击的作案手法）

在 Windows 事件中，Logon Type是解读所有登录行为的关键。它能告诉你：某个账户究竟是 如何 与系统交互的。

1、物理接触型登录 (Direct Access)

通常意味着用户直接或间接接触到了设备。

Interactive用户坐在机器前输入凭据。特别关注服务器上的交互式登录，若发生在 非工作时间，要立刻调查。Unlock解锁已存在的会话，而不是完整新建。短时间大量失败 → 说明有人在尝试进入你的电脑。Cached Interactive当计算机无法连接 DC 时，会使用缓存凭据。笔记本丢失风险极高 → 必须配合强密码策略 + BitLocker。

2、远程访问型登录 (Remote Access)

网络攻击和远程运维的核心。

Remote Interactive即 RDP 登录。暴露公网 = 黑客最爱目标。大量类型 10 登录失败 =暴力破解。最佳实践：永远不要直接暴露 RDP，通过VPN访问。Network用户访问远程资源（共享文件夹、打印机等）。内网攻击者横向移动常见方式。

短时间内，大量失败类型 3 登录 = 横向扫描。

Pass-the-Hash攻击正是利用此机制。

3、系统与自动化登录 (Automated/System)

幕后运行的自动会话。

Batch计划任务触发执行时创建。异常计划任务 = 攻击者持久化手段。Service服务以特定账户身份运行时产生。绝不能用 Domain Admin 账户运行服务，否则一旦泄露 =高权限失陷。

关键审计事件（Golden Events）

理解了登录方式，现在进入精华篇——真正值得关注的 10 大黄金事件。

云服务器的租

目标1：账户生命周期 (Account Lifecycle)

Event ID: 4720 (创建用户), 4726 (删除用户), 4722 (启用用户), 4725 (禁用用户)威胁场景：攻击者常建影子账户，或启用休眠账户。内部恶意可能删除/禁用关键账号。快速响应：实时告警账户创建/启用/删除事件；定期审计休眠/临时账户；所有操作必须有变更记录。

目标2：权限变更 (Privilege Escalation)

Event ID: 4728/4729 (全局组成员变更), 4732/4733 (本地组成员变更)风险点：Domain Admins、Enterprise Admins 组成员变化 =域级别失陷。响应动作：对特权组变更设置最高级别告警；严格对应变更流程核查。

目标3：非法访问与横向移动 (Lateral Movement)

Event ID: 4624 (成功登录), 4625 (登录失败)分析关键：必须结合Logon Type！场景示例：大量 4625 + Remote Interactive →RDP 爆破单一账户 + 大量 4625 + Network →横向扫描4624 + Interactive + 凌晨 + 关键服务器 →失陷信号

目标4：特权滥用与凭据盗窃

Event ID: 4672 (特殊权限分配), 4776 (凭据验证)风险点：4672 标记了特权账户登录；4776 出现在普通工作站 + 域管凭据验证 =NTLM Relay / 哈希盗窃。

目标5：防御规避与销毁证据

Event ID: 1102 (清除日志)典型攻击者后期行为。快速响应：日志必须转发到独立 SIEM，避免篡改；1102 = 最高级别告警，立刻调查。

进阶审计与检测（Beyond Basics）

除了黄金事件，还需要关注更高级的攻击手法：

Kerberos 攻击4768 (TGT 请求)：大量失败 + 错误码 0x18 =密码喷洒攻击；4769 (TGS 请求)：异常加密类型（如 RC4）=Golden Ticket攻击迹象。目录服务 / GPO 变更136 (对象修改)：用于监控 OU、用户对象、Default Domain Policy 改动。若攻击者篡改 GPO，可影响整个域。

构建防御体系（From Logs to Defense）

1、分级告警

P1紧急（立即响应）：1102、4728P2 高优先级（上班必查）：4720、4625+类型10P3 一般关注（定期审计）：4624 管理员登录

2、自动化平台引入 SIEM / SOAR，通过规则自动关联，减少人工分析压力。

3、人和流程

严格变更管理，减少误报；定期培训，提高安全意识；开展Threat Hunting（主动威胁狩猎）。

十大黄金事件速查表

总 结

安全是一场没有终点的旅程。

AD 审计的核心，不只是记录日志，而是能从中提炼出真正的攻击信号。

蓝米云服务器

从今天开始，哪怕只挑选1-2 个关键事件设置告警，也是在为企业筑起一道防线。

那么问题来了：在你的实战中，还遇到过哪些本文没提及但极具威胁的事件？

你又是如何通过日志分析，成功阻止一次攻击的？欢迎留言分享经验！

云服务器发展