大家好！欢迎来到今天的深度探讨。

在企业 IT 中，Active Directory (AD) 已经不仅是基础设施，更是 身份中枢。
从员工登录电脑，到访问核心业务数据，再到云端应用的 SSO (Single Sign-On)，AD 无处不在。

也正因为如此，AD 成为了黑客眼中的“零号目标”：勒索软件、高级持续性威胁（APT）、内部恶意行为……几乎所有重大攻击，最终目的都是夺取 AD 的最高控制权。

困境：AD 每天产生数以百万计的日志，我们该看什么？如何从日志“汪洋大海”中找到真正的威胁信号？

这篇“终极审计指南”，帮你：

• 🔎 理解基础：深入剖析 Windows Logon Type，看懂攻击者的“作案手法”；
• 🎯 聚焦关键：拆解 10 大“黄金”审计事件，直击最有价值的信号；
• 🚀 进阶检测：掌握 Kerberos 票据攻击检测、GPO 变更监控；
• 🛡️ 构建体系：教你如何搭建一套行之有效的监控与告警策略。

无论你是正在学习系统管理的学生，还是经验丰富的 IT 专家，都能在这里获得新的启发。

让我们即刻启程！

🥋 理解 Logon Type （攻击的“作案手法”）

在 Windows 事件中，Logon Type 是解读所有登录行为的关键。它能告诉你：某个账户究竟是 如何 与系统交互的。

1️⃣ 物理接触型登录 (Direct Access)

通常意味着用户直接或间接接触到了设备。

• Interactive
• 📖 用户坐在机器前输入凭据。
• ⚠️ 特别关注服务器上的交互式登录，若发生在 非工作时间，要立刻调查。
• Unlock
• 📖 解锁已存在的会话，而不是完整新建。
• ⚠️ 短时间大量失败 → 说明有人在尝试进入你的电脑。
• Cached Interactive
• 📖 当计算机无法连接 DC 时，会使用缓存凭据。
• ⚠️ 笔记本丢失风险极高 → 必须配合强密码策略 + BitLocker。

2️⃣ 远程访问型登录 (Remote Access)

网络攻击和远程运维的核心。

• Remote Interactive
• 📖 即 RDP 登录。
• ⚠️ 暴露公网 = 黑客最爱目标。大量类型 10 登录失败 = 暴力破解。最佳实践：永远不要直接暴露 RDP，通过 VPN 访问。
• Network
• 📖 用户访问远程资源（共享文件夹、打印机等）。
• ⚠️ 内网攻击者横向移动常见方式。
• 短时间内，大量失败类型 3 登录 = 横向扫描。
• Pass-the-Hash 攻击正是利用此机制。

3️⃣ 系统与自动化登录 (Automated/System)

幕后运行的“自动会话”。

• Batch
• 📖 计划任务触发执行时创建。
• ⚠️ 异常计划任务 = 攻击者持久化手段。
• Service
• 📖 服务以特定账户身份运行时产生。
• ⚠️ 绝不能用 Domain Admin 账户运行服务，否则一旦泄露 = 高权限失陷。

🎯 关键审计事件（Golden Events）

理解了登录方式，现在进入“精华篇”——真正值得关注的 10 大黄金事件。

🎯 目标1：账户生命周期 (Account Lifecycle)

• Event ID: 4720 (创建用户), 4726 (删除用户), 4722 (启用用户), 4725 (禁用用户)
• 📌 威胁场景：攻击者常建“影子账户”，或启用休眠账户。内部恶意可能删除/禁用关键账号。
• ⚡ 快速响应：

1. 实时告警账户创建/启用/删除事件；
2. 定期审计休眠/临时账户；
3. 所有操作必须有变更记录。

🎯 目标2：权限变更 (Privilege Escalation)

• Event ID: 4728/4729 (全局组成员变更), 4732/4733 (本地组成员变更)
• 📌 风险点：Domain Admins、Enterprise Admins 组成员变化 = 域级别失陷。
• ⚡ 响应动作：
• 对特权组变更设置最高级别告警；
• 严格对应变更流程核查。

🎯 目标3：非法访问与横向移动 (Lateral Movement)

• Event ID: 4624 (成功登录), 4625 (登录失败)
• 📌 分析关键：必须结合 Logon Type！
• ⚡ 场景示例：
• 大量 4625 + Remote Interactive → RDP 爆破
• 单一账户 + 大量 4625 + Network → 横向扫描
• 4624 + Interactive + 凌晨 + 关键服务器 → 失陷信号

🎯 目标4：特权滥用与凭据盗窃

• Event ID: 4672 (特殊权限分配), 4776 (凭据验证)
• 📌 风险点：
• 4672 标记了特权账户登录；
• 4776 出现在普通工作站 + 域管凭据验证 = NTLM Relay / 哈希盗窃。

🎯 目标5：防御规避与销毁证据

• Event ID: 1102 (清除日志)
• 📌 典型攻击者后期行为。
• ⚡ 快速响应：
• 日志必须转发到独立 SIEM，避免篡改；
• 1102 = 最高级别告警，立刻调查。

🚀 进阶审计与检测（Beyond Basics）

除了黄金事件，还需要关注更高级的攻击手法：

• Kerberos 攻击
• 4768 (TGT 请求)：大量失败 + 错误码 0x18 = 密码喷洒攻击；
• 4769 (TGS 请求)：异常加密类型（如 RC4）= Golden Ticket 攻击迹象。
• 目录服务 / GPO 变更
• 5136 (对象修改)：用于监控 OU、用户对象、Default Domain Policy 改动。
• ⚠️ 若攻击者篡改 GPO，可影响整个域。

🛡️ 构建防御体系（From Logs to Defense）

1. 分级告警

• 🚨 P1 紧急（立即响应）：1102、4728
• ⚠️ P2 高优先级（上班必查）：4720、4625+类型10
• 🔍 P3 一般关注（定期审计）：4624 管理员登录

2. 自动化平台

• 引入 SIEM / SOAR，通过规则自动关联，减少人工分析压力。

3. 人和流程

• 严格变更管理，减少误报；
• 定期培训，提高安全意识；
• 开展 Threat Hunting（主动威胁狩猎）。

📊 十大黄金事件速查表

🔚 总结

安全是一场没有终点的旅程。
AD 审计的核心，不只是“记录日志”，而是能从中提炼出真正的攻击信号。

从今天开始，哪怕只挑选 1-2 个关键事件 设置告警，也是在为企业筑起一道防线。

👉 那么问题来了：在你的实战中，还遇到过哪些 本文没提及但极具威胁的事件？
你又是如何通过日志分析，成功阻止一次攻击的？欢迎留言分享经验！