在企業 IT 中，Active Directory (AD) 已經不僅是基礎設施，更是身份中樞。

 從員工登錄電腦，到訪問核心業務數據，再到云端應用的 SSO (Single Sign-On)，AD 無處不在。

也正因為如此，AD 成為了黑客眼中的“零號目標”：勒索軟件、高級持續性威脅（APT）、內部惡意行為……幾乎所有重大攻擊，最終目的都是奪取 AD 的最高控制權。

困境：AD 每天產生數以百萬計的日志，我們該看什么？如何從日志“汪洋大海”中找到真正的威脅信號？

這篇“終極審計指南”，幫你：

• 理解基礎：深入剖析 Windows Logon Type，看懂攻擊者的“作案手法”；
• 聚焦關鍵：拆解 10 大“黃金”審計事件，直擊最有價值的信號；
• 進階檢測：掌握 Kerberos 票據攻擊檢測、GPO 變更監控；
• 構建體系：教你如何搭建一套行之有效的監控與告警策略。

無論你是正在學習系統管理的學生，還是經驗豐富的 IT 專家，都能在這里獲得新的啟發。

讓我們即刻啟程！

理解 Logon Type （攻擊的“作案手法”）

在 Windows 事件中，Logon Type 是解讀所有登錄行為的關鍵。它能告訴你：某個賬戶究竟是 如何 與系統交互的。

1、物理接觸型登錄 (Direct Access)

通常意味著用戶直接或間接接觸到了設備。

• Interactive
• 用戶坐在機器前輸入憑據。
• 特別關注服務器上的交互式登錄，若發生在 非工作時間，要立刻調查。
• Unlock
• 解鎖已存在的會話，而不是完整新建。
• 短時間大量失敗 → 說明有人在嘗試進入你的電腦。
• Cached Interactive
• 當計算機無法連接 DC 時，會使用緩存憑據。
• 筆記本丟失風險極高 → 必須配合強密碼策略 + BitLocker。

2、遠程訪問型登錄 (Remote Access)

網絡攻擊和遠程運維的核心。

• Remote Interactive
• 即 RDP 登錄。
• 暴露公網 = 黑客最愛目標。大量類型 10 登錄失敗 = 暴力破解。最佳實踐：永遠不要直接暴露 RDP，通過 VPN 訪問。
• Network
• 用戶訪問遠程資源（共享文件夾、打印機等）。
• 內網攻擊者橫向移動常見方式。

        短時間內，大量失敗類型 3 登錄 = 橫向掃描。

        Pass-the-Hash 攻擊正是利用此機制。

3、系統與自動化登錄 (Automated/System)

幕后運行的“自動會話”。

• Batch
• 計劃任務觸發執行時創建。
• 異常計劃任務 = 攻擊者持久化手段。
• Service
• 服務以特定賬戶身份運行時產生。
• 絕不能用 Domain Admin 賬戶運行服務，否則一旦泄露 = 高權限失陷。

關鍵審計事件（Golden Events）

理解了登錄方式，現在進入“精華篇”——真正值得關注的 10 大黃金事件。

目標1：賬戶生命周期 (Account Lifecycle)

• Event ID: 4720 (創建用戶), 4726 (刪除用戶), 4722 (啟用用戶), 4725 (禁用用戶)
• 威脅場景：攻擊者常建“影子賬戶”，或啟用休眠賬戶。內部惡意可能刪除/禁用關鍵賬號。
• 快速響應：

1. 實時告警賬戶創建/啟用/刪除事件；
2. 定期審計休眠/臨時賬戶；
3. 所有操作必須有變更記錄。

目標2：權限變更 (Privilege Escalation)

• Event ID: 4728/4729 (全局組成員變更), 4732/4733 (本地組成員變更)
• 風險點：Domain Admins、Enterprise Admins 組成員變化 = 域級別失陷。
• 響應動作：
• 對特權組變更設置最高級別告警；
• 嚴格對應變更流程核查。

目標3：非法訪問與橫向移動 (Lateral Movement)

• Event ID: 4624 (成功登錄), 4625 (登錄失敗)
• 分析關鍵：必須結合 Logon Type！
• 場景示例：
• 大量 4625 + Remote Interactive → RDP 爆破
• 單一賬戶 + 大量 4625 + Network → 橫向掃描
• 4624 + Interactive + 凌晨 + 關鍵服務器 → 失陷信號

目標4：特權濫用與憑據盜竊

• Event ID: 4672 (特殊權限分配), 4776 (憑據驗證)
• 風險點：
• 4672 標記了特權賬戶登錄；
• 4776 出現在普通工作站 + 域管憑據驗證 = NTLM Relay / 哈希盜竊。

目標5：防御規避與銷毀證據

• Event ID: 1102 (清除日志)
• 典型攻擊者后期行為。
• 快速響應：
• 日志必須轉發到獨立 SIEM，避免篡改；
• 1102 = 最高級別告警，立刻調查。

進階審計與檢測（Beyond Basics）

除了黃金事件，還需要關注更高級的攻擊手法：

• Kerberos 攻擊
• 4768 (TGT 請求)：大量失敗 + 錯誤碼 0x18 = 密碼噴灑攻擊；
• 4769 (TGS 請求)：異常加密類型（如 RC4）= Golden Ticket 攻擊跡象。
• 目錄服務 / GPO 變更
• 136 (對象修改)：用于監控 OU、用戶對象、Default Domain Policy 改動。
• 若攻擊者篡改 GPO，可影響整個域。

構建防御體系（From Logs to Defense）

1、分級告警

• P1緊急（立即響應）：1102、4728
• P2 高優先級（上班必查）：4720、4625+類型10
• P3 一般關注（定期審計）：4624 管理員登錄

2、自動化平臺

• 引入 SIEM / SOAR，通過規則自動關聯，減少人工分析壓力。

3、人和流程

• 嚴格變更管理，減少誤報；
• 定期培訓，提高安全意識；
• 開展 Threat Hunting（主動威脅狩獵）。

十大黃金事件速查表

總  結

安全是一場沒有終點的旅程。

 AD 審計的核心，不只是“記錄日志”，而是能從中提煉出真正的攻擊信號。

從今天開始，哪怕只挑選 1-2 個關鍵事件 設置告警，也是在為企業筑起一道防線。

?? 那么問題來了：在你的實戰中，還遇到過哪些本文沒提及但極具威脅的事件？