lewandovskii9/windows-ad-labs

# Active Directory *专注于基于主机的分析、Windows 操作系统内部机制以及 Active Directory 安全基础知识。此仓库记录了从网络层面观察到端点层面调查的转变过程。* ## 🛠 技术栈 * **端点监控：** Sysinternals Suite (Process Explorer、Autoruns、Procmon)，Sysmon。 * **日志分析：** Event Viewer (EVTX)，PowerShell (Get-WinEvent)。 * **身份管理：** Active Directory Domain Services (AD DS)。 * **Linux 安全：** 通过 SUID 和弱权限进行权限提升。 ## 🔧 工具与技术 * **Sysinternals：** Process Explorer，Autoruns，Process Monitor (Procmon)。 * **内置工具：** Event Viewer (EVTX)，注册表编辑器，PowerShell。 * **网络与 AD：** Wireshark (AD 协议分析)，BloodHound (理论)，Mimikatz (理论)。 * **Linux：** SUID/GUID 分析，权限审计。 ## 📁 实验 本部分包含此次冲刺的核心实践工作，包括实验环境搭建、攻击模拟和检测方法。 | # | 实验 | 主要发现 | 重点领域 | | -- | ----------------------------------------------------------- | --------------------------------------------------------- | ---------- | | 01 | [AD 实验室部署](./active-directory/setup-lab.md) | 分步 DC 和 Win10 配置、用户创建、林配置 | 基础设施 | | 02 | [Linux 权限提升](./linux/privesc-report.md) | 利用 SUID 位和配置不当的文件权限 | 权限提升 | | 03 | [事件 ID 分析指南](./event-ids/guide.md) | 将事件 ID (4624, 4688, 4769) 映射到攻击阶段 | 检测 | | 04 | [AD 攻击与检测](./active-directory/attacks.md) | 模拟 Kerberoasting 和 PtH 并进行日志关联 | Active Directory | | 05 | [SOC PowerShell 库](./powershell/commands.md) | 用于实时事件分诊和狩猎的实用自动化 | 工具化 | ## 🚩 当前目标 * 分析恶意 PE 文件执行后的后渗透活动。 * 深化对 Kerberos 认证攻击的了解。 * 通过 PowerShell 自动化收集日志。 ## ⚠️ 免责声明 所有活动均在受控、隔离的实验室环境中进行，仅供教育目的。 [](https://github.com/lewandovskii9)

标签：Active Directory, ADLab, AD安全, AD攻击模拟, AI合规, BloodHound, Conpot, EDR, EVTX分析, Home Lab, IAM, IPv6, Kerberoasting, meg, Mimikatz, OpenCanary, Plaso, PowerShell, PtH, SCADA, SUID, Sysinternals, Sysmon, Terraform 安全, TGT, Windows安全, Wireshark, 信息安全, 协议分析, 句柄查看, 哈希传递, 安全实验, 安全实验室, 安全运营中心, 攻防演练, 数字取证, 数据展示, 权限提升, 模拟器, 端点检测, 红队, 网络安全, 网络映射, 脆弱性评估, 自动化脚本, 身份与访问管理, 隐私保护