Tom3306/active-directory-enterprise-lab

GitHub: Tom3306/active-directory-enterprise-lab

一套作品集级别的 Active Directory 企业安全实验室,涵盖域环境搭建、安全加固、检测工程、攻击模拟与事件响应全流程。

Stars: 0 | Forks: 0

# Active Directory 企业实验室 这是一个达到作品集级别的 Windows 企业安全实验室,旨在进行 Active Directory 管理、安全加固、检测工程、攻击模拟和事件响应。 ## 业务问题 许多勒索软件入侵都是从身份弱点开始的:密码强度不足、用户权限过高、Group Policy 配置不当、日志记录缺失以及不受控的横向移动。本实验室展示了如何构建一个小型 Windows 域、对其进行安全攻击、检测可疑行为并提升防御能力。 ## 构建内容 - 针对 `corp.local` 的域控制器 (Domain Controller) 设计 - 工作站与文件服务器拓扑 - 组织单位 (Organizational Units) 与安全组 - 实验室用户与服务账户模型 - Group Policy 安全基线 - Sysmon 端点遥测配置 - 用于 Active Directory 检测的 Wazuh 规则 - 针对常见身份攻击的 Sigma 检测 - 用于生成遥测数据的安全攻击模拟 - 事件响应收集脚本与操作手册 ## 仓库结构 | 路径 | 用途 | | --- | --- | | `config/` | 实验室清单与网络设计 | | `scripts/powershell/` | AD 构建、安全加固、遥测和 IR 脚本 | | `security/sysmon/` | Sysmon 配置 | | `security/wazuh/` | Wazuh 检测规则 | | `detections/sigma/` | 可移植的检测分析 | | `attack-simulations/` | 仅限实验室的安全遥测模拟 | | `docs/` | 架构、构建指南、控制措施、检测工程、IR、招聘人员简报 | ## 快速开始 1. 阅读 [架构](docs/architecture.md)。 2. 遵循 [构建指南](docs/build-guide.md)。 3. 应用 [安全加固控制](docs/hardening-controls.md)。 4. 查看 [检测工程](docs/detection-engineering.md)。 5. 在 [攻击模拟](attack-simulations/README.md) 中运行仅限实验室的模拟。 6. 使用 [事件响应操作手册](docs/incident-response-runbook.md) 练习响应。 ## 安全须知 本项目仅适用于隔离的实验室域。请勿针对真实组织、生产网络或不属于您的系统运行攻击模拟。 ## 招聘人员摘要 本项目展示了实用的 Windows 安全工程能力:涵盖针对现实勒索软件式攻击路径的 Active Directory 管理、身份安全、Group Policy 加固、Sysmon/Wazuh 检测工程以及事件响应。
标签:Active Directory, AI合规, GitHub Advanced Security, Libemu, Plaso, Sysmon, Terraform 安全, Wazuh, 安全加固, 安全实验室, 漏洞靶场, 防御检测