Tom3306/active-directory-enterprise-lab
GitHub: Tom3306/active-directory-enterprise-lab
一套作品集级别的 Active Directory 企业安全实验室,涵盖域环境搭建、安全加固、检测工程、攻击模拟与事件响应全流程。
Stars: 0 | Forks: 0
# Active Directory 企业实验室
这是一个达到作品集级别的 Windows 企业安全实验室,旨在进行 Active Directory 管理、安全加固、检测工程、攻击模拟和事件响应。
## 业务问题
许多勒索软件入侵都是从身份弱点开始的:密码强度不足、用户权限过高、Group Policy 配置不当、日志记录缺失以及不受控的横向移动。本实验室展示了如何构建一个小型 Windows 域、对其进行安全攻击、检测可疑行为并提升防御能力。
## 构建内容
- 针对 `corp.local` 的域控制器 (Domain Controller) 设计
- 工作站与文件服务器拓扑
- 组织单位 (Organizational Units) 与安全组
- 实验室用户与服务账户模型
- Group Policy 安全基线
- Sysmon 端点遥测配置
- 用于 Active Directory 检测的 Wazuh 规则
- 针对常见身份攻击的 Sigma 检测
- 用于生成遥测数据的安全攻击模拟
- 事件响应收集脚本与操作手册
## 仓库结构
| 路径 | 用途 |
| --- | --- |
| `config/` | 实验室清单与网络设计 |
| `scripts/powershell/` | AD 构建、安全加固、遥测和 IR 脚本 |
| `security/sysmon/` | Sysmon 配置 |
| `security/wazuh/` | Wazuh 检测规则 |
| `detections/sigma/` | 可移植的检测分析 |
| `attack-simulations/` | 仅限实验室的安全遥测模拟 |
| `docs/` | 架构、构建指南、控制措施、检测工程、IR、招聘人员简报 |
## 快速开始
1. 阅读 [架构](docs/architecture.md)。
2. 遵循 [构建指南](docs/build-guide.md)。
3. 应用 [安全加固控制](docs/hardening-controls.md)。
4. 查看 [检测工程](docs/detection-engineering.md)。
5. 在 [攻击模拟](attack-simulations/README.md) 中运行仅限实验室的模拟。
6. 使用 [事件响应操作手册](docs/incident-response-runbook.md) 练习响应。
## 安全须知
本项目仅适用于隔离的实验室域。请勿针对真实组织、生产网络或不属于您的系统运行攻击模拟。
## 招聘人员摘要
本项目展示了实用的 Windows 安全工程能力:涵盖针对现实勒索软件式攻击路径的 Active Directory 管理、身份安全、Group Policy 加固、Sysmon/Wazuh 检测工程以及事件响应。
标签:Active Directory, AI合规, GitHub Advanced Security, Libemu, Plaso, Sysmon, Terraform 安全, Wazuh, 安全加固, 安全实验室, 漏洞靶场, 防御检测