2025年信息系统安全专家域控制器与活动目录日志取证专题试卷及解析.pdfVIP

2025年信息系统安全专家域控制器与活动目录日志取证专题试卷及解析1

2025年信息系统安全专家域控制器与活动目录日志取证专

题试卷及解析

2025年信息系统安全专家域控制器与活动目录日志取证专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Windows活动目录环境中，当域控制器检测到账户锁定事件时，该事件主要

记录在哪个安全日志ID中？

A、4624

B、4625

C、4740

D、4768

【答案】C

【解析】正确答案是C。事件ID4740专门记录域控制器上检测到的账户锁定事件，

包含被锁定账户名和来源工作站信息。A选项4624是账户成功登录事件，B选项4625

是登录失败事件，D选项4768是KerberosTGT请求事件。知识点：Windows安全日

志审计。易错点：容易将4625（登录失败）与4740（账户锁定）混淆，需注意账户锁

定是多次失败后的结果事件。

2、取证分析人员发现某域控制器日志中频繁出现事件ID4769，这通常表明什么

安全状况？

A、Kerberos服务票据请求异常

B、NTLM认证失败

C、目录服务复制错误

D、域控制器启动事件

【答案】A

【解析】正确答案是A。事件ID4769记录Kerberos服务票据（TGS）请求，频繁

出现可能表示票据滥用或PasstheTicket攻击。B选项对应4624/4625中的NTLM登

录，C选项对应2886等复制事件，D选项对应1200等启动事件。知识点：Kerberos协

议审计。易错点：需区分4768（TGT请求）和4769（TGS请求）的不同审计意义。

3、在分析活动目录复制流量时，哪个日志文件最可能包含域控制器间的同步状态

信息？

A、Security.evtx

B、DirectoryService.evtx

C、System.evtx

D、Application.evtx

【答案】B

2025年信息系统安全专家域控制器与活动目录日志取证专题试卷及解析2

【解析】正确答案是B。DirectoryService日志专门记录AD复制、拓扑变更等目

录服务操作。A选项Security记录安全事件，C选项System记录系统服务事件，D

选项Application记录应用程序事件。知识点：Windows日志分类。易错点：容易忽略

DirectoryService日志的存在，误将复制事件归入System日志。

4、当检测到事件ID5136时，取证人员应重点关注什么类型的攻击？

A、密码猜测攻击

B、权限提升攻击

C、DCSync攻击

D、目录服务对象修改

【答案】D

【解析】正确答案是D。事件ID5136记录AD对象的修改操作，可能涉及恶意属

性变更。A选项对应4625，B选项对应4672，C选项对应4662等敏感对象访问。知识

点：AD对象变更审计。易错点：需区分5136（对象修改）和4662（对象访问）的不同

审计维度。

5、在分析Kerberos预认证失败时，哪个事件ID最具有取证价值？

A、4768

B、4771

C、4770

D、4769

【答案】B

【解析】正确答案是B。事件ID4771专门记录Kerberos预认证失败，包含失败代

码和客户端信息。A选项4768是TGT请求成功，C选项4770是票据更新，D选项

4769是TGS请求。知识点：Kerberos预认证机制。易错点：容易混淆4768（请求）和

4771（失败）的关联性。

6、取证分析时发现事件ID4624中LogonType为3，这表示什么登录类型？

A、交互式登录

B、网络登录

C、服务登录

D、批处理