大家好!
我是小黃,很高興又跟大家見面啦 !
拒絕水文,從我做起 !!!!
今天更新的是: 内網基礎知識
建立時間:2021年9月22日
軟體: MindMaster Pro、語雀
内網基礎知識
- 一、工作組
- 二、域
- 域:
- 域控制器:
- 三、域環境的分類:
- 單域:
- 域樹:
- 域森林:
- 域名伺服器:
- 四、活動目錄
- 活動目錄:
- 五、域控制器和活動目錄的差別
- 六、安全域的劃分
- 安全域:
- 七、域中計算機的分類
- 組:
- 域本地組
- 全局組
- 通用組
- A-G-DL-P 政策
- 内置組
- 八、拓展:
- 如何了解内網?
- 内網也指區域網路(Local Area Network,LAN),是指在某一區域内由多台計算機互連而成的計算機組,組網範圍通常在數千米以内。
- 在區域網路中,可以實作檔案管理、應用軟體共享、列印機共享、工作組内的日程安排、電子郵件和傳真通信服務等。
- 内網是封閉的,可以由辦公室内的兩台計算機組成,也可以由一個公司内的大量計算機組成。
- 簡單來說:内網就是某一區域内封閉的計算機組,由大量的計算機組成。
一、工作組
- 工作組:将不同的計算機按功能(或部門)分布列入不同的工作組,來實作不同的功能。
二、域
域:
- 域(Domain)是一個有安全邊界的計算機集合(安全邊界的意思是,在兩個域中,一個域中的使用者無法通路另一個域中的資源)。可以簡單地把域了解成更新版的工作組。與工作組相比,域的安全管理控制機制更加嚴格。使用者要想通路域内的資源,必須以合法的身份登入域,而使用者對域内的資源擁有什麼樣的權限,還取決于使用者在域内的身份。
- 簡答來說:域就是一個更新版的工作組,與工作組相比加入了身份認證,和權限管理。
域控制器:
- 域控制器(Domain Controller,DC)是域中的一台類似管理伺服器的計算機,我們可以形象地将它了解為一個機關的門禁系統。
- 域控制器負責所有連入的計算機和使用者的驗證工作。
- 域内的計算機如果想互相通路,都要經過域控制器的稽核。
- 域控制器中存在由這個域的賬戶、密碼、屬于這個域的計算機等資訊構成的資料庫。當計算機連接配接到域時,域控制器首先要鑒别這台計算機是否屬于這個域,以及使用者使用的登入賬号是否存在、密碼是否正确。如果以上資訊有一項不正确,域控制器就會拒絕這個使用者通過這台計算機登入。如果使用者不能登入,就不能通路伺服器中的資源。
- 域控制器是整個域的通信樞紐,所有的權限身份驗證都在域控制器上進行,也就是說,域内所有用來驗證身份的賬号和密碼散列值都儲存在域控制器中。
- 簡答來說:域控制器就是域中做身份認證的機制
三、域環境的分類:
單域:
- 單域就是一個主要域控制器,一個輔助域控制器,用來存貯活動目錄的資料庫(包括使用者的賬号資訊)的萬一主域控癱瘓了,輔助域控可以防止使用者不能登入該域的情況。 父域和子域:
内網基礎知識 - 出于管理及其他需求,需要在網絡中劃分多個域。第一個域稱為父域,各分部的域稱為該域的子域
- 設定父域和子域的好處:
- 在同一個域内,資訊互動的條目是很多的,而且不會壓縮;在不同的域之間,資訊互動的條目相對較少,而且可以壓縮)。這樣處理有一個好處,就是分公司可以通過自己的域來管理自己的資源。
- 還有一種情況是出于安全政策的考慮(每個域都有自己的安全政策)
- 簡單來說:就是為了安全考慮和傳輸速度以及成本
域樹:
- 域樹(Tree)是多個域通過建立信任關系組成的集合。一個域管理者隻能管理本域,不能通路或者管理其他域。如果兩個域之間需要互相通路,則需要建立信任關系(Trust Relation)。信任關系是連接配接不同域的橋梁。域樹内的父域與子域,不但可以按照需要互相管理,還可以跨網絡配置設定檔案和列印機等裝置及資源,進而在不同的域之間實作網絡資源的共享與管理、通信及資料傳輸。
- 在一個域樹中,父域可以包含多個子域。子域是相對父域來說的,指的是域名中的每一個段。各子域之間用點号隔開,一個“.”代表一個層次。放在域名最後的子域稱為最進階子域或一級域,它前面的子域稱為二級域。
- 簡單來說:域樹就是用來連結各個域的。
- 域樹結構拓撲圖
域森林:
- 域森林(Forest)是指多個域樹通過建立信任關系組成的集合。
- 簡單來說:就是為不同域樹建立關系,使其能夠通路和使用整個域樹的資源。
- 域森林拓撲圖
域名伺服器:
- 域名伺服器(Domain Name Server,DNS)是指用于實作域名(Domain Name)和與之相對應的IP 位址(IP Address)轉換的伺服器。
- 從對域樹的介紹中可以看出,域樹中的域名和DNS 域名非常相似。而實際上,因為域中的計算機是使用DNS來定位域控制器、伺服器及其他計算機、網絡服務的,是以域的名字就是DNS 域的名字。在内網滲透測試中,大都是通過尋找DNS 伺服器來确定域控制器的位置的(DNS 伺服器和域控制器通常配置在同一台機器上)。‘
四、活動目錄
活動目錄:
- 活動目錄(Active Directory,AD)是指域環境中提供目錄服務的元件。
- 目錄用于存儲有關網絡對象(例如使用者、組、計算機、共享資源、列印機和聯系人等)的資訊。
- 目錄服務是指幫助使用者快速、準确地從目錄中找到其所需要的資訊的服務。
- 活動目錄實作了目錄服務,為企業提供了網絡環境的集中式管理機制。
- 簡單來說:活動目錄,就相當于書的目錄,使用者可以通過快捷方式快速定位資源所在位置。
- 活動目錄的邏輯結構:
- 在活動目錄中,管理者不需要考慮被管理對象的地理位置,隻需要按照一定的方式将這些對象放置在不同的容器中。這種不考慮被管理對象的具體地理位置的組織架構稱為邏輯結構。
- 活動目錄的邏輯結構包括前面講過的組織單元(OU)、域、域樹、域森林。域樹内的所有域共享一個活動目錄,這個活動目錄内的資料分散存儲在各個域中,且每個域隻存儲該域内的資料。
- 活動目錄主要提供以下功能:
- 賬号集中管理:所有賬号均存儲在伺服器中,以便執行指令和重置密碼等。
- 軟體集中管理:統一推送軟體、安裝網絡列印機等。利用軟體釋出政策分發軟體,可以讓使用者自由選擇需要安裝的軟體。
- 環境集中管理:統一用戶端桌面、IE、TCP/IP 協定等設定。
- 增強安全性:統一部署防毒軟體和病毒掃描任務、集中管理使用者的計算機權限、統一制定使用者密碼政策等。可以監控網絡,對資料進行統一管理。
- 更可靠,更短的當機時間:例如,利用活動目錄控制使用者通路權限,利用群集、負載均衡等技術對檔案伺服器進行容災設定。網絡更可靠,當機時間更短。
- 活動目錄是微軟提供的統一管理基礎平台,ISA、Exchange、SMS 等都依賴這個平台。
五、域控制器和活動目錄的差別
- 活動目錄資料庫(AD庫):将大型網絡中衆多對象分門别類、井然有序地放在一個大倉庫中,并将檢索資訊整理好,以便查找、管理和使用這些對象(資源)這個擁有層次結構的資料庫,就是活動目錄資料庫,簡稱AD 庫。
- 實作域環境,其實就是要安裝AD。如果内網中的一台計算機上安裝了AD,它就變成了DC(用于存儲活動目錄資料庫的計算機)。
- 那麼AD裝在哪裡?
- 安裝在域控制器上
六、安全域的劃分
- 劃分安全域的目的是将一組安全等級相同的計算機劃入同一個網段。這個網段内的計算機擁有相同的網絡邊界,并在網絡邊界上通過部署防火牆來實作對其他安全域的網絡通路控制政策(NACL),進而對允許哪些IP 位址通路此域、允許此域通路哪些IP 位址和網段進行設定。
- 這些措施,将使得網絡風險最小化,當攻擊發生時,可以盡可能地将威脅隔離,進而降低對域内計算機的影響。
- 一個虛線框表示一個安全域(也是網絡的邊界,一般分為DMZ 和内網),通過硬體防火牆的不同端口實作隔離。
安全域:
- 在一個用路由器連接配接的内網中,可以将網絡劃分為三個區域:
- 安全級别最高的内網;
- 安全級别中等的DMZ;
- 安全級别最低的外網(Internet)。
- 這三個區域負責完成不同的任務,是以需要設定不同的通路政策。
- DMZ 稱為隔離區,是為了解決安裝防火牆後外部網絡不能通路内部網絡伺服器的問題而設立的一個非安全系統與安全系統之間的緩沖區。
- DMZ 位于企業内部網絡和外部網絡之間。可以在DMZ 中放置一些必須公開的伺服器設施,例如企業Web伺服器、FTP 伺服器和論壇伺服器等。
- DMZ 是對外提供服務的區域,是以可以從外部通路。
- 簡答來說:DMZ就是将内網與外網進行隔離,存放一些必須公開的伺服器設施,用來對外提供服務。
- 補充:
- 在配置一個擁有DMZ 的網絡時,通常需要定義如下通路控制政策,以實作其屏障功能。
- 内網可以通路外網:内網使用者需要自由地通路外網。在這一政策中,防火牆需要執行NAT。
- 内網可以通路DMZ:此政策使内網使用者可以使用或者管理DMZ 中的伺服器。
- 外網不能通路内網:這是防火牆的基本政策。内網中存儲的是公司内部資料,顯然,這些資料一般是不允許外網使用者通路的(如果要通路,就要通過VPN 的方式來進行)。
- 外網可以通路DMZ:因為DMZ 中的伺服器需要為外界提供服務,是以外網必須可以通路DMZ。同時,需要由防火牆來完成從對外位址到伺服器實際位址的轉換。
- DMZ 不能通路内網:如果不執行此政策,當攻擊者攻陷DMZ 時,内網将無法受到保護。
- DMZ 不能通路外網:此政策也有例外。例如,在DMZ 中放置了郵件伺服器,就要允許通路外網,否則郵件伺服器無法正常工作。
- 在網絡邊界上一般會部署防火牆及入侵檢測、入侵防禦産品等。如果有Web 應用,還會設定WAF,進而更加有效地保護内網。
- 攻擊者如果要進入内網,首先要突破的就是這重重防禦。
- 内網又可以分為辦公區和核心區:
- 辦公區:公司員工日常的工作區,一般會安裝防病毒軟體、主機入侵檢測産品等。
- 辦公區一般能夠通路DMZ。
- 如果運維人員也在辦公區,那麼部分主機也能通路核心資料區(很多大企業還會使用堡壘機來統一管理使用者的登入行為)。
- 攻擊者如果想進入内網,一般會使用魚叉攻擊、水坑攻擊,當然還有社會工程學手段。辦公區人員多而雜,變動也很頻繁,在安全管理上可能存在諸多漏洞,是攻擊者進入内網的重要途徑之一。
- 核心區:存儲企業最重要的資料、文檔等資訊資産,通過日志記錄、安全審計等安全措施進行嚴密的保護,往往隻有很少的主機能夠通路。
- 從外部是絕難直接通路核心區的。
- 一般來說,能夠直接通路核心區的隻有運維人員或者IT 部門的主管,是以,攻擊者會重點關注這些使用者的資訊(攻擊者在内網中進行橫向移動攻擊時,會優先查找這些主機)。
- 補充:
- "魚叉攻擊"通常是指利用木馬程式作為電子郵件的附件,發送到目标電腦上,誘導受害者去打開附件來感染木馬。
- 水坑攻擊(Watering hole)是一種計算機入侵手法,其針對的目标多為特定的團體(組織、行業、地區等)。攻擊者首先通過猜測(或觀察)确定這組目标經常通路的網站,并入侵其中一個或多個,植入惡意軟體,最後,達到感染該組目标中部分成員的目的。
七、域中計算機的分類
組:
- 組(Group)是使用者賬号的集合。通過向一組使用者配置設定權限,就可以不必向每個使用者分别配置設定權限。
- 例如,管理者在日常工作中,不必為單個使用者賬号設定獨特的通路權限,隻需要将使用者賬号放到相應的安全組中。管理者通過配置安全組通路權限,就可以為所有加入安全組的使用者賬号配置同樣的權限。使用安全組而不是單個的使用者賬号,可以大大簡化網絡的維護和管理工作。
域本地組
- 多域使用者通路單域資源(通路同一個域),可以從任何域添加使用者賬号、通用組和全局組,但隻能在其所在域内指派權限。
- 域本地組不能嵌套在其他組中。
- 域本地組主要用于授予本域内資源的通路權限。
全局組
- 單域使用者通路多域資源(必須是同一個域中的使用者),隻能在建立該全局組的域中添加使用者和全局組。
- 可以在域森林的任何域内指派權限。
- 全局組可以嵌套在其他組中。
- 可以将某個全局組添加到同一個域的另一個全局組中,或者添加到其他域的通用組和域本地組中(不能添加到不同域的全局組中,全局組隻能在建立它的域中添加使用者群組)。
- 雖然可以通過全局組授予使用者通路任何域内資源的權限,但一般不直接用它來進行權限管理。
- 全局組和域本地組的關系,與域使用者賬号和本地賬号的關系相似。域使用者賬号可以在全局使用,即在本域和其他關系的其他域中都可以使用,而本地賬号隻能在本機中使用。例如,将使用者張三(域賬号為Z3)添加到域本地組Administrators 中,并不能使Z3對非DC 的域成員計算機擁有任何特權,但若将Z3添加到全局組Domain Admins 中,使用者張三就成為域管理者了(可以在全局使用,對域成員計算機擁有特權)。
- 簡單來說:全局組可以嵌套在其他組中,執行權限操作(本域内),但是不能跨域嵌套。
通用組
- 通用組的成員來自域森林中任何域的使用者賬号、全局組和其他通用組,可以在該域森林的任何域中指派權限,可以嵌套在其他組中,非常适合在域森林内的跨域通路中使用。
- 不過,通用組的成員不是儲存在各自的域控制器中的,而是儲存在全局編錄(GC)中的,任何變化都會導緻全林複制。
- 全局編錄通常用于存儲一些不經常發生變化的資訊。
- 由于使用者賬号資訊是經常變化的,建議不要直接将使用者賬号添加到通用組中,而要先将使用者賬号添加到全局組中,再把這些相對穩定的全局組添加到通用組中。
- 可以這樣簡單地記憶:域本地組來自全林,作用于本域;全局組來自本域,作用于全林;通用組來自全林,作用于全林。
A-G-DL-P 政策
- A-G-DL-P 政策是指将使用者賬号添加到全局組中,将全局組添加到域本地組中,然後為域本地組配置設定資源權限。
- A 表示使用者賬号(Account)。
- G 表示全局組(Global Group)。
- U 表示通用組(Universal Group)。
- DL 表示域本地組(Domain Local Group)。
- P 表示資源權限(Permission,許可)。
- 按照A-G-DL-P 政策對使用者進行組織和管理是非常容易的。
- 在A-G-DL-P 政策形成以後,當需要給一個使用者添加某個權限時,隻要把這個使用者添加到某個本地域組中就可以了。
内置組
- 在安裝域控制器時,系統會自動生成一些組,稱為内置組。
- 内置組定義了一些常用的權限。通過将使用者添加到内置組中,可以使使用者獲得相應的權限。
- Windows10安裝 :Active Directory 使用者和計算機
- 管理者組(Administrators)的成員可以不受限制地存取計算機/域的資源。它不僅是最具權力的一個組,也是在活動目錄和域控制器中預設具有管理者權限的組。該組的成員可以更改Enterprise Admins、Schema Admins 和Domain Admins組的成員關系,是域森林中強大的服務管理組。
- 遠端登入組(Remote Desktop Users)的成員具有遠端登入權限。
- 列印機操作員組(Print Operators)的成員可以管理網絡列印機,包括建立、管理及删除網絡列印機,并可以在本地登入和關閉域控制器。
- 賬号操作員組(Account Operators)的成員可以建立和管理該域中的使用者群組并為其設定權限,也可以在本地登入域控制器,但是,不能更改屬于Administrators 或Domain Admins 組的賬戶,也不能修改這些組。在預設情況下,該組中沒有成員。
- 伺服器操作員組(Server Operators)的成員可以管理域伺服器,其權限包括建立/管理/删除任意伺服器的共享目錄、管理網絡列印機、備份任何伺服器的檔案、格式化伺服器硬碟、鎖定伺服器、變更伺服器的系統時間、關閉域控制器等。在預設情況下,該組中沒有成員。
- 備份操作員組(Backup Operators)的成員可以在域控制器中執行備份和還原操作,并可以在本地登入和關閉域控制器。
- 在預設情況下,該組中沒有成員。
- 再介紹幾個重要的全局組、通用組的權限。
- 域管理者組(Domain Admins)的成員在所有加入域的伺服器(工作站)、域控制器和活動目錄中均預設擁有完整的管理者權限。
- 因為該組會被添加到自己所在域的Administrators組中,是以可以繼承Administrators 組的所有權限。
- 同時,該組預設會被添加到每台域成員計算機的本地Administrators 組中,這樣,DomainAdmins 組就獲得了域中所有計算機的所有權。如果希望某使用者成為域系統管理者,建議将該使用者添加到Domain Admins 組中,而不要直接将該使用者添加到Administrators 組中。
- 企業系統管理者組(Enterprise Admins)是域森林根域中的一個組。
- 該組在域森林中的每個域内都是Administrators 組的成員,是以對所有域控制器都有完全通路權。
- 架構管理者組(Schema Admins)是域森林根域中的一個組,可以修改活動目錄和域森林的模式。
- 該組是為活動目錄和域控制器提供完整權限的域使用者組,是以,該組成員的資格是非常重要的。
- 域使用者組(Domain Users)中是所有的域成員。在預設情況下,任何由我們建立的使用者賬号都屬于Domain Users 組,而任何由我們建立的計算機賬号都屬于Domain Computers 組。
- 是以,如果想讓所有的賬号都獲得某種資源存取權限,可以将該權限指定給域使用者組,或者讓域使用者組屬于具有該權限的組。
- 域使用者組預設是内置域Users 組的成員。
八、拓展:
- AD域環境搭建1/2
- AD域環境搭建2/2
- AD域建設管理(一)| 安裝windows server2019、AD域、AD域證書服務
- AD 域服務簡介(一)- 基于 LDAP 的 AD 域伺服器搭建及其使用
-
各位路過的朋友,如果覺得可以學到些什麼的話,點個贊 再走吧,歡迎各位路過的大佬評論,指正錯誤,也歡迎有問題的小夥伴評論留言,私信。
請微信搜尋【 在下小黃 】文章更新将在第一時間閱讀 !