域基礎
參考連結
基礎
内網
也叫做區域網路,在某一區域内由多台計算機互聯成的計算機組。
工作組
将不同的電腦一般按功能(或部門)分别列入不同的工作組中,如技術部的技術組,行政部的行政組。這樣的分組更有序
-
加入/建立工作組
右擊計算機->屬性->更改設定->在計算機名中輸入名稱->在工作組中輸入名稱。相當于建立了一個組,更改工作組名稱就相當于更換了組
-
退出工作組
改動工作組名稱即可
工作組裡的所有計算即都是對等的。無伺服器和客戶機之分
域
一個有安全邊界的計算機集合,可以了解為更新版的工作組,如果想通路域中的資源,需要有一個合法的身份登入到該域,然後有域内資源的什麼權限,取決于在該域的使用者身份
域控制器
(Domain Controller,簡寫為DC)是一個域中的一台類似管理伺服器的計算機,域内主機如果想互相通路首先都是經過它的稽核,域控制器中存在由這個域的賬戶、密碼、屬于這個域的計算機等資訊構成的資料庫,域内所有用來驗證身份的賬号和密碼散列值都儲存在控制器裡
内網滲透的目的就是獲得域控制器
域的分類
-
單域
即一個域。一般一個域内需要至少兩個伺服器,一個作為DC,一個作為備份DC,來保證域正常使用(如果DC癱瘓了),活動目錄的資料庫(包括使用者的賬号資訊)是存儲在DC的。
-
父域和子域
如果一個網絡裡劃分出了多個域,那麼第一個叫做父域,其他分布的域稱為子域
各子域可以通過自己的域來管理自己的資源
-
域樹
若幹個域通過建立信任關系組成的集合。一個域管理者隻能管理本域的内部,不能通路或者管理其他的域,二個域之間互相通路則需要建立信任關系(Trust Relation),其實域樹種的父域和子域可以按照需要互相管理并且可以跨網絡配置設定資源,在不同域中實作資料傳輸,通信。
在一個域樹中,父域可以包含很多子域,子域是相對父域來說的,指域名中的每一個段。各子域之間用"."隔開,一個點表示一個層次,放在域名最後的子域稱為最進階子域或一級域,它前面的稱為二級域如:aisa.abc.com的級别比abc.com低,子域隻能使用父域作為域名的字尾
-
域森林
若幹個域樹通過建立信任關系組成的集合,不同域樹之間需要建立信任關系來構成域森林
-
DNS域名伺服器
進行域名和對應IP位址轉換的伺服器
域中的計算機是靠DNS來定位域控制器、伺服器及其他計算機、網絡服務的
内網滲透測試中大多數通過尋找DNS伺服器來确定域控制器的位置的
活動目錄(AD)
(Active Directory)是域環境中提供目錄服務的元件
-
目錄
目錄就是存儲有關網絡對象(如使用者、組、計算機、共享資源、列印機和聯系人等)的資訊。目錄服務是幫助使用者快速準确的從目錄中查找到他所需要的資訊的服務
-
功能
帳号集中管理,所有帳号均存在伺服器上,友善對帳号的重指令/重置密碼。
軟體集中管理,統一推送軟體,統一安裝網絡列印機等。利用軟體釋出政策分發軟體,可以讓使用者自由選擇安裝軟體。
環境集中管理,利用AD可以統一用戶端桌面,IE,TCP/IP等設定。
增強安全性,統一部署防毒軟體和掃毒任務,集中化管理使用者的計算機權限、統一制訂使用者密碼政策等,可監控網絡,資料統一管理。
更可靠,更少的當機時間。如:利用AD控制使用者通路權限,利用群集、負載均衡等技術對檔案伺服器進行容災設定,更可靠,岩機時間更少。
活動目錄為Microsoft統一管理的基礎平台,其它isa,exchange,sms等服務都依賴于這個基礎平台
AD和DC的差別
如果網絡很大,把網絡中的衆多對象:計算機,使用者,使用者組,列印機等分門别類的放在一個資料庫中,便于索引查找利用。這個資料庫稱作AD庫
而存放這個資料庫的計算機就叫做DC
安全域的劃分
目的是将一組安全等級相同的計算機劃入同一個網段,并在網絡邊界上通過部署防火牆來實作對其他安全域的網絡通路控制政策(NACL)
DMZ
是英文“demilitarized zone”的縮寫,即隔離區,是兩個防火牆之間的空間
為了解決安裝防火牆後外部網絡的通路使用者不能通路内部網絡伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位于企業内部網絡和外部網絡之間的小網絡區域内。在這個小網絡區域内可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等
-
DMZ的功能
(1)内網可以通路外網
内網的使用者需要白面地訪間外網。在這一政策中,防火牆需要執行NAT。
(2)内網可以訪間DMZ
此政策使内網使用者可以使用或者管理DMZ中的伺服器。
(3)外網不能訪間内網
這是防火牆的基本等略了,内網中存放的是公司内部資料,顯然這些資料是不允許外網的使用者進行通路的。如栗要通路,就要通過vPN方式來進行。
(4)外網可以通路DMZ
DMZ中的伺服器需要為外界提供服務,是以外網必須可以通路DMZ。同時,外網通路DMz需要由防火牆完成對外位址到伺服器實際位址的轉換。
(5)DMZ不能訪間内網
如不執行此政策,則當入侵者攻陷DMz時,内部網絡将不會受保護。
(6)DMZ不能訪何外網
此條政策也有例外,比如我們的例子中,在DMZ中放置郵件伺服器時,就需要通路外網,否則将不能正常工作
域中的計算機分類
即:域控制器,成員伺服器,客戶機,獨立伺服器
域控制器是存放活動目錄資料庫的,是域中必須要有的,而其他三種則不是必須的,也就是說最簡單的域可以隻包含一台計算機,這台計算機就是該域的域控制器。
成員伺服器是安裝來了伺服器的作業系統并加入了域,但沒有安裝活動目錄的計算機,主要任務是提供網絡資源
客戶機是安裝了其他作業系統的計算機,使用者利用這些計算機和域中的賬戶就可以登入域
獨立伺服器和域沒有關系,伺服器既不加入域又不安裝活動目錄。
域中各個伺服器的角色也是可以改變的,例如域伺服器在删除活動目錄時,如果是域中最後一個域控制器,則該域伺服器會成為獨立伺服器,如果不是域中唯一的域控制器,則将使該伺服器成為成員伺服器。同時獨立伺服器既可以轉換為域控制器,也可以加入到某個域成為成員伺服器
域中的權限
域本地組
域本地組,多域使用者通路單域資源(通路同一個域)。可以從任何域添加使用者賬戶、通用組和全局組,隻能在其所在域内指派權限。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的通路權限
全局組
全局組,單域使用者通路多域資源(必須是同一個域裡面的使用者)。隻能在建立該全局組的域上進行添加使用者和全局組,可以在域林中的任何域中指派權限,全局組可以嵌套在其他組中。
全局和本地的差別
全局組相當于域賬号,可以在全局使用,域本地組相當于本地賬号,隻能本機上使用
如:隻有在域的DC上,對資源(如:檔案/夾)設定權限,你可以指派域本地組administrators;但在非DC的域成員計算機上,你是無法設定域本地組administrators的權限的。因為它是域本地組,隻能在DC上使用
通用組
通用組成員來自域林中任何域中的使用者賬戶、全局組和其他的通用組,可以在該域林中的 任何域中指派權限,可以嵌套于其他域組中。非常适于域林中的跨域通路,儲存在全局編錄中。相對穩定的全局組會添加到通用組
A-G-DL-P規則
A (account):使用者帳戶
G (Global group):全局組
DL (Domain local group):域本地組
P (Permission):許可,資源權限
舉個例子比如: 有兩個域,A和B,A中的5個财務人員和B中的3個财務人員都需要通路B中的“FINA”檔案夾。這時,可以在B中建一個DL(域本地組),因為DL的成員可以來自所有的域,然後把這8個人都加入這個DL,并把FINA的通路權賦給DL。這樣做的壞處是什麼呢?因為DL是在B域中,是以管理權也在B域,如果A域中的5 個人變成6個人,那隻能A域管理者通知B域管理者,将DL的成員做一下修改,B域的管理者太累了。這時候,我們改變一下,在A和B域中都各建立一個全局組(G),然後在B域中建立一個DL,把這兩個G都加入B域中的DL中,然後把FINA的通路權賦給 DL。哈哈,這下兩個G組都有權通路FINA檔案夾了,是嗎?組嵌套造成權限繼承嘛!這時候,兩個G分布在A和B域中,也就是A和B的管理者都可以自己管理自己的G啦,隻要把那5個人和3個人加入G中,就可以了!以後有任何修改,都可以自己做了,不用麻煩B域的管理者!這就是A-G-DL-P
簡單記憶
域本地組:來自全林用于本域
-
Administrators(管理者組) ————最重要的權限
可以不受限制的存取計算機/域的資源
- Remote Desktop Users(遠端登入組)
- Print Operators(列印機操作員組)
-
Account Operators(帳号操作員組)
可以建立和管理該域中的使用者群組并為其設定權限,除去管理者組和域管理者組
-
Server Operaters(伺服器操作員組)
可以管理域伺服器,權限包括建立,管理,删除任意伺服器的共享目錄,關閉DC等
- Backup Operators(備份操作員組)
全局組:來自本域作用于全林
通用組:來自全林用于全林
- Domain Admins(域管理者組)————最最最重要的權限,一般來說域滲透是看重這個
-
Enterprise Admins(企業系統管理者組)————最最重要的權限,其次是去看重這個權限
對所有域控制器都有完全通路權
-
Schema Admins(架構管理者組)————最重要的權限
可以修改活動目錄和域森林的模式
- Domain Users(域使用者組)
![内網滲透:利用WMI代替psexec(WMIEXEC.vbs)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)