内网的概念
内网也指局域网(Local Area Network),是指在某一区域内由多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等。内网是封闭的,可以由办公室内的两台计算机组成,也可以由一个公司内的大量计算机组成。
内网基础知识(一些名词的概念)
工作组
- 概念: 将不同的计算机按照功能(或部门)分入不同的工作组,例如技术部门的计算机都列入“技术部”的工作组、行政部门的计算机都列入“行政部”的工作组。要想访问某个部门的资源,只要在“网络”里点击该部门的工作组名,就可以看到该部门的所有计算机了。
- 加入/创建工作组的方法很简单,右击桌面上的“计算机”图标,在弹出的快捷菜单中选择“属性”选项,然后依次单击“更换设置”和“更改”按钮,在“计算机名”输入框中输入计算机的名称,在“工作组”输入框中输入想要加入的工作组的名称即可。如果输入的工作组的名称在网络中不存在,就相当于新建了一个工作组,单击“确定按钮”,Windows会提示需要重启,在重启之后进入“网络”,就可以看到所加入的工作组的成员了。
- 备注: 工作组就像一个可以自由进入和退出的社团,方便同组的计算机互相访问,工作组没有集中管理的作用,工作组里的所有计算机都是对等的(没有客户机和服务机之分)。
域
- 域(Domain)是一个有安全边界的计算机集合(安全边界:在两个域中,一个域中的用户无法访问另一域中的资源)。可以简单地把域理解为升级版本的工作组。与工作组相比,域的安全管理控制机制更加严格。用户想要访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,还取决于用户在域内的身份。
- 域控制器(Domain Controller, DC)是域的一台类似管理服务器的计算机,我们可以形象的将它理解为一个单位的门禁系统。域控制器负责所有连接的计算机和用户的验证工作。域内的计算机如果想互相访问,都要经过域控制器的审核。
单域
- 概念: 通常,在一个地理位置固定的小公司里,建立一个域就可以满足需求。
- 备注: 在一个域内,一般需要至少两台域服务器,一台作为DC,一台作为备用DC。
父域和子域
- 概念:出于管理及其他需求,需要在网络中划分多个域,第一个域称为父域,各分部的域称为该域的子域。
- 父域和子域的用途(优点):
- 分公司可以通过自己的域来管理自己的资源(同一个域内,信息交互的条目是很多的,而且不不会压缩;不同的域之间,信息交互的条目相对较少,而且可以压缩);
- 出于安全策略的考虑(每个域都有自己的安全策略,例如:财务部门一般需要使用特定的安全策略)。
域树(Tree)
- 概念:
- 域树(Tree)是多个域通过建立信任关系组成的集合。
- 一个域的管理员只能管理本域,不能访问或者管理其他域。
- 如果两个域之间需要相互访问,则需要建立信任关系(Trust Relation),信任关系是连接不同域的桥梁。
- 域树内的父域和子域,不但可以按照需要相互管理,还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的贡献与管理、通信及数据传输。
域森林(Forest)
- 概念:
- 域森林(Forest)是指多个域树通过建立信任关系组成的集合。
- 域森林(Forest)是指多个域树通过建立信任关系组成的集合。
域名服务器
- 概念:
- 域名服务器(Domain Name Server,DNS)是指用于实现域名(Domain Name)和与之相对应的IP地址(IP Address)转换的服务器。
- 备注:
- 实际上,因为域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS域的名字。在内网渗透测试中,大都是通过寻找DNS服务器来确定域控制器的位置的。
活动目录
-
概念:
- 活动目录(Active Directory,AD)是指域环境中国提供目录服务的组件。
- 目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息,目录服务是指帮助用户快速、准确地从目录中找到其所需要的的信息的服务。
- 如果把企业的内网看成一本字典,那么内网里的资源就是字典里的内容,活动目录就相当于字典的索引。
-
活动目录的功能:
- 账号集中管理
- 软件集中管理
- 环境集中管理
- 增强安全性
- 更可靠,更短的宕机时间
-
域控制器和活动目录的区别:
- 如果网络的规模较大,就要把网络中众多对象,例如计算机、用户、用户组、打印机、共享文件等,分门别类地放到一个大仓库中,并将检索信息整理好,以便查找、管理和使用。这个拥有层次结构的数据库,就是活动目录数据库,简称AD库。
- 要实现域环境,实际上就是安装AD,如果内网中的一台计算机上安装了AD,它就变成了DC(用于存储活动目录数据库的计算机)。
安全域的划分
- 划分安全域的目的是将一组安全等级相同的计算机划入同一个网段,这个网段的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他把全部域的网络访问控制策略(NACL),从而允许哪些IP地址访问此域。这些措施,将使得网络风险最小化,当攻击发生时,可以尽可能地将威胁隔离,从而降低对域内计算机的影响。
- 在一个用路由器连接的内网中,可以将网络划分为三个区域:安全级别最高的内网;安全级别中等的DMZ;安全级别最低的外网(Internet)。这三个区域负责完成不同的任务,因此需要设置不同的访问策略。
- DMZ称为隔离区,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。DMZ位于企业内部网络和外部网络之间。可以在DMZ中放置一些必须公开的服务器设施,例如企业的Web服务器、FTP服务器和论坛服务器等。DMZ是对外提供服务的区域,因此可以从外部访问。
域中计算机的分类
域控制器
域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。
成员服务器
成员服务器是指安装了服务器操作系统并加入了域、但是没装活动目录(AD)的计算机,其主要任务是提供网络资源。
客户机
域中的计算机可以是安装了其他操作系统的计算机。用户利用这些计算机和域中的账户就可以登录域。
独立服务器
独立服务器和域没有关系。独立服务器可以创建工作组、与网络中的其他计算机共享资源,但不能使用活动目录提供的任何服务。
域内权限解读
- 域本地组:多域用户访问单域资源,可以从任何域添加用户账号、通用组和全局组,但只能在其所在域内指派权限;
- 全局组:单域用户访问多域资源(必须是同一哥域中的用户),只能在创建该全局组的域中添加用户和全局组。
- 通用组:通用组成员来自域森林中任何域的用户账号、全局组合其他通用组,可以在该域森林的任何域中指派权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问中使用。
- A-G-DL-P策略:
A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。- A表示用户账号(Account);
- G表示全局组(Global Group);
- U表示通用组(Universal Group);
- DL表示域本地组(Domain Local Group);
- P表示资源权限(Permission,许可);
在此策略形成后,当需要给一个用户添加某个权限时。只需要把这个用户添加到某个本地域组中就可以了
- 几个比较重要的域本地组权限:
- 管理员组( Administrator);
- 远程登录组 (Remote Desktop Users);
- 域管理员组( Domain Admins);
- 域用户组( Domain Usrs);