內網的概念
內網也指局域網(Local Area Network),是指在某一區域內由多台計算機互聯而成的計算機組,組網范圍通常在數千米以內。在局域網中,可以實現文件管理、應用軟件共享、打印機共享、工作組內的日程安排、電子郵件和傳真通信服務等。內網是封閉的,可以由辦公室內的兩台計算機組成,也可以由一個公司內的大量計算機組成。
內網基礎知識(一些名詞的概念)
工作組
- 概念: 將不同的計算機按照功能(或部門)分入不同的工作組,例如技術部門的計算機都列入“技術部”的工作組、行政部門的計算機都列入“行政部”的工作組。要想訪問某個部門的資源,只要在“網絡”里點擊該部門的工作組名,就可以看到該部門的所有計算機了。
- 加入/創建工作組的方法很簡單,右擊桌面上的“計算機”圖標,在彈出的快捷菜單中選擇“屬性”選項,然后依次單擊“更換設置”和“更改”按鈕,在“計算機名”輸入框中輸入計算機的名稱,在“工作組”輸入框中輸入想要加入的工作組的名稱即可。如果輸入的工作組的名稱在網絡中不存在,就相當於新建了一個工作組,單擊“確定按鈕”,Windows會提示需要重啟,在重啟之后進入“網絡”,就可以看到所加入的工作組的成員了。
- 備注: 工作組就像一個可以自由進入和退出的社團,方便同組的計算機互相訪問,工作組沒有集中管理的作用,工作組里的所有計算機都是對等的(沒有客戶機和服務機之分)。
域
- 域(Domain)是一個有安全邊界的計算機集合(安全邊界:在兩個域中,一個域中的用戶無法訪問另一域中的資源)。可以簡單地把域理解為升級版本的工作組。與工作組相比,域的安全管理控制機制更加嚴格。用戶想要訪問域內的資源,必須以合法的身份登錄域,而用戶對域內的資源擁有什么樣的權限,還取決於用戶在域內的身份。
- 域控制器(Domain Controller, DC)是域的一台類似管理服務器的計算機,我們可以形象的將它理解為一個單位的門禁系統。域控制器負責所有連接的計算機和用戶的驗證工作。域內的計算機如果想互相訪問,都要經過域控制器的審核。
單域
- 概念: 通常,在一個地理位置固定的小公司里,建立一個域就可以滿足需求。
- 備注: 在一個域內,一般需要至少兩台域服務器,一台作為DC,一台作為備用DC。
父域和子域
- 概念:出於管理及其他需求,需要在網絡中划分多個域,第一個域稱為父域,各分部的域稱為該域的子域。
- 父域和子域的用途(優點):
- 分公司可以通過自己的域來管理自己的資源(同一個域內,信息交互的條目是很多的,而且不不會壓縮;不同的域之間,信息交互的條目相對較少,而且可以壓縮);
- 出於安全策略的考慮(每個域都有自己的安全策略,例如:財務部門一般需要使用特定的安全策略)。
域樹(Tree)
- 概念:
- 域樹(Tree)是多個域通過建立信任關系組成的集合。
- 一個域的管理員只能管理本域,不能訪問或者管理其他域。
- 如果兩個域之間需要相互訪問,則需要建立信任關系(Trust Relation),信任關系是連接不同域的橋梁。
- 域樹內的父域和子域,不但可以按照需要相互管理,還可以跨網絡分配文件和打印機等設備及資源,從而在不同的域之間實現網絡資源的貢獻與管理、通信及數據傳輸。
域森林(Forest)
- 概念:
- 域森林(Forest)是指多個域樹通過建立信任關系組成的集合。
- 域森林(Forest)是指多個域樹通過建立信任關系組成的集合。
域名服務器
- 概念:
- 域名服務器(Domain Name Server,DNS)是指用於實現域名(Domain Name)和與之相對應的IP地址(IP Address)轉換的服務器。
- 備注:
- 實際上,因為域中的計算機是使用DNS來定位域控制器、服務器及其他計算機、網絡服務的,所以域的名字就是DNS域的名字。在內網滲透測試中,大都是通過尋找DNS服務器來確定域控制器的位置的。
活動目錄
-
概念:
- 活動目錄(Active Directory,AD)是指域環境中國提供目錄服務的組件。
- 目錄用於存儲有關網絡對象(例如用戶、組、計算機、共享資源、打印機和聯系人等)的信息,目錄服務是指幫助用戶快速、准確地從目錄中找到其所需要的的信息的服務。
- 如果把企業的內網看成一本字典,那么內網里的資源就是字典里的內容,活動目錄就相當於字典的索引。
-
活動目錄的功能:
- 賬號集中管理
- 軟件集中管理
- 環境集中管理
- 增強安全性
- 更可靠,更短的宕機時間
-
域控制器和活動目錄的區別:
- 如果網絡的規模較大,就要把網絡中眾多對象,例如計算機、用戶、用戶組、打印機、共享文件等,分門別類地放到一個大倉庫中,並將檢索信息整理好,以便查找、管理和使用。這個擁有層次結構的數據庫,就是活動目錄數據庫,簡稱AD庫。
- 要實現域環境,實際上就是安裝AD,如果內網中的一台計算機上安裝了AD,它就變成了DC(用於存儲活動目錄數據庫的計算機)。
安全域的划分
- 划分安全域的目的是將一組安全等級相同的計算機划入同一個網段,這個網段的計算機擁有相同的網絡邊界,並在網絡邊界上通過部署防火牆來實現對其他把全部域的網絡訪問控制策略(NACL),從而允許哪些IP地址訪問此域。這些措施,將使得網絡風險最小化,當攻擊發生時,可以盡可能地將威脅隔離,從而降低對域內計算機的影響。
- 在一個用路由器連接的內網中,可以將網絡划分為三個區域:安全級別最高的內網;安全級別中等的DMZ;安全級別最低的外網(Internet)。這三個區域負責完成不同的任務,因此需要設置不同的訪問策略。
- DMZ稱為隔離區,是為了解決安裝防火牆后外部網絡不能訪問內部網絡服務器的問題而設立的一個非安全系統與安全系統之間的緩沖區。DMZ位於企業內部網絡和外部網絡之間。可以在DMZ中放置一些必須公開的服務器設施,例如企業的Web服務器、FTP服務器和論壇服務器等。DMZ是對外提供服務的區域,因此可以從外部訪問。
域中計算機的分類
域控制器
域控制器用於管理所有的網絡訪問,包括登錄服務器、訪問共享目錄和資源。
成員服務器
成員服務器是指安裝了服務器操作系統並加入了域、但是沒裝活動目錄(AD)的計算機,其主要任務是提供網絡資源。
客戶機
域中的計算機可以是安裝了其他操作系統的計算機。用戶利用這些計算機和域中的賬戶就可以登錄域。
獨立服務器
獨立服務器和域沒有關系。獨立服務器可以創建工作組、與網絡中的其他計算機共享資源,但不能使用活動目錄提供的任何服務。
域內權限解讀
- 域本地組:多域用戶訪問單域資源,可以從任何域添加用戶賬號、通用組和全局組,但只能在其所在域內指派權限;
- 全局組:單域用戶訪問多域資源(必須是同一哥域中的用戶),只能在創建該全局組的域中添加用戶和全局組。
- 通用組:通用組成員來自域森林中任何域的用戶賬號、全局組合其他通用組,可以在該域森林的任何域中指派權限,可以嵌套在其他組中,非常適合在域森林內的跨域訪問中使用。
- A-G-DL-P策略:
A-G-DL-P策略是指將用戶賬號添加到全局組中,將全局組添加到域本地組中,然后為域本地組分配資源權限。- A表示用戶賬號(Account);
- G表示全局組(Global Group);
- U表示通用組(Universal Group);
- DL表示域本地組(Domain Local Group);
- P表示資源權限(Permission,許可);
在此策略形成后,當需要給一個用戶添加某個權限時。只需要把這個用戶添加到某個本地域組中就可以了
- 幾個比較重要的域本地組權限:
- 管理員組( Administrator);
- 遠程登錄組 (Remote Desktop Users);
- 域管理員組( Domain Admins);
- 域用戶組( Domain Usrs);