內網也指局域網,是指在某一區域內由多台計算機互連而成的計算機組,組網范圍通常在數千米內。在局域網中,可以實現文件管理、應用軟件共享、打印機共享、工作組內的日程安排、電子郵件和傳真通信服務等
1.1內網基礎知識
1.1.1工作組
將不同的計算機按功能(或部門)分別列入不同的工作組,例如技術部的計算機都列入“技術部”工作組、行政部的計算機都列入“行政部”工作組。
加入工作組步驟:右擊計算機圖標——>選擇屬性——>單擊更改設置——>單擊更改,在”計算機名“輸入框中輸入計算機的名稱,在“工作組”輸入框中輸入想要加入的工作組的名稱。
如果輸入的工作組名稱在網絡中不存在,就相當於新建了一個工作組。單擊“確定”按鈕,Windows會提示需要重新啟動。在重新啟動之后進入“網絡”,就可以看到所加入的工作組的成員了。
工作組在局域網中具有唯一性。
1.1.2 域
域(Domain)是一個有安全邊界的計算機集合(安全邊界的意思是,在兩個域中,一個域中的用戶無法訪問另一個域中的資源)。可以簡單地把域理解成升級版的工作組。與工作組相比,域的安全管理控制機制更加嚴格。用戶要想訪問域內的資源,必須以合法的身份登錄域,而用戶對域內的資源擁有什么樣的權限,還取決於用戶在域內的身份。
域控制器(Domain Controller,DC)是域中的一台類似管理服務的計算機,我們可以形象地將它理解為一個單位的門禁系統。域控制器負責所有連入的計算機和用戶的驗證工作。域內的計算機如果想互相訪問,都要經過域控制器的審核。
域控制器中存在由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。當計算機連接到域時,域控制器首先要鑒別這台計算機是否屬於這個域,以及用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一項不正確,域控制器就會拒絕這個用戶通過這台計算機登錄。
域控制器是整個域的通信樞紐,所有的權限身份驗證都在域控制器上進行,也就是說,域內所有用來驗證身份的賬號和密碼散列值都保存在域控制器中。
域中一般有如下幾個環境。
1、單域
單域顧名思義就是一個域。在一個域內,一般要有至少兩域服務器,一台作為DC,另一台作為備份DC。活動目錄的數據庫(包括用戶的賬號信息)是存儲在DC中的,如果沒有備份DC,一旦DC癱瘓,域內的其他用戶就不能登錄該域了。
2、父域和子域
出於管理及其他需求,需要在網絡中划分多個域。第一域稱為父域,各分部的域稱為該域的子域。例如,一個大公司的各個分公司位於不同的地點,就需要使用父域及子域。如果把不同地點的分公司放在同一個域內,那么它們之間在信息交互(包括同步、復制等)上花費的時間就會比較長,占用的帶寬也會比較大(在同一個域內,信息交換的條目是很多的,而且不會壓縮;在不同域之間,信息交互的條目相對較少,而且可以壓縮)。
3.域樹
域樹是多個域通過建立信任關系組成的集合。一個域管理員只能管理本域,不能訪問或者管理其他域。如果兩個域之間需要互相訪問,則需要建立信任關系。信任關系是連接不同域的橋梁。
在一個域樹中,父域可以包含多個子域。子域是相對父域來說的,指的是域名中的每一個段。各子域之間用點號隔開,一個“.”代表一個層次。放在域名最后的子域稱為最高級子域或一級域,它前面的子域稱為二級域。例如,域asia.abc.com的級別比域abc.com低(域asia.abc.com有兩個層次,而域abc.com只有一個層次)。子域只能使用父域的名字作為其域名的后綴,也就是說,在一個域樹中,域的名字是連續的。
4.域森林
域森林是指多個域樹通過建立信任關系組成的集合。例如,在一個公司兼並場景中,某公司使用域樹abc.com,被兼並的公司本來有自己的域樹abc.net,域樹abc.net無法掛在域樹abc.com下。所以,域樹abc.com與域樹abc.net之間需要通過建立信任關系來構成域森林。通過域樹之間的信任關系,可以管理和使用整個域森林中的資源,並保留被兼並公司自身原有的特性。
5.域名服務器
域名服務器(Domain Name Server,DNS)是指用於實現域名與之相對應的IP地址轉換的服務器。域樹的域名和DNS域名非常相似。實際上,因為域中計算機是使用DNS來定位域控制器、服務器及其他計算機、網絡服務的,所以域的名字就是DNS域的名字。在內網滲透測試中,大都是通過尋找DNS服務器來確定域控制器的位置的(DNS服務器和域控制器通常配置在同一台機器上)。
1.1.3 活動目錄
活動目錄(Active Directory,AD)是指域環境中提供目錄服務的組件。
目錄用於存儲有關網絡對象(例如用戶、組、計算機、共享資源、打印機和聯系人等)的信息。目錄服務是指幫助用戶快速、准確地從目錄中找到其所需要的信息的服務。活動目錄實現了目錄服務,為企業提供了網絡環境的集中式管理機制。
如果把企業內網看成字典,那么內網中的資源就是字典中的內容,活動目錄就相當於字典的索引。
在活動目錄中,管理員不需要考慮被管理對象的地理位置,只需要按照一定的方式將這些對象放置在不同的容器中。這種不考慮被管理對象的具體地理位置的組織框架稱為邏輯結構。
活動目錄的邏輯結構包括前面講過的組織單元、域、域樹、域森林。域樹內的所有域共享一個活動目錄,這個活動目錄內的數據分散存儲在各個域中,且每個域只存儲該域內的數據。
活動目錄主要提供以下功能。
賬號集中管理:所有賬號均存儲在服務器中,以便執行命令和重置密碼等。
軟件集中管理:統一推送軟件、安裝網絡打印機等。利用軟件發布策略分發軟件,可以讓用戶自由選擇需要安裝的軟件。
環境集中管理:統一客戶端桌面、IE、TCP/IP協議等設置。
增強安全性:統一部署殺毒軟件和病毒掃描任務、集中管理用戶的計算機權限、統一制定用戶密碼策略等。可以監控網絡,對資料進行統一管理。
更可靠、更短的宕機時間:例如,利用活動目錄控制用戶訪問權限,利用群集、負載均衡等技術對文件服務器進行容災設置。網絡更可靠,宕機時間更短。
1.1.4 域控制器和活動目錄的區別
如果網絡規模較大,就要把網絡中的眾多對象,例如計算機、用戶、用戶組、打印機、共享文件等,分門別類、井然有序地放在一個大倉庫中,並將檢索信息整理好,以便查找、管理和使用這些對象(資源)。這個擁有層次結構的數據庫,就是活動目錄數據庫,簡稱AD庫。
要實現域環境,其實就是要安裝AD。如果內網中的一台計算機上安裝了AD,它就成了DC。
1.1.5 安全域的划分
划分安全域的目的是將一組安全等級相同的計算機划入同一個網段。這個網段內的計算機擁有相同的網絡邊界,並在網絡邊界上通過部署防火牆來實現對其他安全域的網絡訪問控制策略,從而對允許那些IP地址訪問此域、允許此域訪問那些IP地址和網段進行設置。
DMZ稱為隔離區,是為了解決安裝防火牆后外部網絡不能訪問內部網絡服務器的問題而設立的一個非安全系統與安全系統之間的緩沖區。DMZ位於企業內部網絡和外部網絡之間。可以在DMZ中放置一些必須公開的服務器設施。
在網絡邊界上一般會部署防火牆及入侵檢測、入侵防御產品等。如果有Web應用,還會設置WAF,從而更加有效地保護內網。
在配置一個擁有DMZ的網絡時,通常需要定義如下訪問控制策略,以實現其屏障功能。
內網可以訪問外網:內網用戶需要自由地訪問外網。在這一策略中,防火牆需要執行NAT。
內網可以訪問DMZ:此策略使內網用戶可以使用或者管理DMZ中的服務器
外網不能訪問內網:這是防火牆的基本策略。內網中存儲的是公司內部數據。(如果要訪問內網,就要通過VPN的方式進行)
外網可以訪問DMZ:因為DMZ中的服務器需要為外界提供服務,所以外網必須可以訪問DMZ。同時,需要防火牆來完成從對外地址到服務器實際地址的轉換。
DMZ不能訪問內網:如果不執行此策略,當攻擊者攻陷DMZ時,內網將無法收到保護。
DMZ不能訪問外網:此策略也有例外。例如,在DMZ中放置了郵件服務器,就要允許訪問外網,否則郵件服務器無法正常工作。
1.1.6 域中計算機的分類
1.域控制器
域控制器用於管理所有的網絡訪問,包括登錄服務器、訪問共享目錄和資源。域控制器中存儲了域內所有的賬戶和策略信息,包括安全策略、用戶身份驗證信息和賬戶信息。
在網絡中,可以有多台計算機被配置為域控制器,以分擔用戶的登錄、訪問等操作。
2.成員服務器
成員服務器是指安裝了服務器操作系統並加入了域、但沒有安裝活動目錄的計算機,其主要任務是提供網絡資源。成員服務器的類型通常有文件服務器、應用服務器、數據庫服務器、Web服務器、郵件服務器等。
3.客戶機
域中的計算機可以是安裝了其他操作系統的計算機,用戶利用這些計算機和域中的賬戶就可以登錄域,這些計算機被稱為域中的客戶機。域用戶賬號通過域的安全驗證后,即可訪問網絡中的各種資源。
4.獨立服務器
獨立服務器和域沒有關系。如果服務器既不加入域,也不安裝活動目錄,就稱其為獨立服務器。獨立服務器可以創建工作組、與網絡中的其他計算機共享資源,但不能使用活動目錄提供的任何服務。
1.1.7 域內權限解讀
組是用戶賬戶的集合。通過向一組用戶分配權限,就可以不必向每個用戶分別分配權限。
1.域本地組
多域用戶訪問單域資源(訪問同一個域),可以從任何域添加用戶賬號、通用組和全局組,但只能在其所在域指派權限。域本地組不能嵌套在其他組中。域本地組主要用於授權本域內資源的訪問權限。
2.全局組
單域用戶訪問多域資源(必須是同一個域中的用戶),只能在創建該全局組的域中添加用戶和全局組。可以在域森林的任何域內指派權限。全局組可以嵌套在其他組中。
可以將某個全局組添加到同一個域的另一個全局組中,或者添加到其他域的通用組和域本地組中(不能添加到不同域的全局組中,全局組只能在創建它的域中添加用戶和組)。雖然可以通過全局組授予用戶訪問任何域內資源的權限,但一般不直接用它來進行權限管理。
全局組和域本地組的關系,與域用戶賬號和本地賬號的關系相似。域用戶賬號可以在全局使用,即在本域和其他關系的其他域中都可以使用,而本地賬號只能在本機中使用。例如,將用戶張三(域賬號為Z3)添加到域本地組Administrators 中,並不能使Z3對非DC 的域成員計算機擁有任何特權,但若將Z3添加到全局組Domain Admins 中,用戶張三就成為域管理員了(可以在全局使用,對域成員計算機擁有特權)。
3.通用組
通用組的成員來自域森林中任何域的用戶賬號、全局組和其他通用組,可以在該域森林的任何域中指派權限,可以嵌套在其他組中,非常適合在域森林內的跨域訪問中使用。不過,通用組的成員不是保存在各自的域控制器中的,而是保存在全局
編錄(GC)中的,任何變化都會導致全林復制。全局編錄通常用於存儲一些不經常發生變化的信息。由於用戶賬號信息是經常變化的,建議不要直接將用戶賬號添加到通用組中,而要先將用戶賬號添加到全局組中,再把這些相對穩定的全局組
添加到通用組中。
可以這樣簡單地記憶:域本地組來自全林,作用於本域;全局組來自本域,作用於全林;通用組來自全林,作用於全林。