0x00-引言
強迫症,半小時就可以搞清楚的概念,花了一天做筆記,還非得要把圖畫出來
域環境搭建,電腦扛不住了,淦
理論很難記,但又是必要的,就很煩😥
0x01-工作組
01-概念與優缺點
工作組(Work Group)是局域網中的一個概念。它是最常見最簡單最普通的資源管理模式,就是將不同的電腦按功能分別列入不同的組中,以方便管理。【百度百科】
優點:
工作內共享資源,方便同組的計算機相互訪問。工作組沒有集中管理概念,工作組所有計算機都是對等的,沒有服務器和客戶機概念
缺點:
缺乏集中管理與控制的機制,沒有集中的統一帳戶管理,沒有對資源實施更加高效率的集中管理,沒有實施工作站的有效配置和安全性嚴密控制。只適合小規模用戶的使用。
02-windows 10配置工作組
點擊此電腦-屬性-查找設置輸入工作組-點擊更改工作組名稱
點擊更改-修改名稱-確認-重啟即可假如工作組
0x02-域
01-概念
域(Domain)是一個有安全邊界的計算機集合(安全邊界的意思是,在兩個域中一個域的用戶無法訪問另一個域的資源)。可以簡單的把域理解為全面的工作組。域的安全管理控制機制更加嚴格,用戶想要訪問域內的資源,必須以合法的身份登錄域,用戶在域中所擁有的權限還取決與用戶在域內的身份。
域控制器(Domain Controller,DC)是域中的一台類似管理服務器的計算機,可以形象的理解為一個單位的門禁系統。域控制器負責所有接入計算機和用戶的驗證工作。域內的計算機相互訪問都要經過域控制器的審核。一般來說,域中的域控制器有兩個,另一個做備用。
域控制器存儲着這個域中所有計算機的驗證信息。當計算機接入域時都要驗證計算機賬號密碼是否正確,如果不正確就會拒絕計算機接入域中。
域控制器是整個域的通信樞紐,所有的權限身份驗證都在域控制器上進行,也就是說,域內所有用來驗證身份的賬號密碼散列值都保存在域控制器中。
域名服務器(Domain Name Server,DNS)是指用於實現域名(Domain Name)和與之相對應的IP地址轉換的服務器。DNS服務器和域名控制器通常配置在同一台機器上。
域的環境分為以下幾種環境:
單域、父域和子域、域樹、域森林
單域就是一個域
父域和子域在網絡中划分多個域,第一域稱為父域,各分部的域稱為該域的子域,在同一個域內,信息交互的條目是很多的,而且不會被壓縮,在不同域之間,信息交互的條目很少,而且可以壓縮。每個域都可以有自己的安全策略。父域與子域之間相互信任。父域如:primary.com,子域:child.primary.com。和網站的域名類似。子域只能使用父域的域名作為后綴。
域樹多個域建立信任關系的集合。一個域控制器只能控制本域,不能訪問或管理其他域,兩個域之間相互訪問需要建立信任關系
域森林是指多個域樹通過建立信任關系組成的集合。通過域樹之間的信任關系,可以管理和使用整個域森林中的資源。
02-域環境的搭建
域控制器:windows sever 2012
主機:windows server 2012
01-域控制器的搭建
設置服務器
設置IP為本機IP,DNS服務器也為本機IP
更改計算機名
點擊計算機-屬性-高級設置-計算機名-更改-重啟電腦
安裝域控制器和DNS服務
點擊添加角色和功能
下一步
基於角色或基於功能的安裝
下一步
勾選AD域服務和DNS服務器-點擊下一步
下一步
點擊-下一步
點擊下一步
點擊-如果需要,自動重啟目標服務器-安裝
點擊-將此服務器提升為域控制器
點擊-添加新林-輸入根域名-下一步
輸入密碼-點擊下一步
點擊-下一步
點擊下一步
下一步
下一步
點擊安裝-然后等待重啟電腦
域控主機安裝成功
02-主機加入域環境
主機1配置如圖
點擊-計算機-屬性-高級系統設置-計算機名-更改
確定-輸入域控制器的賬號密碼
重啟計算機-ping 域控制器的域名測試聯通性
0x03-活動目錄
活動目錄(Active Directory,AD)是指域環境中提供目錄服務的組件,包含了用戶、用戶組、計算機、域、組織單位(OU)以及安全策略等對象信息
活動目錄存儲的是網絡中所有資源的快捷方式,用戶可以通過尋找快捷方式來定位資源。
活動目錄主要提供以下功能
- 賬號集中管理:所有賬號均存儲在服務器中,以便執行命令和重置密碼等
- 軟件集中管理:統一推送軟件、安裝網絡打印機等。利用軟件發布策略分發軟件,可以讓用戶自由選擇需要安裝的軟件
- 環境集中管理:統一客戶端桌面、IE、TCP/IP協議等設置
- 增強安全性:統一部署殺毒軟件和病毒掃描任務、集中管理用戶的計算機權限、統一定制用戶的密碼策略等。可以監控網絡,對資料進行統一管理
- 更可靠,更短的宕機時間:例如,利用活動目錄控制用戶訪問權限,利用群集、負載均衡等技術對文件服務進行容災設置。網絡更可靠,宕機時間更短
活動目錄是微軟提供的統一管理基礎平台,ISA、Exchange、SMS等都依賴這個平台
0x04-域控制器和活動目錄的區別
如果網絡規模較大,就要把網絡中的眾多對象,例如計算機、用戶、用戶組、打印機、共享文件等,分門別類、井然有序地放在一個大倉庫中,並將檢索信息整理好,以便查找、管理和使用這些對象(資源)。這個擁有層次結構的數據庫,就是活動目錄數據庫,簡稱AD庫。
要實現域環境,其實就是要安裝AD。如果內網中的一台計算機上安裝了AD,它就變成了DC
0x05-安全域的划分
參考【內網安全攻防:滲透測試實戰指南】
划分安全域的目的是將一組安全等級相同的計算機划入同一網段。這些網段內的計算機擁有相同的網絡邊界,並在網絡安全邊界部署防火牆來實現對其他安全域的網絡訪問控制策略(NACL),從而控制主機流量的走向,哪里可以訪問,哪里不可以訪問。這些措施使網絡風險最小化,當存在攻擊時,將威脅隔離,從而降低對域內計算機的影響。
安全域是基於網絡和系統進行安全檢查和評估的基礎,安全域的划分割是企業網絡抗滲透的有效防護方式,安全域邊界是災難發生時的抑制點,同時安全域也是基於網絡和系統進行安全建設的部署依據。
上面為中小型企業的安全域划分,通過硬件防火牆的不同端口實現隔離。
企業網絡按照安全等級划分為三種:安全的級別最低的外網、安全級別中等的DMZ、安全級別最高的內網
DMZ(demilitarized zone),中文稱隔離區,非軍事化區,是為了解決安裝防火牆后外部網絡不能訪問內部網絡服務器的問題而設立的非安全系統和安全系統之間的緩沖區。DMZ位於企業內部網絡和外部網絡之間的小區域網絡內。DMZ區域存放一些對外界開放的服務器設施,如Web服務器、論壇服務器等。
在配置一個擁有DMZ網絡時,通常需要配置以下訪問控制策略,實現屏障作用。
- 內網可以訪問外網:內網用戶自由的訪問外網,這一策略,防火牆需要執行NAT地址轉換協議,私有地址和全局地址之間的轉換,內網IP映射到出口IP某個端口。
- 內網可以訪問DMZ區域:此策略可以使內網用戶使用或者管理DMZ中的服務器。
- 外網不能訪問內網:這是防火牆的基本策略,內網數據敏感,外網不能隨意訪問,掛VPN
- 外網可以訪問DMZ:DMZ中存在對外界開放的服務。
- DMZ不能訪問內網:為了保護內網區域。
- DMZ不能訪問外網:郵件服務器例外。
- 辦公區:辦公區主機是攻擊者進入內網的主要途徑,但是安全設備比較多。
- 核心區:存儲企業最重要的數據、文檔等信息資產。很少有主機可以訪問。一般能訪問的核心區域的只有運維人員和IT部門主管,攻擊者會重點關注這些用戶信息。
0x06-域中計算機的分類
域中計算機分為四種類型:域控制器、成員服務器、域中客戶機、獨立服務器
域中的角色是可以改變的,例如:獨立服務器可以成為域控制器,也可以加入某個域成為成員服務器
域控制器:
域控制器類似於網絡“看門人”用於管理所有的網絡訪問,包括登錄服務器、訪問共享目錄和資源。域控制器存儲了所有的域范圍內的賬戶和策略信息,包括安全策略、ghost xp用戶身份驗證信息和賬戶信息。在網絡中,可以有多台計算機配置為域控制器,以分擔用戶的登錄和訪問。多個域控制器可以一起工作,自動備份用戶賬戶和活動目錄數據,即使部分域控制器發生癱瘓,網絡訪問仍然不受影響,提高了網絡安全性和穩定性。
成員服務器:
成員服務器是指安裝了 Windows Server 2008操作系統,並加人了域的計算機。這些服務器提供網絡資源,也被稱為現有域中的附加域控制器。成員服務器通常具有以下類型服務器的功能:文件服務器、應用服務器、數據庫服務器、Web服務器、證書服務器、防火牆、遠程訪問服務器、打印服務器等。
獨立服務器:
獨立服務器和域沒有什么關系,如果服務器不加人到域中也不安裝活動目錄,就稱為獨立服務器。獨立服務器可以創建工作組,和網絡上的其他計算機共享資源,但不能獲得活動目錄提供的任何服務。
域中客戶機:
域中的計算機可以是安裝了其他操作系統的計算機,用戶利用這些計算機和域中的賬戶就可以登錄域。這些計算機被稱為域中客戶機。域用戶賬號通過域的安全驗證后,即可訪問網絡中的各種資源。
0x07-域中權限解讀
這一部分有些難以理解😅,淦
域中相關內置組的權限包括:域本地組、全局組、通用組
域本地組來自於全林,作用於本域;全局組來自於本域,作用於全林;通用組來自全林,作用於全林。
組(Group)是用戶賬號的集合。通過向一組賬號用戶分配權限,就可以不必向每個用戶分別分配權限。
域本地組:
可以從任何域添加用戶賬戶、通用組和全局組,但只能在其所在的域內指派權限,域本地組不能嵌套於其他組中。它主要是用於授予位於本域資源的訪問權限。只能在本域的域控制器DC上使用。
全局組:
單域用戶訪問多域資源(必須是同一個域中的用戶),只能在創建改全局組的域中添加用戶和全局組。可以在域森林中的任何域內指派權限。全局組可以嵌套在其他組中。全局組:可以全局使用,可在本域和有信任關系的其它域中使用,體現的是全局性。和全局變量一樣
通用組:
組的成員情況,記錄在全局目錄GC中,非常適於林中跨域訪問使用。集成了全局組和域本地組的長處。通用組的成員來自域森林中的任何域的用戶賬號、全局組合其他通用組,可以在改域森林的任意域中指派權限,可以嵌套在其他組中,適合在域森林中跨域訪問。通用組成員保存在GC中,任何變化都會導致全林復制。因此全局目通常存儲一些不經常變化的信息。
A-G-DL-P策略
A-G-DL-P策略是指將用戶賬號添加到全局組中,將全局組添加到域本地組中,然后為域本地組分配資源權限。
- A表示用戶賬號(Account);
- G表示全局組(Global Group);
- U表示通用組(Universal Group);
- DL表示域本地組(Domain Local Group);
- P表示資源權限(Permission,許可);
在此策略形成后,當需要給一個用戶添加某個權限時。只需要把這個用戶添加到某個本地域組中就可以了
比較重要的域本地組權限:
- 管理員組( Administrator)
- 遠程登錄組 (Remote Desktop Users)
- 域管理員組( Domain Admins)
- 域用戶組( Domain Usrs)
0x08-參考
《內網安全攻防:滲透測試實戰指南》-MS08067