内网基础知识
内网基础知识
-
- 前言
- 工作组
- 域
-
- 域控制器
- 单域
- 父域与子域
- 域树
- 域森林
- 域名服务器
- 活动目录
- 域控制器和活动目录的区别
- 安全域的划分
- 域计算机分类
-
- 域控制器
- 成员服务器
- 客户机
- 独立服务器
- 域内权限
前言
内网也指局域网(Local Area Network,LAN),是指在某一区域内由多台计算机互连而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等。内网是封闭的,可以由办公室内的两台计算机组成,也可以由一个公司内的大量计算机组成。
工作组
工作组(Work Group)是局域网中的一个概念。它是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。
在一个大型单位里,可能有成百上千台计算机互相连接组成局域网,它们都会列在“网络”(网上邻居)内。如果不对这些计算机进行分组,网络的混乱程度是可想而知的。
加入/创建工作组的方法很简单。右击桌面上的“计算机”图标,在弹出的快捷菜单中选择“属性”选项,然后依次单击“更改设置”和“更改”按钮,在“计算机名”输入框中输入计算机的名称,在“工作组”输入框中输入想要加入的工作组的名称即可。
域
域( Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源)。可以简单地把域理解成升级版的工作组。与工作组相比,域的安全管理控制机制更加严格。用户要想访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,还取决于用户在域内的身份。
域控制器
域控制器( Domain Controller,DC)是域中的一台类似管理服务器的计算机,我们可以形象地将它理解为一个单位的门禁系统。域控制器负责所有连入的计算机和用户的验证工作。域内的计算机如果想互相访问,都要经过域控制器的审核。
域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当计算机连接到域时,域控制器首先要鉴别这台计算机是否属于这个域,以及用户使用的登录账号是否存在、密码是否正确。如果以上信息有一项不正确,域控制器就会拒绝这个用户通过这台计算机登录。如果用户不能登录,就不能访问服务器中的资源。
域控制器是整个域的通信枢纽,所有的权限身份验证都在域控制器上进行,也就是说,域内所有用来验证身份的账号和密码散列值都保存在域控制器中。
单域
最基础的一个域网络,一般在一个域内要建立至少两个域服务器,一个作为DC,另一个作为备份DC。活动目录的数据库(包括用户的账号信息)是存储在DC中的,如果没有备份DC,一旦DC瘫痪了,域内的其他用户就不能登录该域了。如果有一台备份DC,至少该域还能正常使用(把瘫痪的DC恢复即可)。
父域与子域
出于管理及其他需求,需要在网络中划分多个域。第一个域称为父域,各分部的域称为该域的子域。
例如,多地部署企业时为了方便管理就会使用父域和子域。
还有一种情况是出于安全策略的考虑(每个域都有自己的安全策略)。
例如,一个公司的财务部希望使用特定的安全策略(包括账号密码策略等),那么可以将财务部作为一个子域来单独管理。
域树
指若干个域通过建立信任关系而组成的集合。一个域管理员只能管理本域的内部,不能访问或者管理其他域,两个域之间相互访问则需要建立信任关系(Trust Relation)。信任关系是连接不同域的桥梁。
域森林
域森林(Forest)是指若干个域树通过建立信任关系组成的集合。通过域树之间的信任关系,可以管理和使用整个域森林中的资源,并保留自身原有的特性。
域名服务器
域名服务器( Domain Name Server,DNS)是指用于实现域名( Domain Name)和与之相对应的IP地址(IPAddress)转换的服务器。
而实际上,因为域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是 DNS域的名字。
在内网渗透测试中,大都是通过寻找DNS服务器来确定域控制器的位置的(DNS服务器和域控制器通常配置在同一台机器上)。
活动目录
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件。
目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息。
目录服务是指帮助用户快速、准确地从目录中找到其所需要的信息的服务。活动目录实现了目录服务,为企业提供了网络环境的集中式管理机制。
活动目录主要提供以下功能
- 账号集中管理:所有账号均存储在服务器中,以便执行命令和重置密码等。
- 软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件。
- 环境集中管理:统一客户端桌面、IE、TCP/IP协议等设置。
- 增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网络,对资料进行统一管理。
- 更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设置。网络更可靠,宕机时间更短。
活动目录是微软提供的统一管理基础平台,ISA、Exchange、SMS等都依赖这个平台。
域控制器和活动目录的区别
如果网络规模较大,就要把网络中的众多对象,例如计算机、用户、用户组、打印机、共享文件等,分门别类、井然有序地放在一个大仓库中,并将检索信息整理好,以便查找、管理和使用这些对象(资源)。这个拥有层次结构的数据库,就是活动目录数据库,简称AD库。
那么,我们应该把这个数据库放在哪台计算机上呢?要实现域环境,其实就是要安装AD。如果内网中的一台计算机上安装了AD,它就变成了DC(用于存储活动目录数据库的计算机)。
安全域的划分
划分安全域的目的是将一组安全等级相同的计算机划入同一个网段,这一网段内的计算机拥有相同的网络边界,在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而规定允许哪些IP 地址访问此域和不允许哪些IP 地址访问此域、允许此域访问哪些IP 地址/网段和不允此域许访问哪些IP 地址/网段。
注:一个虚线框代表一个安全域。
在一个用路由器连接的内网中,可以将网络划分为三个区域:安全级别最高的内网;安全级别中等的 DMZ;安全级别最低的外网( Internet )。这三个区域负责完成不同的任务,因此需要设置不同的访问策略。
DMZ称为隔离区,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。DMZ位于企业内部网络和外部网络之间。可以在DMZ中放置一些必须公开的服务器设施,例如企业 Web服务器、FTP服务器和论坛服务器等。DMZ是对外提供服务的区域,因此可以从外部访问。
访问控制策略
- 内网可以访问外网:内网用户需要自由地访问外网。在这一策略中,防火墙需要执行NAT。
- 内网可以访问 DMZ:此策略使内网用户可以使用或者管理 DMZ中的服务器。
- 外网不能访问内网:这是防火墙的基本策略。内网中存储的是公司内部数据,显然,这些数据一般是不允许外网用户访问的(如果要访问,就要通过VPN的方式来进行)。
- 外网可以访问 DMZ:因为DMZ中的服务器需要为外界提供服务,所以外网必须可以访问DMZ。同时,需要由防火墙来完成从对外地址到服务器实际地址的转换。
- DMZ不能访问内网:如果不执行此策略,当攻击者攻陷 DMZ时,内网将无法受到保护。
- DMZ不能访问外网:此策略也有例外。例如,在DMZ中放置了邮件服务器,就要允许访问外网,否则邮件服务器无法正常工作。
内网又分为办公区和核心区
- 办公区:公司员工日常的工作区,一般会安装防病毒软件、主机人侵检测产品等。办公区一般能够访问DMZ。如果运维人员也在办公区,那么部分主机也能访问核心数据区(很多大企业还会使用堡垒机来统―管理用户的登录行为)。攻击者如果想进入内网,一般会使用鱼叉攻击、水坑攻击,当然还有社会工程学手段。办公区人员多而杂,变动也很频繁,在安全管理上可能存在诸多漏洞,是攻击者进入内网的重要途径之一。
- 核心区:存储企业最重要的数据、文档等信息资产,通过日志记录、安全审计等安全措施进行严密的保护,往往只有很少的主机能够访问。从外部是绝难直接访问核心区的。一般来说,能够直接访问核心区的只有运维人员或者IT部门的主管,所以,攻击者会重点关注这些用户的信息(攻击者在内网中进行横向移动攻击时,会优先查找这些主机)。
域计算机分类
域控制器
域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器中存储了域内所有的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。
在网络中,可以有多台计算机被配置为域控制器,以分担用户的登录、访问等操作。多个域控制器可以一起工作,自动备份用户账户和活动目录数据。这样,即使部分域控制器瘫痪,网络访问也不会受到影响,提高了网络的安全性和稳定性。
成员服务器
成员服务器是指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机,其主要任务是提供网络资源。成员服务器的类型通常有文件服务器、应用服务器、数据库服务器、Web服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等。
客户机
域中的计算机可以是安装了其他操作系统的计算机,用户利用这些计算机和域中的账户就可以登录域。这些计算机被称为域中的客户机。域用户账号通过域的安全验证后,即可访问网络中的各种资源。
独立服务器
独立服务器和域没有关系。如果服务器既不加入域,也不安装活动目录,就称其为独立服务器。独立服务器可以创建工作组、与网络中的其他计算机共享资源,但不能使用活动目录提供的任何服务。
域控制器用于存放活动目录数据库,是域中必须要有的,而其他三种计算机则不是必须要有的。也就是说,最简单的域可以只包含一台计算机,这台计算机就是该域的域控制器。当然,域中各服务器的角色是可以改变的。例如,独立服务器既可以成为域控制器,也可以加入某个域,成为成员服务器。
域内权限
内网中重要的一些权限组包括本地组,全局组,通用组
本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域。
全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域。
本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。
概括的说
域本地组:来自全林用于本域
全局组:来自本域作用于全林
通用组:来自全林用于全林
本地域组的权限
Administrators(管理员组) ————最重要的权限
Remote Desktop Users(远程登录组)
Print Operators(打印机操作员组)
Account Operators(帐号操作员组)
Server Operaters(服务器操作员组)
Backup Operators(备份操作员组)
全局组、通用组的一些权限
Domain Admins(域管理员组)————最最最重要的权限,一般来说域渗透是看重这个
Enterprise Admins(企业系统管理员组)————最重要的权限,其次是去看重这个权限
Schema Admins(架构管理员组)————最重要的权限
Domain Users(域用户组)