如何理解内网?
内网也指局域网(Local Area Network,LAN),是指在某一区域内由多台计算机互连而成的计算机组,组网范围通常在数千米以内。
在局域网中,可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等。
内网是封闭的,可以由办公室内的两台计算机组成,也可以由一个公司内的大量计算机组成。
简单来说:内网就是某一区域内封闭的计算机组,由大量的计算机组成。
工作组:将不同的计算机按功能(或部门)分布列入不同的工作组,来实现不同的功能。
域:
域(Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源)。可以简单地把域理解成升级版的工作组。与工作组相比,域的安全管理控制机制更加严格。用户要想访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,还取决于用户在域内的身份。
简答来说:域就是一个升级版的工作组,与工作组相比加入了身份认证,和权限管理。
域控制器:
域控制器(Domain Controller,DC)是域中的一台类似管理服务器的计算机,我们可以形象地将它理解为一个单位的门禁系统。
域控制器负责所有连入的计算机和用户的验证工作。
域内的计算机如果想互相访问,都要经过域控制器的审核。
域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到域时,域控制器首先要鉴别这台计算机是否属于这个域,以及用户使用的登录账号是否存在、密码是否正确。如果以上信息有一项不正确,域控制器就会拒绝这个用户通过这台计算机登录。如果用户不能登录,就不能访问服务器中的资源。
域控制器是整个域的通信枢纽,所有的权限身份验证都在域控制器上进行,也就是说,域内所有用来验证身份的账号和密码散列值都保存在域控制器中。
简答来说:域控制器就是域中做身份认证的机制
单域:
单域就是一个主控域控制器,一个辅助域控制器,用来存贮活动目录的数据库(包括用户的账号信息)的万一主域控瘫痪了,辅助域控可以防止用户不能登录该域的情况。
父域和子域:
出于管理及其他需求,需要在网络中划分多个域。第一个域称为父域,各分部的域称为该域的子域
设置父域和子域的好处:
在同一个域内,信息交互的条目是很多的,而且不会压缩;在不同的域之间,信息交互的条目相对较少,而且可以压缩)。这样处理有一个好处,就是分公司可以通过自己的域来管理自己的资源。
还有一种情况是出于安全策略的考虑(每个域都有自己的安全策略)
简单来说:就是为了安全考虑和传输速度以及成本
域树:
域树(Tree)是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域,不能访问或者管理其他域。如果两个域之间需要互相访问,则需要建立信任关系(Trust Relation)。信任关系是连接不同域的桥梁。域树内的父域与子域,不但可以按照需要互相管理,还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。
在一个域树中,父域可以包含多个子域。子域是相对父域来说的,指的是域名中的每一个段。各子域之间用点号隔开,一个“.”代表一个层次。放在域名最后的子域称为最高级子域或一级域,它前面的子域称为二级域。
简单来说:域树就是用来链接各个域的。
域树结构拓扑图
image.png
域森林:
域森林(Forest)是指多个域树通过建立信任关系组成的集合。
简单来说:就是为不同域树建立关系,使其能够访问和使用整个域树的资源。
域森林拓扑图
image.png
域名服务器:
域名服务器(Domain Name Server,DNS)是指用于实现域名(Domain Name)和与之相对应的IP 地址(IP Address)转换的服务器。
从对域树的介绍中可以看出,域树中的域名和DNS 域名非常相似。而实际上,因为域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS 域的名字。在内网渗透测试中,大都是通过寻找DNS 服务器来确定域控制器的位置的(DNS 服务器和域控制器通常配置在同一台机器上)。‘
活动目录:
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件。
目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息。
目录服务是指帮助用户快速、准确地从目录中找到其所需要的信息的服务。
活动目录实现了目录服务,为企业提供了网络环境的集中式管理机制。
简单来说:活动目录,就相当于书的目录,用户可以通过快捷方式快速定位资源所在位置。
活动目录的逻辑结构:
在活动目录中,管理员不需要考虑被管理对象的地理位置,只需要按照一定的方式将这些对象放置在不同的容器中。这种不考虑被管理对象的具体地理位置的组织框架称为逻辑结构。
活动目录的逻辑结构包括前面讲过的组织单元(OU)、域、域树、域森林。域树内的所有域共享一个活动目录,这个活动目录内的数据分散存储在各个域中,且每个域只存储该域内的数据。
活动目录主要提供以下功能:
账号集中管理:所有账号均存储在服务器中,以便执行命令和重置密码等。
软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件。
环境集中管理:统一客户端桌面、IE、TCP/IP 协议等设置。
增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网络,对资料进行统一管理。
更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设置。网络更可靠,宕机时间更短。
活动目录是微软提供的统一管理基础平台,ISA、Exchange、SMS 等都依赖这个平台。
活动目录数据库(AD库):将大型网络中众多对象分门别类、井然有序地放在一个大仓库中,并将检索信息整理好,以便查找、管理和使用这些对象(资源)这个拥有层次结构的数据库,就是活动目录数据库,简称AD 库。
实现域环境,其实就是要安装AD。如果内网中的一台计算机上安装了AD,它就变成了DC(用于存储活动目录数据库的计算机)。
那么AD装在哪里?
安装在域控制器上
划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而对允许哪些IP 地址访问此域、允许此域访问哪些IP 地址和网段进行设置。
这些措施,将使得网络风险最小化,当攻击发生时,可以尽可能地将威胁隔离,从而降低对域内计算机的影响。
一个虚线框表示一个安全域(也是网络的边界,一般分为DMZ 和内网),通过硬件防火墙的不同端口实现隔离。
image.png
安全域:
在一个用路由器连接的内网中,可以将网络划分为三个区域:
安全级别最高的内网;
安全级别中等的DMZ;
安全级别最低的外网(Internet)。
这三个区域负责完成不同的任务,因此需要设置不同的访问策略。
DMZ 称为隔离区,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。
DMZ 位于企业内部网络和外部网络之间。可以在DMZ 中放置一些必须公开的服务器设施,例如企业Web服务器、FTP 服务器和论坛服务器等。
DMZ 是对外提供服务的区域,因此可以从外部访问。
简答来说:DMZ就是将内网与外网进行隔离,存放一些必须公开的服务器设施,用来对外提供服务。
补充:
在配置一个拥有DMZ 的网络时,通常需要定义如下访问控制策略,以实现其屏障功能。
内网可以访问外网:内网用户需要自由地访问外网。在这一策略中,防火墙需要执行NAT。
内网可以访问DMZ:此策略使内网用户可以使用或者管理DMZ 中的服务器。
外网不能访问内网:这是防火墙的基本策略。内网中存储的是公司内部数据,显然,这些数据一般是不允许外网用户访问的(如果要访问,就要通过VPN 的方式来进行)。
外网可以访问DMZ:因为DMZ 中的服务器需要为外界提供服务,所以外网必须可以访问DMZ。同时,需要由防火墙来完成从对外地址到服务器实际地址的转换。
DMZ 不能访问内网:如果不执行此策略,当攻击者攻陷DMZ 时,内网将无法受到保护。
DMZ 不能访问外网:此策略也有例外。例如,在DMZ 中放置了邮件服务器,就要允许访问外网,否则邮件服务器无法正常工作。
在网络边界上一般会部署防火墙及入侵检测、入侵防御产品等。如果有Web 应用,还会设置WAF,从而更加有效地保护内网。
攻击者如果要进入内网,首先要突破的就是这重重防御。
内网又可以分为办公区和核心区:
办公区:公司员工日常的工作区,一般会安装防病毒软件、主机入侵检测产品等。
办公区一般能够访问DMZ。
如果运维人员也在办公区,那么部分主机也能访问核心数据区(很多大企业还会使用堡垒机来统一管理用户的登录行为)。
攻击者如果想进入内网,一般会使用鱼叉攻击、水坑攻击,当然还有社会工程学手段。办公区人员多而杂,变动也很频繁,在安全管理上可能存在诸多漏洞,是攻击者进入内网的重要途径之一。
核心区:存储企业最重要的数据、文档等信息资产,通过日志记录、安全审计等安全措施进行严密的保护,往往只有很少的主机能够访问。
从外部是绝难直接访问核心区的。
一般来说,能够直接访问核心区的只有运维人员或者IT 部门的主管,所以,攻击者会重点关注这些用户的信息(攻击者在内网中进行横向移动攻击时,会优先查找这些主机)。
补充:
"鱼叉攻击"通常是指利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马。
水坑攻击(Watering hole)是一种计算机入侵手法,其针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的。
七、域中计算机的分类
组:
组(Group)是用户账号的集合。通过向一组用户分配权限,就可以不必向每个用户分别分配权限。
例如,管理员在日常工作中,不必为单个用户账号设置独特的访问权限,只需要将用户账号放到相应的安全组中。管理员通过配置安全组访问权限,就可以为所有加入安全组的用户账号配置同样的权限。使用安全组而不是单个的用户账号,可以大大简化网络的维护和管理工作。
域本地组
多域用户访问单域资源(访问同一个域),可以从任何域添加用户账号、通用组和全局组,但只能在其所在域内指派权限。
域本地组不能嵌套在其他组中。
域本地组主要用于授予本域内资源的访问权限。
全局组
单域用户访问多域资源(必须是同一个域中的用户),只能在创建该全局组的域中添加用户和全局组。
可以在域森林的任何域内指派权限。
全局组可以嵌套在其他组中。
可以将某个全局组添加到同一个域的另一个全局组中,或者添加到其他域的通用组和域本地组中(不能添加到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。
虽然可以通过全局组授予用户访问任何域内资源的权限,但一般不直接用它来进行权限管理。
全局组和域本地组的关系,与域用户账号和本地账号的关系相似。域用户账号可以在全局使用,即在本域和其他关系的其他域中都可以使用,而本地账号只能在本机中使用。例如,将用户张三(域账号为Z3)添加到域本地组Administrators 中,并不能使Z3对非DC 的域成员计算机拥有任何特权,但若将Z3添加到全局组Domain Admins 中,用户张三就成为域管理员了(可以在全局使用,对域成员计算机拥有特权)。
简单来说:全局组可以嵌套在其他组中,执行权限操作(本域内),但是不能跨域嵌套。
通用组
通用组的成员来自域森林中任何域的用户账号、全局组和其他通用组,可以在该域森林的任何域中指派权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问中使用。
不过,通用组的成员不是保存在各自的域控制器中的,而是保存在全局编录(GC)中的,任何变化都会导致全林复制。
全局编录通常用于存储一些不经常发生变化的信息。
由于用户账号信息是经常变化的,建议不要直接将用户账号添加到通用组中,而要先将用户账号添加到全局组中,再把这些相对稳定的全局组添加到通用组中。
可以这样简单地记忆:域本地组来自全林,作用于本域;全局组来自本域,作用于全林;通用组来自全林,作用于全林。
A-G-DL-P 策略
A-G-DL-P 策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
A 表示用户账号(Account)。
G 表示全局组(Global Group)。
U 表示通用组(Universal Group)。
DL 表示域本地组(Domain Local Group)。
P 表示资源权限(Permission,许可)。
按照A-G-DL-P 策略对用户进行组织和管理是非常容易的。
在A-G-DL-P 策略形成以后,当需要给一个用户添加某个权限时,只要把这个用户添加到某个本地域组中就可以了。
内置组
在安装域控制器时,系统会自动生成一些组,称为内置组。
内置组定义了一些常用的权限。通过将用户添加到内置组中,可以使用户获得相应的权限。
Windows10安装 :Active Directory 用户和计算机
image.png
管理员组(Administrators)的成员可以不受限制地存取计算机/域的资源。它不仅是最具权力的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改Enterprise Admins、Schema Admins 和Domain Admins组的成员关系,是域森林中强大的服务管理组。
远程登录组(Remote Desktop Users)的成员具有远程登录权限。
打印机操作员组(Print Operators)的成员可以管理网络打印机,包括建立、管理及删除网络打印机,并可以在本地登录和关闭域控制器。
账号操作员组(Account Operators)的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器,但是,不能更改属于Administrators 或Domain Admins 组的账户,也不能修改这些组。在默认情况下,该组中没有成员。
服务器操作员组(Server Operators)的成员可以管理域服务器,其权限包括建立/管理/删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下,该组中没有成员。
备份操作员组(Backup Operators)的成员可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器。
在默认情况下,该组中没有成员。
再介绍几个重要的全局组、通用组的权限。
域管理员组(Domain Admins)的成员在所有加入域的服务器(工作站)、域控制器和活动目录中均默认拥有完整的管理员权限。
因为该组会被添加到自己所在域的Administrators组中,因此可以继承Administrators 组的所有权限。
同时,该组默认会被添加到每台域成员计算机的本地Administrators 组中,这样,DomainAdmins 组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员,建议将该用户添加到Domain Admins 组中,而不要直接将该用户添加到Administrators 组中。
企业系统管理员组(Enterprise Admins)是域森林根域中的一个组。
该组在域森林中的每个域内都是Administrators 组的成员,因此对所有域控制器都有完全访问权。
架构管理员组(Schema Admins)是域森林根域中的一个组,可以修改活动目录和域森林的模式。
该组是为活动目录和域控制器提供完整权限的域用户组,因此,该组成员的资格是非常重要的。
域用户组(Domain Users)中是所有的域成员。在默认情况下,任何由我们建立的用户账号都属于Domain Users 组,而任何由我们建立的计算机账号都属于Domain Computers 组。
因此,如果想让所有的账号都获得某种资源存取权限,可以将该权限指定给域用户组,或者让域用户组属于具有该权限的组。
域用户组默认是内置域Users 组的成员。
八、拓展:
AD域环境搭建1/2
AD域环境搭建2/2
AD域建设管理(一)| 安装windows server2019、AD域、AD域证书服务
AD 域服务简介(一)- 基于 LDAP 的 AD 域服务器搭建及其使用
配置AD域环境、OU、GPO
什么是鱼叉式钓鱼攻击?
《红队行动之鱼叉攻击》
水坑攻击、鱼叉式网络钓鱼……那些年你“听不懂”的安全名词
Active Directory 用户和计算机