内网基础知识

工作组

• 当成百上千计算机互相连接组成局域网，由于其都会列在“网络”内，不对计算机进行分组的话容易导致网络混乱；为了解决这一问题，产生了工作组，将不同的计算机按功能（部门）分别列入不同的工作组，方便同组的计算机互相访问。

域

• 域（Domain）：是一个有安全边界的计算机集合（安全边界意义是指在两个域中，一个域中的用户无法访问另一个域中的资源）；用户想要访问域内的资源必须以合法的身份登录域，用户对于域内的资源拥有什么样的权限取决于其所在域中的身份。
• 域控制器（Domain Controller，DC）：是域中的一台类似管理服务器的计算机，其负责所有连入的计算机和用户的验证工作，域内的计算机如果想互相访问，都要经过域控制器的审核。域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库，域内所有用来验证身份的账号和密码散列值都保存在域控制器中。

域中环境

• 单域：通常在一个地理位置固定的小地方建立一个域就可以满足需求。在一个域内，一般要有至少两台域服务器，一台作为DC，另一台作为备份DC，活动目录的数据库（包括用户的账号信息）是存储在DC中的。
• 父域和子域：出于管理及其他需求，需要在网络中划分多个域，第一个域称为父域，各分部的域称为该域的子域。
• 域树：是多个域通过建立信任关系组成的集合，一个域管理员只能管理本域，不能访问或者管理其它域。如果两个域之间需要互相访问，则需要建立信任关系，信任关系是连接不同域的桥梁。域树内的父域和子域，不但可以按照需要互相管理，还可以跨网络分配文件和打印机等设备及资源，从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。
• 域森林：是指多个域树通过建立信任关系组成的集合，通过域树之间的信任关系，可以管理和使用整个域森林中的资源，并保留被兼并域自身原有的特征。
• 域名服务器：是指用于实现域名和与之相对应的IP转换的服务器。因为域中的计算机是使用DNS来定位域控制器/服务器及其他计算机/网络服务的，所以域的名字就是DNS域的名字。在内网渗透测试中，大都是通过寻找DNS服务器来确定域控制器的位置的（DNS服务器和域控制器通常配置在同一台机子上）

活动目录

• 定义：活动目录（Active Directory，AD）是指域环境中提供目录服务的组件

• 目录用于存储有关网络对象（例如用户、组、计算机、共享资源、打印机和联系人等）的信息。

• 在活动目录中管理员不需要考虑被管理对象的地理位置，只需要按照一定的方式将这些对象放置在不同的容器中，这种不考虑被管理对象的具体地理位置的组织框架称为逻辑结构。

• 活动目录的逻辑结构包括组织单元（OU）、域、域树、域森林，域树内的所有域共享一个活动目录，这个活动目录内的数据分散存储在各个域中，且每个域只存储该域内的数据。例如，A集团（域森林）-> 子公司（域树）-> 部门（域）-> 员工。

• 活动目录主要提供以下功能：账号集中管理、软件集中管理、环境集中管理、增强安全性以及更可靠，更短的宕机时间。

域控制器和活动目录的区别

• 如果网络规模较大，就要把网络中的众多对象分门别类、井然有序地放在一个大仓库中，并将检索信息整理好，以便查找、管理和使用这些对象（资源）。这个拥有层次结构的数据库，就是活动目录数据库，简称AD库。要实现域环境，其实就是要安装AD，如果内网中的一台计算机上安装了AD，它就变成了DC（用于存储活动目录数据库的计算机）。

安全域的划分

• 划分安全域的目的是将一组安全等级相同的计算机划入同一个网段，这个网段内的计算机拥有相同的边界，并在网络边界上通过步数防火墙来实现对其它安全与的网络访问控制策略（NACL），从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。

• 在一个用路由器连接的内网中，可以将网络划分为三个区域：安全级别最高的内网；安全级别中等的DMZ；安全级别最低的外网（Internet）。

• DMZ称为隔离区，是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区，DMZ是对外提供服务的区域，因此可以从外部访问。

• 在配置一个拥有DMZ的网络时，通常需要定义如下访问控制策略，以实现其屏障功能：

        内网可以访问外网：内网用户需要自由地访问外网，这一策略中防火墙需要执行NAT
        内网可以访问DMZ：此策略使内网用户可以使用或者管理DMZ中的服务器
        外网不能访问内网：这是防火墙的基本策略
        外网可以访问DMZ：因为DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ
        DMZ不能访问内网：如果不执行此策略，当攻击者攻陷DMZ时，内网将无法受到保护
        DMZ不能访问外网：此策略也存在例外，例如在DMZ中放置了邮件服务器，就要允许访问外网，否则邮件服务器无法正常工作

• 内网可以分为办公区和核心区：办公区一般能访问DMZ，如果运维人员也在办公区的话，那么部分主机也能访问核心数据区（大部分企业还会使用堡垒机来统一管理用户的登录行为），攻击者想进入内网的话一般会使用鱼叉攻击、水坑攻击及社会工程学手段；核心区存储企业最重要的数据、文档等信息资产，通过日志记录、安全审计等安全措施进行严密的保护，往往只有很少的主机能够访问。一般来说，能够直接访问核心区的只有运维人员或者it部门主管，所以攻击者会重点关注这些用户的信息（攻击者在内网中进行横向移动攻击时会优先查找这些主机）。

域中计算机的分类

• 在域结构的网络中，有域控制器、成员服务器、客户机和独立服务器四种类型，其中域控制器是域中必须要有的。

• 域控制器用于管理所以的网络访问，包括登录服务器、访问共享目录和资源，域控制器中存储了域内所有的账户和策略信息，包括安全策略、用户身份验证信息和账户信息。

• 成员服务器是指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机，其主要任务是提供网络资源。成员服务器的类型通常有文件服务器、应用服务器、数据库服务器、web服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等。

• 域中的计算机可以是安装了其他操作系统的计算机，用户利用这些计算机和域中的账户就可以登录域，这些计算机被称为域中的客户机。

• 如果服务器既不加入域，也不按照活动目录，就称其为独立服务器，独立服务器可以创建工作组、与网络中的其他计算机共享资源，但不能使用活动目录提供的任何服务。

域内权限解读

• 组是用户账号的集合，通过向一组用户分配权限，就可以不必向每个用户分别分配权限。

• 域本地组：多域用户访问单域资源（访问同一个域），可以从任何域添加用户账号、通用组和全局组，但只能在其所在域内指派权限。域本地组主要用于授予本域内资源的访问权限。

• 全局组：单域用户访问多域资源（必须是同一个域中的用户），只能在创建该全局组德语中添加用户和全局组，可以在域森林的任何域内指派权限。

• 通用组：通用组的成员来自域森林中任何域的用户帐号、全局组和其他通用组，可以在该域森林的任何域中指派权限，非常适合在域森林内的跨域访问中使用。

• 简单地来说，域本地组来自全林作用于本域，全局组来自本域作用于全林，通用组来自全林作用于全林。

• A-G-DL-P策略：是指将用户账号添加到全局组中，将全局组添加到域本地组中，然后域本地组分配资源权限，其中：

        A表示用户账号：Account
        G表示全局组：Group
        DL表示域本地组：Domain Local Group
        U表示通用组：Universal Group
        P表示资源权限：Permission

• 在安装域控制器时，系统会自动生成一些组，称为内置组。内置组中定义了一些常用的权限，通过将用户添加到内置组中，可以使用户获得相应的权限。

比较重要的域本地组权限

• 管理员组（Administrators）的成员可以不受限制地存取计算机/域的资源
• 远程登录组（Remote Desktop Users）的成员具有远程登录权限
• 打印机操作员组（Print Operators）的成员可以管理网络打印机，包括建立、管理及删除网络打印机，并可以在本地登录和关闭域控制器
• 账号操作员组（Account Operators）的成员可以创建和管理该域中的用户和组并为其设置权限，也可以在本地登录域控制器
• 服务器操作员组（Server Operators）的成员可以管理域服务器，其权限包括建立/管理/删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等
• 备份操作员组（Backup Operators）的成员可以在域控制器中执行备份和还原操作，并可以在本地登录和关闭域控制器
• 域管理员组（Domain Admins）的成员在所有加入域的服务器（工作站）、域控制器和活动目录中均默认拥有完整的管理员权限
• 企业系统管理员组（Enterprise Admins）是域森林根域中的一个组，因此对所有域控制器都有完全访问权
• 架构管理员组（Schema Admins）是域森林根域中的一个组，改组是为活动目录和域控制器提供完整权限的域用户组
• 域用户组（Domain Users）中是所有的域成员，域用户组默认是内置域Users的成员，如果想让所有的账号都获得某种资源存取权限，可以将该权限指定给域用户组或者让与用户组属于具有该权限的组