内网学习笔记(1)
0x01 工作组
01 概念和特点
工作组(Work Group)是局域网中的一个概念。它是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。【百度百科】
优点:
计算机通过工作组进行分类,使得我们访问资源更加具有层次化。工作组情况下资源可以相当随机和灵活的分布,更方便资源共享,管理员只需要实施相当低级的维护。工没有集中管理概念,工作组所有计算机都是对等的,没有服务器和客户机概念。
缺点:
缺乏集中管理与控制的机制,没有集中的统一帐户管理,没有对资源实施更加高效率的集中管理,没有实施工作站的有效配置和安全性严密控制。只适合小规模用户的使用。
02 windows 10工作组配置
点击此电脑-属性-高级系统设置-系统属性-点击更改
0x02 域
01 域(Domain)
是一个有安全边界的计算机集合(安全边界的意思是,在两个域中一个域的用户无法访问另一个域的资源)。可以简单的把域理解为全面的工作组。域的安全管理控制机制更加严格,用户想要访问域内的资源,必须以合法的身份登录域,用户在域中所拥有的权限还取决与用户在域内的身份。
02 域控制器(Domain Controller)
DC是域中的一台类似管理服务器的计算机,可以形象的理解为一个单位的门禁系统。
DC是域中的一台类似管理服务器的计算机,可以形象的理解为一个单位的门禁系统。域控制器负责所有接入计算机和用户的验证工作。域内的计算机相互访问都要经过域控制器的审核。一般来说,域中的域控制器有两个,另一个做备用。
域控制器存储着这个域中所有计算机的验证信息。当计算机接入域时都要验证计算机账号密码是否正确,如果不正确就会拒绝计算机接入域中。
域控制器是整个域的通信枢纽,所有的权限身份验证都在域控制器上进行,也就是说,域内所有用来验证身份的账号密码散列值都保存在域控制器中。
正是因为域控起到了一个身份验证的作用,因此站在渗透的角度来说,拿下域控是至关重要的。拿下了域控,就相当于拿到了整个域内所有计算机的账号和密码。
而要想实现域环境,就必须要计算机中安装活动目录,也可以说如果在内网中的一台计算机上安装了活动目录,那它就变成了域控制器。在域中除了域控制器还有成员服务器、客户机、独立服务器。
03 单域、父域和子域、域树、域森林
单域就是一个域
父域和子域在网络中划分多个域,第一域称为父域,各分部的域称为该域的子域,每个域都可以有自己的安全策略。父域与子域之间相互信任。父域如:primary.com,子域:child.primary.com。和网站的域名类似。子域只能使用父域的域名作为后缀。
域树:多个域建立信任关系的集合。一个域控制器只能控制本域,不能访问或管理其他域,两个域之间相互访问需要建立信任关系
域森林是指多个域树通过建立信任关系组成的集合。通过域树之间的信任关系,可以管理和使用整个域森林中的资源。
04 活动目录
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件,包含了用户、用户组、计算机、域、组织单位(OU)以及安全策略等对象信息
活动目录存储的是网络中所有资源的快捷方式,用户可以通过寻找快捷方式来定位资源。
活动目录主要提供以下功能
- 账号集中管理:所有账号均存储在服务器中,以便执行命令和重置密码等
- 软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件
- 环境集中管理:统一客户端桌面、IE、TCP/IP协议等设置
- 增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一定制用户的密码策略等。可以监控网络,对资料进行统一管理
- 更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限,利用群集、负载均衡等技术对文件服务进行容灾设置。网络更可靠,宕机时间更短
活动目录是微软提供的统一管理基础平台,ISA、Exchange、SMS等都依赖这个平台
05 域控制器和活动目录的区别
如果网络规模较大,就要把网络中的众多对象,例如计算机、用户、用户组、打印机、共享文件等,分门别类、井然有序地放在一个大仓库中,并将检索信息整理好,以便查找、管理和使用这些对象(资源)。这个拥有层次结构的数据库,就是活动目录数据库,简称AD库。
要实现域环境,其实就是要安装AD。如果内网中的一台计算机上安装了AD,它就变成了DC
06 DMZ
DMZ (demilitarized zone) ,中文名为“隔离区”,或称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,从而设立的一个非安全系统与安全系统之间的缓冲区。
DMZ 区可以理解为一个不同于外网或内网的特殊网络区域,DMZ 内通常放置一些不含机密信息的公用服务器,比如 WEB 服务器、E-Mail 服务器、FTP 服务器等。这样来自外网的访问者只可以访问 DMZ 中的服务,但不可能接触到存放在内网中的信息等,即使 DMZ 中服务器受到破坏,也不会对内网中的信息造成影响。
07 安全域的划分
参考【内网安全攻防:渗透测试实战指南】
划分安全域的目的是将一组安全等级相同的计算机划入同一网段。这些网段内的计算机拥有相同的网络边界,并在网络安全边界部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而控制主机流量的走向,哪里可以访问,哪里不可以访问。这些措施使网络风险最小化,当存在攻击时,将威胁隔离,从而降低对域内计算机的影响。
安全域是基于网络和系统进行安全检查和评估的基础,安全域的划分割是企业网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点,同时安全域也是基于网络和系统进行安全建设的部署依据。
上面为中小型企业的安全域划分,通过硬件防火墙的不同端口实现隔离。
企业网络按照安全等级划分为三种:安全的级别最低的外网、安全级别中等的DMZ、安全级别最高的内网
在配置一个拥有DMZ网络时,通常需要配置以下访问控制策略,实现屏障作用。
- 内网可以访问外网:内网用户自由的访问外网,这一策略,防火墙需要执行NAT地址转换协议,私有地址和全局地址之间的转换,内网IP映射到出口IP某个端口。
- 内网可以访问DMZ区域:此策略可以使内网用户使用或者管理DMZ中的服务器。
- 外网不能访问内网:这是防火墙的基本策略,内网数据敏感,外网不能随意访问,挂VPN
- 外网可以访问DMZ:DMZ中存在对外界开放的服务。
- DMZ不能访问内网:为了保护内网区域。
- DMZ不能访问外网:邮件服务器例外。
- 办公区:办公区主机是攻击者进入内网的主要途径,但是安全设备比较多。
- 核心区:存储企业最重要的数据、文档等信息资产。很少有主机可以访问。一般能访问的核心区域的只有运维人员和IT部门主管,攻击者会重点关注这些用户信息。
08域中计算机的分类
域中计算机分为四种类型:域控制器、成员服务器、域中客户机、独立服务器
域中的角色是可以改变的,例如:独立服务器可以成为域控制器,也可以加入某个域成为成员服务器
域控制器:
域控制器类似于网络“看门人”用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器存储了所有的域范围内的账户和策略信息,包括安全策略、ghost xp用户身份验证信息和账户信息。在网络中,可以有多台计算机配置为域控制器,以分担用户的登录和访问。多个域控制器可以一起工作,自动备份用户账户和活动目录数据,即使部分域控制器发生瘫痪,网络访问仍然不受影响,提高了网络安全性和稳定性。
成员服务器:
成员服务器是指安装了 Windows Server 2008操作系统,并加人了域的计算机。这些服务器提供网络资源,也被称为现有域中的附加域控制器。成员服务器通常具有以下类型服务器的功能:文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙、远程访问服务器、打印服务器等。
独立服务器:
独立服务器和域没有什么关系,如果服务器不加人到域中也不安装活动目录,就称为独立服务器。独立服务器可以创建工作组,和网络上的其他计算机共享资源,但不能获得活动目录提供的任何服务。
域中客户机:
域中的计算机可以是安装了其他操作系统的计算机,用户利用这些计算机和域中的账户就可以登录域。这些计算机被称为域中客户机。域用户账号通过域的安全验证后,即可访问网络中的各种资源。
09 域中权限
组(Group)是用户账号的集合。通过向一组账号用户分配权限,就可以不必向每个用户分别分配权限。域中相关内置组的权限包括:域本地组、全局组、通用组
域本地组来自于全林,作用于本域;全局组来自于本域,作用于全林;通用组来自全林,作用于全林。
域本地组:
可以从任何域添加用户账户、通用组和全局组,但只能在其所在的域内指派权限,域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。只能在本域的域控制器DC上使用。
全局组:
单域用户访问多域资源(必须是同一个域中的用户),只能在创建改全局组的域中添加用户和全局组。可以在域森林中的任何域内指派权限。全局组可以嵌套在其他组中。全局组:可以全局使用,可在本域和有信任关系的其它域中使用,体现的是全局性。和全局变量一样
通用组:
组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。通用组的成员来自域森林中的任何域的用户账号、全局组合其他通用组,可以在改域森林的任意域中指派权限,可以嵌套在其他组中,适合在域森林中跨域访问。通用组成员保存在GC中,任何变化都会导致全林复制。因此全局目通常存储一些不经常变化的信息。
A-G-DL-P策略
A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
- A表示用户账号(Account);
- G表示全局组(Global Group);
- U表示通用组(Universal Group);
- DL表示域本地组(Domain Local Group);
-P表示资源权限(Permission,许可);
在此策略形成后,当需要给一个用户添加某个权限时。只需要把这个用户添加到某个本地域组中就可以了
比较重要的域本地组权限:
管理员组( Administrator)
远程登录组 (Remote Desktop Users)
域管理员组( Domain Admins)
域用户组( Domain Usrs)