内网渗透之基础知识及环境搭建
内网渗透之基础知识
-
- 一、工作组和域
- 二、搭建内网环境
内网也指局域网( Local Area Network , LAN ),是指在某一区域内由多台计算机互连而成的计算机组。
一、工作组和域
1、工作组
工作组是最常见最简单最普通的资源管理模式,就是把不同的电脑按功能分类i,把同一功能或者是做相同工作的计算机分配到同一个工作组里,以方便进行管理。
加入方法:右键 “计算机” ,点击属性, 更改设置,计算机名可改为自己喜欢的名字,在 工作组 输入想加入的工作组的名称。
若输入的工作组的名字不存在,则默认新建一个工作组。
2、域
定义:域(Domain)是一个有安全边界的计算机集合(安全边界意思是在两个域中,一个域中的用户无法访问另一个域中的资源),可以简单的把域理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。
3、域控制器
域控制器(Domain Controller,简写为DC)是一个域中的一台类似管理服务器的计算机,相当于一个单位的门卫一样,它负责每一台联入的电脑和用户的验证工作,域内电脑如果想互相访问首先都是经过它的审核。
说白了就是一个域内的管理员。
加入域: 右键 计算机 –> 属性 –> 高级设置 –> 加入域。
4、单域
通常,一个小公司建立一个域就可以了。
在一个域中,通常有两台域服务器,一台为 DC ,另一台为 备份 DC。
活动目录的数据库(包括用户账号信息)是存储在 DC 的,一旦 DC 瘫痪了,还有备份 DC 顶着。
5、父域和子域
由于管理及其他需求,需要在网络中划分多个域。
总公司设置为父域,其他分公司设置为子域。
作用: 减少信息交互花费时间,减小花费宽带(同一域内信息交互条目众多且不会压缩),安全,单独管理。
6、域树
域树 (Tree)是多个域通过建立信任关系组成的集合。
一个域管理员只能管理本域,不能访问或者管理其他域。如果两个域需要相互访问,则需要建立信任关系 (Trust Relation)
好处:在不同的域之间实现网络资源的共享与管理、通信及数据传输。
6、域森林
域森林 (Forest)是指多个域树建立信任关系组成的集合。
如 A.com 公司收购了 B.com 公司,但是想让 B 公司保留原有的域,这时候就可以是 A 和 B 的域树建立信任关系构成域森林。
7、域名服务器
域名服务器(Domain Name Server , DNS)是指用于实现域名和与之对应的IP地址转换的服务器。
DNS是域名解析服务器,用来把域名解析为ip地址。
DNS 和 DC 通常在同一台服务器上。
8、活动目录
活动目录(Active Directory , AD)是指域环境中提供目录服务器的组件。
用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机、联系人等)的信息。
好处:集中管理
活动目录的逻辑结构包括:组织单元( OU ) 、域、域树、域森林。
9、域控制器和活动目录的区别
要实现域环境,首先要安装AD(活动目录)。如果内网中一台计算机安装了AD(活动目录),那么它就变成了DC(域控制器)(用于存储活动目录数据库的计算机)。
在域中,只需建立一个域账号,就可以在域中任何一台计算机上登录。
10、安全域的划分
划分安全域是将安全等级相同的计算机划分到同一网段。这个网段的计算机有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而对允许哪些ip地址访问此域、允许此域访问哪些· IP 地址和网段进行设置。使得其风险最小化,当发生攻击时可以将威胁最大化的隔离,减少对域内计算机的影响
在用一个路由器连接的内网中,可以将网络划分为三个区域: 安全级别最高的内网;安全级别中等的DMZ(隔离区,是外网与内网之间的缓冲区);安全级别最低的外网。
11、DMZ:隔离区
DMZ 称为“隔离区”,也称“非军事化区”。是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等.
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
DMZ 的屏障功能:
(1)内网可以访问外网
内网的用户需要自由地访问外网。在这一策略中,防火墙需要执行NAT。
(2)内网可以访问DMZ
此策略使内网用户可以使用或者管理DMZ中的服务器。
(3)外网不能访问内网
这是防火墙的基本策略了,内网中存放的是公司内部数据,显然这些数据是不允许外网的用户进行访问的。如果要访问,就要通过VPN方式来进行。
(4)外网可以访问DMZ
DMZ中的服务器需要为外界提供服务,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
(5)DMZ不能访问内网
如不执行此策略,则当入侵者攻陷DMZ时,内部网络将不会受保护。
(6)DMZ不能访问外网
此条策略也有例外,比如我们的例子中,在DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
内网又分为核心区和办公区
办公区: 公司员工的工作区,会安装防病毒软件、主机入侵检测设备。
堡垒机:也叫做运维安全审计系统,它的核心功能是 4A:身份验证 Authentication、账号管理 Account、授权控制 Authorization、安全审计 Audit 。
简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)。
核心区: 存储企业最重要的数据、文档等信息资产,往往只有少数主机可以访问。 运维、IT主管。
12、域中计算机的分类
- 域控制器(CD)
- 成员服务器
- 客户机
- 独立服务器
域控制器(CD)用来存放活动目录(AD)数据库,是域中必有的,其他三种可以没有,也就是,最简单的域可以是只有一个域控制器(那么也就是只有一台计算机的单域)。
13、域内权限解读
组
组(Group)是用户帐号的集合。通过向一组用户分配权限从而不必向每个用户分配权限,管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限,而是将用户帐号加入到相对应的安全组中。
管理员通过给相对的安全组访问权限就可以了。这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号。
可以方便、简化网络的维护和管理工作。
域本地组
域本地组,多域用户访问单域资源(访问同一个域)。可以从任何域添加用户账户、通用组和全局组,只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
全局组
全局组,单域用户访问多域资源(必须是同一个域里面的用户)。只能在创建该全局组的域上进行添加用户和全局组,可以在域林中的任何域中指派权限,全局组可以嵌套在其他组中。
通用组
通用组,通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组,可以在该域林中的任何域中指派权限,可以嵌套于其他域组中。非常适于域林中的跨域访问。
域本地组来自于全林,作用于本域;全局组来自于本域,作用域全林;通用组来自于全林,作用域全林。
A-G-DL-P策略
- A(account),表示用户账号
- G(Global group),表示全局组
- U(Universal group),表示通用组
- DL(Domain local group),表示域本地组
- P(Permission 许可),表示资源权限。
- A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。
- 在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。
本地域组的权限
- Administrators(管理员组)
- Remote Desktop Users(远程登录组)
- Print Operators(打印机操作员组)
- Account Operators(帐号操作员组)
- Server Operaters(服务器操作员组)
- Backup Operators(备份操作员组)
全局组、通用组的权限
- Domain Admins(域管理员组)
- Enterprise Admins(企业系统管理员组)
- Schema Admins(架构管理员组)
- Domain Users(域用户组)
二、搭建内网环境
就不一一写步骤了。
下面直接给出别人写的搭建过程吧
https://www.cnblogs.com/chenjiangfeng/p/9706483.html
https://www.cnblogs.com/zhugq02/p/11528277.html