【内网安全】基础知识：工作组、域和权限分配

参考文章

• 关于网络安全域隔离问题的研究与思考
• 【网络安全】域
• 活动目录(Active Directory) 介绍
• DMZ区的理解
• tag：标签
• Ref：内链

本片文章仅供学习使用，切勿触犯法律！
未写完，待补充

---

概述

---

总结

• 工作组：无安全边界的计算机集合
• 域：有安全边界的计算机集合
• 活动目录：在域环境中提供目录服务的组件
• 域管理器：域中的一台类似管理服务系统

---

一、工作组

1、什么是工作组

工作组(Work Group)是局域网中的一个概念，它通过最常见的资源管理模式实现网络资源共享。

默认情况下，计算机都是采用工作组方式进行资源管理，将不同的电脑按功能分别列入不同的组中，以方便管理（默认所有的计算机都属于WORKGROUP工作组中，默认共享的是User目录）。

2、如何访问工作组

文件–>网络，这里就可以看到和你同除一个工作中的其他班计算机，如果你要访问其中的谋台计算机，直接点击它，然后输入该主机的用户名和密码即可访问共享的目录。

3、工作组的优缺点

1.优点：

工作组使我们访问的资源结构化更强。工作组情况下资源可以一定随机和灵活的分布，更方便资源共享，管理员只需要实施简单的维护。

2.缺点：

缺乏集中管理与控制的机制，没有集中的统一帐户管理，没有对资源实施更加高效率的集中管理，没有实施工作站的有效配置和安全性严密控制。只适合小规模用户的使用。

4、加入工作组

略

二、域

1、什么是域？

域（Domain）是一个有安全边界的计算机集合（安全边界的意思是，在两个域中，一个域中的用户无法访问另一个域中的资源）。与工作组相比，域的安全管理控制机制更加严格。

域控制器（Domain Controller ,DC）是域中的一台类似管理服务系统。域控制器负责所有人连入的计算机和用户的验证工作。域内的计算机如果想相互访问，都要经过域控制器的审核。

域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到这个域时，域控制器首先要鉴别这台计算机是否属于这个域，以及用户使用的登录账号是否存在，密码是否正确。

单域
在一个域内，一般至少需要两台域服务器，一台作为DC，另一台作为备份DC。

父域和子域
有时候会在网络中划分多个域。第一个域称为父域，各分部的域称为该域的子域。在同一个域中，信息交互的条目是很多的，而且不会压缩；在不同的域之间，信息交互的条目相对较少，而且可以压缩。

子域只能使用父域的名字作为其域名的后缀。

每一个域都可以设置自己的安全策略。

域树
域树（tree）是多个域通过建立信任关系组合的集合。
信任关系是连接不同域的桥梁。域树内的父域与子域，不但可以按照需要相互管理，还可以跨网络分配文件和打印机等设备及资源，从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。

域森林
域森岭（Forest）是指多个域树通过建立信任关系组成的集合。
通过域树之间的信任关系，可以管理和使用整个域森林的资源，并保留被兼并的域树自身原有的特性。

域名服务器
域名服务器（Domain Name Server，DNS）是指用于实现域名（Domain Name）和与之相对应得IP地址转换的服务器。

域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的，所以域的名字就是DNS域的名字。

在内网渗透中，通过寻找DNS服务器来确定域控制器的位置。（DNS服务器和域控制器通常配置在同一台机器上）

三、活动目录

活动目录（Action Directory，AD）是指域环境中提供目录服务的组件。
目录用于存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务可以帮助用户快速、准确地从目录中找到其所需的信息的服务。

活动目录的逻辑结构包括前面的组织单元、域、域树、域森林。域树内所有域共享一个活动目录，这个活动目录内的数据分散存储在各个域中。且每个域只存储域内的数据。

活动目录提供主要提供以下功能：

1. 账号集中管理
2. 软件集中管理
3. 环境集中管理
4. 增强安全性
5. 更可靠，更短的宕机时间

四、安全域

划分安全域的目的
将一组安全级别相同的计算机划入同一个网段即划分安全域。这个网段内的计算机拥有相同的网络边界，并在网络边界上通过部署防火墙实现对其他安全域的网络访问控制策略（NACL），从而允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。

可以将网络划分为三个区域：安全级别最高的内网；安全级别中等的DMZ；安全级别最低的外网。通过硬件防火墙的不同端口实现隔离。

DMZ
也可以称为隔离区，是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。
配置一个拥有DMZ的网络，通常需要定义如下访问控制策略：

1. 内网可以访问外网
2. 内网可以访问DMZ
3. 外网不能访问内网：这是防火墙的基本策略。
4. 外网可以访问DMZ：DMZ中的服务器需要为外界提供服务，所以需要外网访问DMZ。
5. DMZ不能访问内网
6. DMZ不能访问外网

内网划分
内网可以划分为办公区和核心区。

• 办公区：公司员工日常工作的网络，一般会安装防病毒软件、主机入侵检测产品等。办公区能够访问DMZ。
• 核心区：存储企业最重要的数据、文档等信息资产，通过日志记录、安全审计等安全措施进行严密的保护，往往只有很少的主机可以访问。

五、域内权限

组
组是用户账号的集合。通过向一组用户分配权限，就可以不必向每个用户分别分派权限。

域本地组
主要用于授予本域内资源的访问权限。域本地组不能镶嵌在其他组中。

全局组
单域用户访问多域资源（必须是用一个域中的用户），只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。

通用组
通用组的成员来自域森林中任何域的用户账号、全局组和其他通用组，可以在该域森林的任何域中指派权限，可以嵌套在其他组中，适合在域森林内的跨域访问中使用。

简单记忆：域本地组来自全林，作用于本域；全局组来自本域，作用于全林；通用组来自全林，作用于全林。