内网基础知识
内网概述 工作组 域 活动目录(AD) DC和AD区别 安全域划分 域中计算机分类 域中权限解读
攻击主机环境构建及常用工具
虚拟机的安装 KAli linux渗透测试环境搭建及常用工具 Windows渗透测试环境搭建及常用工具
内网环境构建
域环境搭建 其他服务器环境搭建
内网概述
内网指局域网(Local Area Network, LAN)是指某一区域内由多台计算机互联成的计算机组。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。
内网是封闭型的。可由办公室内两台计算机组成,亦可以是上千台计算机组成,如银行、学校、企业工厂、政府机关、网吧、单位办公网等。
内网构成
工作组:
工作组(Work Group),在一个大的单位内,将不同的电脑按功能或部门分别列入不同的工作组中,如技术部电脑列入技术部工作组中,便形成了“工作组”这个概念。
加入创建工作组:右击“计算机”,选择“属性”,点击“更改设置”,“更改”,找到“工作组”更改工作组名称。若输入的工作组名称没有,相当于新建一个工作组,只需要重新启动便能看到所加入的工作组成员。
域:
域(Domain)是一个有安全边界的计算机集合(安全边界就说指一个域中的用户无法访问另一个域中的资源),拥有更严格的安全管理控制机制,若想访问域内资源,必须拥有合法身份登录到该域中,想拥有什么样的权限,取决于在域中的什么身份。
域控制器(Domain Controller,简写DC)是一个域中的域管理服务器计算机,负责每一台联入的电脑和用户验证工作,域内互相访问必须经过域控制器的审核。
域的分类:
单域 【小公司内】 父域、子域 【大公司内】 域树(tree) 域森林(forest) DNS域名服务器
单域
在一般小公司内,一个域便满足需求。一般在一个域内要建立至少两个域服务器,一个作为DC,一个是备份DC,一旦DC瘫痪,域中其他用户便不能登录该域,于是需要通过备份DC来恢复。
父域、子域
出于管理及其他一些要求,需要在网络中划分多个域,第一个域称为父域,各分部的域称为该域的子域。
如果把不同地理位置的分公司放于同一个域内,那么他们之间信息交互(包括同步,复制等)所花费的时间会比较长,而且战用的带宽会比较大。(因为在同一个域内,信息交互的条目是很多的,而且不压缩;而在域和域之间,信息交互的条目相对较少,而且压缩。)
另一种情况,由于安全策略,每个域都有独有的安全策略,比如一个公司的财务部门希望使用特定的安全策略(包括账号密码策略等),那么可以将财务部门做成一个子域来单独管理。
域树
域树指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部,不能访问或者管理其他的域,二个域之间互相访问则需要建立信任关系。
信任关系是连接在域之间的桥梁。域树内的父域与子域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同域之间实现网络资源共享与管理、相互通信和数据传输。
在一个域树中,父域可以包含很多子域,子域相对父域来说指域名中每一个段。子域只能使用父域作为域名的后缀,也就是说一个域树中,域名是连续的。
域森林
域森林指若干个域树通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源,从而又保持额原有域自身原有的特性。
DNS域名服务器(Domain Name Server)
DNS域名服务器是进行域名与IP地址转换的服务器。
在域树的介绍中,可以看到域树中的域的名字和DNS域的名字非常相似,实际上域的名字就是DNS域的名字, 因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。一般情况下,内网渗透通过寻找DNS服务器来定位域控制器,因为通常DNS服务器和域控制器会处于同一台机器上。
活动目录
活动目录(Active Directory)是域环境中提供目录服务的组件。存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务。
如果将企业内网称为字典,那么内网中资源就是字典内容,活动目录就相当于字典的索引,即活动目录存储的是网络中所有资源的快捷方式,用户通过寻找快捷方式而定位资源。
逻辑结构
在活动目录中,管理员可以完全忽略被管理对象的具体地理位置,而将这些对象按照一定的方式放置在不同容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置,这种组织框架称为“逻辑结构”。
活动目录的逻辑结构就包括上面讲到的组织单元(OU)、域(domain)、域树(tree)、域森林(forest)。在域树内的所有域共享一个活动目录,这个活动目录内的数据分散地存储在各个域内,且每一个域只存储该域内的数据。
活动目录主要功能:
账号集中管理,所有账号均存在服务器上,方便对账号的重名令重置密码 软件集中管理,同一推送软件,同一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装软件。 环境集中管理,利用AD可以同一客户端桌面,IE,TCPIP等设置 增强安全性,统一部署杀毒软件和扫毒任务,集中化管理用户的计算机权限、统一制定用户密码策略等,可监控网络,资料统一管理。 更可靠,更少的宕机时间。如:利用AD控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设定,更可靠,宕机时间更少。 活动目录为Microsoft统一管理的基础平台,其他isa,exchange,sms等服务都依赖于这个基础平台。
AD和DC的区别
如果网络规模较大,我们就会考虑把网络中的众多对象:计算机、用户、用户组、打印机、共享文件等,分门别类、尽然有序的放于大仓库中,并做好检索信息,以利于查找、管理和使用这些对象(资源)。这个有层次结构地数据库,就说活动目录数据库,简称AD库。
我们把存放所有活动目录数据库地计算机称为DC,当要实现域环境(安装AD),内网一台计算机安装了AD后,它就变成了DC。
安全域划分
安全域划分地目的是将一组安全等级相同地计算机划入同一个网段内,这一网段内地计算机拥有相同的网络边界,在网络边界上采用防火墙部署来实现对其他安全与的NACL(网络访问控制策略),允许那些IP访问此域、不允许那些访问此域;允许此域访问那些IP网端、不允许访问哪些IP网段。使得其风险最小化,当发生攻击时可以将威胁最大化的隔离,减少对域内计算机的影响。
DMZ
dmz称为“隔离区”,也称“非军事化区”。是为了解决安装防火墙后外部网络不能访问内部网络服务器得问题,而设立的一个非安全系统与安全系统之间的缓冲区。
这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面通过DMZ区域,更加有效保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说多了一道关卡。
功能: 内网可以访问外网 内网可以访问DMZ 外网不能访问内网 外网可以访问DMZ DMZ不能访问内网 DMZ不能访问外网
域中计算机分类
域控制器是存放活动目录数据库的,域中必须要有,而其他三种则不是必须的,最简单的域可以包含一台计算机,这台计算机就说该域的域控制器。
域中各个服务器角色可以改变,如域服务器在删除活动目录时,如果域中最后一个域控制器,则该域服务器会称为独立服务器,如不是域中唯一域控制器,则将该服务器成为成员服务器。同时独立服务器既可以转换为域控制器,也可以加入到某个域成为成员服务器。
域控制器 成员服务器 客户机 独立服务器
内权限解读
域本地组,多域用户访问单域资源(访问同一个域)。可以从任何域添加用户账户、通用组和全局组,只能在其所在域内指派权限。域本地组不能嵌套于其他组中,它主要使用于授予位于本地资源的访问权限。
全局组,单域用户访问多域资源(必须是同一个域里里面的用户)。只能在创建该全局组的域上进行添加用户和全局组,可以在域林中的任何域中指派权限,全局组可以嵌套在其他组中。
通用组,通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组,可以在该域林中的任何域中指派权限,可以嵌套于其他域组中。非常适于域林中的跨域访问。
域本地组:来自全林用于本域 全局组:来自本域作用用于全林 通用组:来自全林用于全林
A-G-DL-P策略
A(account),表示用户账号 G(Global group),表示全局组 U(Universal group),表示通用组 DL(Domain local group),表示域本地组 P(Permission许可),表示资源权限
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理器来更容易。
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。
本地域组的权限
Administrators(管理员组) Remote Desktop Users(远程登陆组) Print Operator(打印机操作员组) Account Operators(账号操作员组) Server Operaters(服务器操作员组) Backup Operators(备份操作员组)
全局组、通用组的权限
Domain Admins(域管理员组) Enterprise Admins(企业系统管理员组) Schema Admins(架构管理员组) Domain Users(域用户组)
841
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
