Chosen1|安全

内网之域

定义

内网也叫做局域网是指在某一区域内由多台计算机互联成的计算机组。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。
内网是封闭型的,它可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。例如银行、学校、政府机关、网吧、等都属于此类。

工作组

在一个大的单位内,可能有成千上百台电脑互相连接组成局域网,它们都会列在“网络(网上邻居)”内,如果这些电脑不分组,那么管理这些电脑就很困难。为了解决这一问题,就有了“工作组”这个概念,将不同的电脑(部门)分别列入不同的工作组中,如技术部的电脑都列入“技术部”的工作组中,行政部的电脑都列入“行政部”工作组中。如果需要访问某个部门的资源,就在“网络”里找到那个部门的工作组,然后双击就能看到该工作组中的所有电脑了,这样就会方便很多。
右击桌面上的“计算机”,在弹出的菜单中选择“属性”,再点击“更改设置”,“更改”,在“计算机名”一栏中键入你想好的名称,在“工作组”一栏中键入你想加入的工作组名称。

如果你输入的工作组名称网络中不存在,那么相当于新建了一个工作组,当然暂时只有你的电脑在此组内。单机“确定”按钮后,windows提示需要重新启动,重新启动后,再进入“网络”就可以看到你所加入的工作组成员了。
只要将工作组名称改动即可,不过再网上别人照样可以访问你的共享资源。你也可以随便加入同一网络上的任何其他工作组。“工作组”就像一个可以自由进入和退出的“社团”,方便同一组的计算机相互访问。
对局域网中的计算机进行分类,使得网络更有序。计算机的管理依然是各自为政,所有计算机依然是对等的,松散会员制,可以随意加入和退出,且不同工作组之间的共享资源可以相互访问。
image-20231113100607795

域(Domain)是一个有安全边界的计算机集合(安全边界是指在某个域中某个用户不能访问另一个域中的资源),可以简单的把域理解成一个升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,那么必须拥有一个合法的身份登录到该域中,而你对该域的资源拥有什么样的权限,还需取决于你在该域中的用户身份。

优点:通过组策略来统一管理
域控制器(Domain Controller,简写为DC)是一个域中的一台类似管理服务器的计算机,相当于一个单位的门卫,它负责每一台联入的电脑和用户的验证工作,域内电脑如果想互相访问首先是经过它审核。
域的分类
单域、子域、父域、域树、域森林、DNS域名服务器
单域
即只有一个域的网络环境,一般需要两台DC,一台DC,另一台备用DC(容灾)
父子域
类比公司总部和公司分部的关系,总部的域称为父域,各分部的域称为该域的子域。

使用父子域的好处:
减小了域之间信息交互的压力(域内信息交互不会压缩,域间信息交互可压缩)
不同的子域可以指定特定的安全策略

父子域中域名使用一个.表示一个层次,类似于DNS域名表示方式,子域只能使用父域的名字作为域名后缀
域树
多个域通过建立信任关系组成的集合。若两个域之间需要相互访问,需要建立信任关系(Trust Relation),通过信任关系可以将父子域连接成树状结构

信任关系(Trust Relation)是连接在域与域之间的桥梁,域树内的父域与子域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输
域森林
多个域树通过建立信任关系组成的集合。可以通过域树间建立的信任关系来管理和使用整个森林中的资源,从而保持了原有的域自身原有的特性。
域名服务器
实现域名到IP地址的转换。由于域中计算机使用DNS来定位DC、服务器和其他计算机的,所以域的名字就是DNS域的名字。

内网渗透中,大都是通过寻找DNS服务器来确定域控制器位置(因为DNS服务器和域控制器通常配置在一台机器上)
域和工作组的注意事项
1、域和工作组是两个不同的帐户,工作组帐户存在于本机,域用户存在于DC上。
2、要用工作组就登陆本机,要用域就登陆域。
3、由于原来的域用户名还存在于DC上,并没有删除,重新加入域后可以继续使用。
4、工作组要使用的话,请注销域,登陆本机。
活动目录
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件,用于存储有关网络对象(用户、组、计算机、共享资源、联系人)的信息。基于活动目录有目录服务,用于帮助用户从活动目录中快速找到所需的消息。活动目录使得企业可以对网络环境进行集中管理。(可类比为内网中的索引,里面存储有内网里所有资源的快捷方式)


活动目录的逻辑结构包含组织单元、域、域树、域森林。域树内的所有域共享一个活动目录,因此非常适合进行统一管理。


活动目录的功能:
账号集中管理   所有账号均储存在服务器上,方便对账号的重命名/重置密码。
软件集中管理   统一推送软件,统一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装软件。
增强安全性   统一部署杀毒软件和扫毒任务,集中化管理用户的计算机权限、统一制订用户密码策略等,可监控网络,资料统一管理。
环境集中管理   利用AD可以统一客户端桌面,IE,TCP/IP等设置。
更可靠、更短的宕机时间   如利用AD控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设定,更可靠,宕机时间更少。
活动目录为Microsoft统一管理的基础平台,其它isa,exchange,sms等服务都依赖于这个基础平台。


域和活动目录的区别:
要实现域环境,其实就是要安装AD。一台计算机安装了AD之后就变成了DC。
逻辑结构
在活动目录中,管理员可以完全忽略被管理对象的具体地理位置,而将这些对象按照一定的方式放置在不同的容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置,这种组织框架称为“逻辑结构”。

活动目录的逻辑结构就包括上面讲到的组织单元、域、域树、域森林。在域树内的所有域共享一个活动目录,这个活动目录内的数据分散地存储在各个域内,且每一个域之存储该域内的数据。
域和活动目录的区别
要实现域环境,其实就是要安装AD。一台计算机安装了AD之后就变成了DC。

安全域划分

安全域划分的目的是将一组安全等级相同的计算机划入同一个网段内,这一网段内的计算机拥有相同的网络边界,在网络边界上采用防火墙部署来实现对其他安全域的NACL(网络访问控制策略),允许那些IP访问此域、不允许那些访问此域;允许此域范围哪些IP/网段、不允许访问那些IP/网段。使得其风险最小化,当发生攻击时可以将威胁最大化的隔离,减少对域内计算机的影响。
安全域划分

1.内网(安全级别最高):分为核心区(存储企业最重要的数据,只有很少的主机能够访问)和办公区(员工日常工作区,一般能够访问DMZ,部分主机可以访问核心区)

2.DMZ(Demilitarized Zone,边界网络,隔离区,安全级别中等):作为内网中安全系统和非安全系统之间的缓冲区,用于对外提供服务,一般可以放置一些必须公开的服务器设施

3.外网(Internet,安全级别最低)
拥有DMZ的网络需要制定一些访问控制策略:

1.内网可以访问外网
2.内网可以访问DMZ
3.外网不能访问内网
4.外网可以访问DMZ
5.DMZ不能访问内网
6.DMZ不能访问外网
域控制器(必有):用于管理所有网络访问

成员服务器:安装了服务器系统且加入了域,但没有安装AD的计算机

客户机:用户使用账号密码登录来访问并调用此间资源

独立服务器:和域没有关系,既没有加入域也没有安装AD的服务器
域本地组:多域用户访问单域资源(访问同一个域)可以从任何域添加用户账户、通用组、和全局组,只能在其所在域内指派权限,域本地组不能嵌套于其他组中,它主要用于授予位于本域资源的访问权限。
全局组:单域用户访问多域资源(必须是同一个域里面的用户)。只能在创建该全局组的域上进行添加用户和全局组,可以在域林中的任何域中指派权限,全局组可以嵌套在其他组中。
通用组:通用组成员来自域林中的用户账户、全局组和其他的通用组,可以在该域林中的任何域中指派权限,可以嵌套于其他域组中,非常适用于域林中的跨域访问
可以这样简单记忆:
域本地组:来自全林作用于本域
全局组:来自本域作用于全林
通用组:来自全林用于全林

A-G-DL-P策略

A(account),表示用户账号。
G(Global group),表示全局组。
U(Universal group),表示通用组。
DL(Domain local group),表示域本地组。
P(permission 许可),表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更加容易。
在AGDLP形成以后当给一个用户某一权限的时候,只要把这个用户加入到某一个本地域组即可。

内置组权限解读

Administrators 管理员组---------重要
Print Operators 打印机操作员组,管理打印机
Account Operators 管理域中域用户和域账户
Server Operators 管理域服务器,默认无成员
Backup Operators 备份操作员为了备份或还原文件可以替代安全限制
Remote Desktop Users 管理远程登录权限

domian admins 域管理员组------->重要 
schema admins 架构管理员组------->重要 
Enterprise admins 企业系统管理员组 ------->重要
domain users 所有域用户

实验

如何添加域并将其权限提升到DC

到服务器角色前都是默认

之后也是默认,直接安装

将权限提升至DC

选择新林,根域名写一个新的,尽量写一级域名

到先决条件之前都是默认,需要设置名字自己设置就好

到了先决条件可能会报错,告诉我们administrator密码不符合标准,选择administrator更改就好,改好了还是不行重启
还是不行输入这个命令net user administrator /passwordreq:yes

安装完成即可,权限及提升为DC

这是使用whoami查看会发现我们的用户名改变

不是域内的使用whoami查看为 计算机名/当前用户名

还有一点需要注意,一般我们将权限升级为DC后尽量把DC的IP地址固定,否则子域的host文件需要经常更改

添加主机到域中

如果报错无法连接,我们需要先修改host,将父域域名定向为父域的IP地址,如果还是不行,我们选择网络适配器更改
将DNS改为根域的IP地址即可

怎么判断哪个在域内,哪个不在

第一,到此电脑中的属性查看

第二,systeminfo查看

第三,使用net user /domain

登录域账户

域内普通账户不能添加域用户
域内普通账户不能在当前主机上添加用户


域账户(用户)
域用户保存在DC主机上 
查看 域账户 
net user /domain 

本地账户(用户)
保存在当前主机上 
权限大小排序
DC 的administrator > 本地的administrator >=< 域的普通账户  > 本地用户

Views: 0

退出移动版