内网域基础

内网域基础本文详细介绍了内网渗透中的域基础概念 包括工作组 域 域树和域森林的构建 以及域控制器的作用

大家好,欢迎来到IT知识分享网。

工作组

将不同的计算机按部门列入不同的工作组。访问某个部门的资源只要在”网络”里双击该部门的工作组名就可以看到该部门的所有计算机了。

  • 工作组的创建、加入、退出
    修改工作组,如果存在该工作组会加入该工作组,不存在则会创建该工作组并加入,将工作组修改为默认工作组或其他工作组即可退出当前工作组
    在这里插入图片描述

域(Domain)是一个有安全边界的计算机集合(在两个域中,一个域中的用户无法访问另一个域中的资源)。用户对域内的资源拥有什么样的权限,取决于用户在域内的身份。

域控制器(Domain Controller,DC)是域中的一台类似管理服务器的计算机。域控制器是整个域的通信枢纽,所有的权限身份验证都在域控制器上进行,也就是说域内所有用来验证身份的账号和密码散列值都保存在域控制器中。

父域和子域

第一个域称为父域,各分部的域称为该域的子域。例如大公司的各个分公司位于不同的地点就需要使用父域及子域。

例如,一个公司的财务部希望使用特定的安全策略(包括账号密码策略等)、那么可以将财务部作为一个子域来单独管理。

域树

域树是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域,不能访问或者管理其他域。如果两个域之间需要互相访问,则需要建立信任关系,信任关系是连接不同域的桥梁。

域树内的父域与子域不但可以按照需要互相管理、还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。

在一个域树中,父域可以包含多个子域。子域是相对父域来说的,指的是域名中的每一个段。 各子域之间用点号隔开,一个”.”代表一个层次。 放在域名最后的子域称为最高级子域或一级域它前面的子域称为二级域。

域森林

域森林是指多个域树通过建立信任关系组成的集合。例如在一个公司兼并场景中某公司使用域树abc.com,被兼并的公司本来有自己的域树abc.net,域树abc.net无法挂在域树abc.com下。所以域树abc.com与域树abc.net之间需要通过建立信任关系来构成域森林。通过域树之间的信任关系可以管理和使用整个域森林中的资源并保留被兼并公司自身原有的特性。
在这里插入图片描述

域名服务器

域名服务器(Domain Name Server,DNS)是指用于实现域名(Domain Name)和与之相对的IP地址(IP Address)转换的服务器。域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS域的名字。在内网渗透测试中,大都是通过寻找DNS服务器来确定域控制器的位置的(DNS服务器和域控制器通常配置在同一机器上)

搭建域环境

  • 域控:WindowsServer 2012
    IP:192.168.137.10 (使用Administrator用户)
  1. 域控配置IP、DNS指向本机
    在这里插入图片描述
  2. 更改域控计算机名
    在这里插入图片描述
  3. 打开服务器管理->添加角色和功能,安装域控制器和DNS服务
    在这里插入图片描述
    在这里插入图片描述
  4. 点击黄色感叹号,将服务器提升为域控制器
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  5. 创建Active Directory用户
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 域内主机:WindowsServer 2008
    IP:192.168.137.20 (使用Administrator用户)
  1. 域内主机配置IP、DNS指向域控
    在这里插入图片描述
  2. 更改计算机名,加入域
    在这里插入图片描述
  3. 输入域控的用户名密码,通过验证加入域
    在这里插入图片描述
  4. 使用域账号登录
    在这里插入图片描述

活动目录

活动目录(Active Directory,AD)是域环境中提供目录服务的组件。域树内的所有域共享一个活动目录,这个活动目录内的数据分散存储在各个域中,且每个域只存储该域内的数据。

  • 活动目录主要功能
  1. 账号集中管理:所有账号均存储在服务器中,以便执行命令和重置密码等。
  2. 软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件。
  3. 环境集中管理:统一客户端桌面、IE、TCPP协议等设置。 增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网络,对资料进行统一管理。
  4. 网络更可靠,宕机时间更短:例如,利用活动目录控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设置。
  5. 活动目录是微软提供的统一管理基础平台,ISA、 Exchange、SMS等都依赖这个平台。

组织单元介绍

组织单元(OU)是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源,是一个容器,可以在OU上部署组策略。

  • 创建组织单元
    在这里插入图片描述
  • 委派控制(分配权限)
    在这里插入图片描述

域内权限介绍


  • 组是用户账号的集合。通过向组分配权限,就可以不必向每个用户分别分配权限。
  • 域本地组
    域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。
  • 全局组
    全局组成员来自于同一域的用户账户和全局组,在林范围内可用。
  • 通用组
    通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。

A-G-DL-P策略

将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。

  • A表示用户账号( Account)
  • G表示全局组( Global Group)
  • U表示通用组( Universal Group)
  • DL表示域本地组( Domain Local Group)
  • P表示资源权限( Permission,许可)

重要的域本地组

  • Administrators
    管理员组的成员可以不受限制地存取计算机/域的资源。该组的成员可以更改Enterprise Admins、Schema admins和Domain admins组的成员关系。
  • Remote Desktop Users
    远程登录组的成员具有远程登录权限。
  • Print Operators
    打印机操作员组的成员可以管理网络打印机,包括建立、管理及删除网络打印机,并可以在本地登录和关闭域控制器。
  • Account Operators
    账号操作员组的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器,但是不能更改属于 Administrators或Domain admins组的账户,也不能修改这些组。在默认情况下,该组中没有成员。
  • Server Operators
    服务器操作员组的成员可以管理域服务器,其权限包括建立管理删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下,该组中没有成员。
  • Backup Operators
    备份操作员组的成员可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器。在默认情况下,该组中没有成员。

重要的全局组、通用组

  • Domain Admins
    域管理员组的成员在所有加入域的服务器(工作站)、域控制器和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的 Administrators组中,可以继承 Administrators组的所有权限。同时,该组默认会被添加到每台域成员计算机的本地Administrators组中。Domain admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员,建议将该用户添加到 Domain admins组中,不要直接将该用户添加到Administrators组中。
  • Enterprise Admins
    企业系统管理员组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员,对所有域控制器都有完全访问权。
  • Schema admins
    架构管理员组是域森林根域中的一个组,可以修改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组。
  • Domain users
    域用户组中是所有的域成员。在默认情况下,任何由我们建立的用户账号都属于Domain Users组,而任何由我们建立的计算机账号都属于Domain Computers组。如果想让所有的账号都获得某种资源存取权限,可以将该权限指定给域用户组,或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。

安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略。在一个用路由器连接的内网中,可以将网络划分为三个区域:安全级别最高的内网、安全级别中等的DMZ、安全级别最低的外网。
在这里插入图片描述

在配置一个拥有DMZ的网络时,通常需要定义如下访问控制策略,以实现其屏障功能。

  1. 内网可以访问外网
    内网用户需要自由地访问外网。在这一策略中,防火墙需要执行NAT。
  2. 内网可以访问DMZ
    此策略使内网用户可以使用或者管理DMZ中的服务器。
  3. 外网不能访问内网
    防火墙的基本策略。内网中存储的是公司内部数据,这些数据一般是不允许外网用户访问的(如果要访问,就要通过VPN的方式来进行)
  4. 外网可以访问DMZ
    DMZ中的服务器需要为外界提供服务,所以外网必须可以访问DMZ。由防火墙来完成从对外地址到服务器实际地址的转换。
  5. DMZ不能访问内网
    如果不执行此策略,当攻击者攻陷DMZ时,内网将无法受到保护。
  6. DMZ不能访问外网
    此策略也有例外。例如,在DMZ中放置了邮件服务器,就要允许访问外网,否则邮件服务器无法正常工作。

域中计算机分类

在域结构的网络中,计算机的身份是不平等的,有域控制器、成员服务器、客户机、独立服务器四种类型。

  • 域控制器
    域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器中存储了域内所有的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。可以有多台计算机被配置为域控制器。多个域控制器可以一起工作,自动备份用户账尸和活动目录数据。
  • 成员服务器
    成员服务器是指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机,其主要任务是提供网络资源。成员服务器的类型通常有文件服务器、应用服务器、数据库服务器、web服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等。
  • 客户机
    安装了其他操作系统的计算机,加入域后,用户利用这些计算机和域中的账户就可以登录域。
  • 独立服务器
    服务器既不加入域,也不安装活动目录,就称其为独立服务器。独立服务器可以创建工作组、与网络中的其他计算机共享资源。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/150381.html

(0)
上一篇 2025-03-19 13:26
下一篇 2025-03-19 13:33

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信