0x01 內網概述
內網也指區域網(Local Area Network,LAN)是指在某一區域內由多臺計算機互聯成的計算機組。一般是方圓幾千米以內。區域網可以實現檔案管理、應用軟體共享、印表機共享、工作組內的歷程安排、電子郵件和傳真通訊服務等功能。
內網是封閉型的,它可以由辦公室內的兩臺計算機組成,也可以由一個公司內的上千臺計算機組成。列如銀行、學校、企業工廠、政府機關、網咖、單位辦公網等都屬於此類。
0x02 工作組
2.1 簡介
工作組(Work Group),在一個大的單位內,可能有成百上千臺電腦互相連線組成區域網,它們都會列在“網路(網路上的芳鄰)”內,如果這些電腦不分組,可想而知有多麼混亂,要找一臺電腦很困難。為了解決這一問題,就有了“工作組”這個概念,將不同的電腦一般按功能(或部門)分別列入不同的工作組中,如技術部的電腦都列入“技術部”工作組中,行政部的電腦都列入“行政部”工作組中。你要訪問某個部門的資源,就在“網路”裡找到那個部門的工作組名,雙擊就可以看到那個部門的所有電腦了。相比不分組的情況就有序的多了,尤其是對於大型區域網路來說。
2.2 加入/建立工作組
右擊桌面上的“計算機”,在彈出的選單出選擇“屬性”,點選“更改設定”,“更改”,在“計算機名”一欄中鍵入你想好的名稱,在“工作組”一欄中鍵入你想加入的工作組名稱。
如果你輸入的工作組名稱網路中沒有,那麼相當於新建了一個工作組,當然暫時只有你的電腦在組內。單擊“確定”按鈕後,Windows提示需要重新啟動,重新啟動之後,再進入“網路”就可以看到你所加入的工作組成員了。
2.3 退出工作組
只要將工作組名稱改動即可。不過在網上別人照樣可以訪問你的共享資源。你也可以隨便加入同一網路上的任何其它工作組。“工作組”就像一個可以自由進入和退出的“社團”,方便同一組的計算機互相訪問。
所以工作組並不存在真正的集中管理作用, 工作組裡的所有計算機都是對等的,也就是沒有伺服器和客戶機之分的。
2.4 工作組的侷限性
假如一個公司有200臺電腦,我們希望某臺電腦上的賬戶Alan可以訪問每臺電腦內的資源或者可以在每臺電腦上登入。那麼在“工作組”環境中,我們必須要在這200臺電腦的各個SAM資料庫中建立Alan這個賬戶。一旦Alan想要更換密碼,必須要更改200次!現在只是200臺電腦的公司,如果是有5000臺電腦或者上萬臺電腦的公司呢?估計管理員會抓狂。
0x03 域
3.1 簡介
域(Domain)是一個有安全邊界的計算機集合(安全邊界意思是在兩個域中,一個域中的使用者無法訪問另一個域中的資源),可以簡單的把域理解成升級版的“工作組”,相比工作組而言,它有一個更加嚴格的安全管理控制機制,如果你想訪問域內的資源,必須擁有一個合法的身份登陸到該域中,而你對該域內的資源擁有什麼樣的許可權,還需要取決於你在該域中的使用者身份。
域控制器(Domain Controller,簡寫為DC)是一個域中的一臺類似管理伺服器的計算機,相當於一個單位的門衛一樣,它負責每一臺聯入的電腦和使用者的驗證工作,域內電腦如果想互相訪問首先都是經過它的稽核。
3.2 組織單元OU
在域中,一個組織單元OU是把物件組織成邏輯管理組的容器,其中包括一個或多個物件,如使用者賬號、組、計算機、印表機、應用、檔案共享或其他OU等。
3.3 單域
在一般的具有固定地理位置的小公司裡,建立一個域就可以滿足所需。
一般在一個域內要建立至少兩個域伺服器,一個作為DC,一個是備份DC。如果沒有第二個備份DC,那麼一旦DC癱瘓了,則域內的其他使用者就不能登陸該域了,因為活動目錄的資料庫(包括使用者的帳號資訊)是儲存在DC中的。而有一臺備份域控制器(BDC),則至少該域還能正常使用,期間把癱瘓的DC恢復了就行了。
3.4 父域和子域
出於管理及其他一些需求,需要在網路中劃分多個域,第一個域稱為父域,各分部的域稱為該域的子域。
比如一個大公司,它的不同分公司在不同的地理位置,則需父域及子域這樣的結構。如果把不同地理位置的分公司放在同一個域內,那麼他們之間資訊互動(包括同步,複製等)所花費的時間會比較長,而且佔用的頻寬也比較大。(因為在同一個域內,資訊互動的條目是很多的,而且不壓縮;而在域和域之間,資訊互動的條目相對較少,而且壓縮。)
還有一個好處,就是子公司可以通過自己的域來管理自己的資源。
還有一種情況,就是出於安全策略的考慮,因為每個域都有自己獨有的安全策略。比如一個公司的財務部門希望能使用特定的安全策略(包括帳號密碼策略等),那麼可以將財務部門做成一個子域來單獨管理。
3.5 域樹
域樹指若干個域通過建立信任關係組成的集合。一個域管理員只能管理本域的內部,不能訪問或者管理其他的域,二個域之間相互訪問則需要建立信任關係(Trust Relation)。
信任關係是連線在域與域之間的橋樑。域樹內的父域與子域之間不但可以按需要相互進行管理,還可以跨網分配檔案和印表機等裝置資源,使不同的域之間實現網路資源的共享與管理,以及相互通訊和資料傳輸。
在一個域樹中,父域可以包含很多子域,子域是相對父域來說的,指域名中的每一個段。子域只能使用父域作為域名的字尾,也就是說在一個域樹中,域的名字是連續的。
3.6 域森林
域森林指若干個域樹通過建立信任關係組成的集合。可以通過域樹之間建立的信任關係來管理和使用整個森林中的資源,從而又保持了原有域自身原有的特性。
3.7 DNS域名伺服器
DNS域名伺服器(Domain Name Server)是進行域名(domain name)和與之相對應的IP地址 (IP address)轉換的伺服器。
在域樹的介紹中,可以看到域樹中的域的名字和DNS域的名字非常相似,實際上域的名字就是DNS域的名字,因為域中的計算機使用DNS來定位域控制器和伺服器以及其他計算機、網路服務等。
一般情況下,我們在內網滲透時就通過尋找DNS伺服器來定位域控制器,因為通常DNS伺服器和域控制器會處在同一臺機器上。
3.8 活動目錄
活動目錄(Active Directory)是域環境中提供目錄服務的元件。
目錄是什麼?目錄就是儲存有關網路物件(如使用者、組、計算機、共享資源、印表機和聯絡人等)的資訊。目錄服務是幫助使用者快速準確的從目錄中查詢到他所需要的資訊的服務。
如果將企業的內網看成是一本字典,那麼內網裡的資源就是字典的內容,活動目錄就相當於字典的索引。即活動目錄儲存的是網路中所有資源的快捷方式,使用者通過尋找快捷方式而定位資源。
3.9 邏輯結構
在活動目錄中(Active Directory),管理員可以完全忽略被管理物件的具體地理位置,而將這些物件按照一定的方式放置在不同的容器中。由於這種組織物件的做法不考慮被管理物件的具體地理位置,這種組織框架稱為“邏輯結構”。
活動目錄的邏輯結構就包括上面講到的組織單元(OU)、域(domain)、域樹(tree)、域森林(forest)。在域樹內的所有域共享一個活動目錄,這個活動目錄內的資料分散地儲存在各個域內,且每一個域只儲存該域內的資料。
0x04 活動目錄的主要功能
• 帳號集中管理,所有帳號均存在伺服器上,方便對帳號的重命令/重置密碼。
• 軟體集中管理,統一推送軟體,統一安裝網路印表機等。利用軟體釋出策略分發軟體,可以讓使用者自由選擇安裝軟體。
• 環境集中管理,利用AD可以統一客戶端桌面,IE,TCP/IP等設定。
• 增強安全性,統一部署防毒軟體和掃毒任務,集中化管理使用者的計算機許可權、統一制訂使用者密碼策略等,可監控網路,資料統一管理。
• 更可靠,更少的當機時間。如:利用AD控制使用者訪問許可權,利用群集、負載均衡等技術對檔案伺服器進行容災設定,更可靠,當機時間更少。
• 活動目錄為Microsoft統一管理的基礎平臺,其它isa,exchange,sms等服務都依賴於這個基礎平臺。
0x05 AD與DC的區別
如果網路規模較大,我們就會考慮把網路中的眾多物件:計算機、使用者、使用者組、印表機、共享檔案等,分門別類、井然有序地放在一個大倉庫中,並做好檢索資訊,以利於查詢、管理和使用這些物件(資源)。這個有層次結構的資料庫,就是活動目錄資料庫,簡稱AD庫。
那麼我們應該把這個資料庫放在哪臺計算機上呢?規定是這樣的,我們把存放有活動目錄資料庫的計算機就稱為DC。所以說我們要實現域環境,其實就是要安裝AD,當內網中的一臺計算機安裝了AD後,它就變成了DC。
那麼有了域環境的話,回答最初的問題:在域環境中,只需要在活動目錄中建立一次Alan賬戶,那麼就可以在任意200臺電腦中的一臺上登入Alan,如果要為Alan賬戶更改密碼,只需要在活動目錄中更改一次就可以了。
0x06 安全域劃分
安全域劃分的目的是將一組安全等級相同的計算機劃入同一個網段內,這一網段內的計算機擁有相同的網路邊界,在網路邊界上採用防火牆部署來實現對其他安全域的NACL(網路訪問控制策略),允許哪些IP訪問此域、不允許哪些訪問此域;允許此域訪問哪些IP/網段、不允許訪問哪些IP/網段。使得其風險最小化,當發生攻擊時可以將威脅最大化的隔離,減少對域內計算機的影響。
0x07 DMZ區域
7.1 簡介
DMZ稱為“隔離區”,也稱“非軍事化區”。是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區。
這個緩衝區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。
另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。
7.2 DMZ的屏障功能
• 內網可以訪問外網:內網的使用者需要自由地訪問外網。在這一策略中,防火牆需要執行NAT。
• 內網可以訪問DMZ:此策略使內網使用者可以使用或者管理DMZ中的伺服器。
• 外網不能訪問內網:這是防火牆的基本策略了,內網中存放的是公司內部資料,顯然這些資料是不允許外網的使用者進行訪問的。如果要訪問,就要通過VPN方式來進行。
• 外網可以訪問DMZ:DMZ中的伺服器需要為外界提供服務,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
• DMZ不能訪問內網:如不執行此策略,則當入侵者攻陷DMZ時,內部網路將不會受保護。
• DMZ不能訪問外網:此條策略也有例外,比如我們的例子中,在DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。
0x08 域中計算機分類
• 域控制器
• 成員伺服器
• 客戶機
• 獨立伺服器
域控制器是存放活動目錄資料庫的,是域中必須要有的,而其他三種則不是必須的,也就是說最簡單的域可以只包含一臺計算機,這臺計算機就是該域的域控制器。
域中各個伺服器的角色也是可以改變的,例如域伺服器在刪除活動目錄時,如果是域中最後一個域控制器,則該域伺服器會成為獨立伺服器,如果不是域中唯一的域控制器,則將使該伺服器成為成員伺服器。
同時獨立伺服器既可以轉換為域控制器,也可以加入到某個域成為成員伺服器。
0x09 域內許可權解讀
9.1 組
組(Group)是使用者帳號的集合。通過向一組使用者分配許可權從而不必向每個使用者分配許可權,管理員在日常工作中不必要去為單個使用者帳號設定自己獨特的訪問許可權,而是將使用者帳號加入到相對應的安全組中。管理員通過給相對的安全組訪問許可權就可以了,這樣所有加入到安全組的使用者帳號都將有同樣的許可權。使用安全組而不是單個的使用者帳號可以方便,簡化網路的維護和管理工作。
9.2 域本地組
域本地組,多域使用者訪問單域資源(訪問同一個域)。可以從任何域新增使用者賬戶、通用組和全域性組,只能在其所在域內指派許可權。域本地組不能巢狀於其他組中。它主要是用於授予位於本域資源的訪問許可權。
9.3 全域性組
全域性組,單域使用者訪問多域資源(必須是同一個域裡面的使用者)。只能在建立該全域性組的域上進行新增使用者和全域性組,可以在域林中的任何域中指派許可權,全域性組可以巢狀在其他組中。
9.3 通用組
通用組,通用組成員來自域林中任何域中的使用者賬戶、全域性組和其他的通用組,可以在該域林中的任何域中指派許可權,可以巢狀於其他域組中。非常適於域林中的跨域訪問。
可以簡單這樣記憶:
• 域本地組:來自全林用於本域
• 全域性組:來自本域用於全林
• 通用組:來自全林用於全林
0x10 A-G-DL-P策略
• A(account),表示使用者賬號
• G(Global group),表示全域性組
• U(Universal group),表示通用組
• DL(Domain local group),表示域本地組
• P(Permission 許可),表示資源許可權。
A-G-DL-P策略是將使用者賬號新增到全域性組中,將全域性組新增到域本地組中,然後為域本地組分配資源許可權。按照AGDLP的原則對使用者進行組織和管理起來更容易。
在AGDLP形成以後,當給一個使用者某一個許可權的時候,只要把這個使用者加入到某一個本地域組就可以了。
0x11 本地域組的許可權
11.1 本地域組的許可權
• Administrators(管理員組)
• Remote Desktop Users(遠端登入組)
• Print Operators(印表機操作員組)
• Account Operators(帳號操作員組)
• Server Operaters(伺服器操作員組)
• Backup Operators(備份操作員組)
11.2 全域性組、通用組的許可權
• Domain Admins(域管理員組)
• Enterprise Admins(企業系統管理員組)
• Schema Admins(架構管理員組)
• Domain Users(域使用者組)