內網概述
- 內網也就是指區域網
是指在某一區域(或範圍)內,由多臺計算機 互聯成的計算機組
一般範圍也就幾千米以內
區域網可以實現檔案管理,應用軟體共享,印表機共享,工作組內的歷程安排,電子郵件和傳真通訊服務等功能
- 內網是封閉的
他可以由辦公室內的兩臺計算機組成,也可以由一個公司內的上千臺計算機組成
例如:銀行,學校,企業工廠,政府機關,網咖,單位辦公網等 都屬於這類
在研究內網的時候,我們經常會聽到工作組,域,域控制器,父域,子域,域樹(也叫做域林或者林),活動目錄,DMZ,域內許可權等名詞
他們指的是啥,又有什麼區別呢?
下面我們詳解來說一說
工作組
在一個大型的單位裡面,可能存在成百上千臺計算機互相連線組成一個區域網,他們都會列在網路內。
那麼如果說 我們不對這樣計算機進行分組的話,網路的混亂程度可想而知
為了解決這一問題呢,就產生了工作組(work Group)這麼一個概念
將不同的計算機,按照不同的功能(或者部門) 分別列入不同的工作組裡
比如:
技術部的計算機都列入”技術部”這個工作組內
行政部的計算機都列入”行政部”這個工作組內
想要訪問某個部門的資源的時候,只要在”網路”裡面雙擊該部門的工作組名,就可以看到該部門裡面所有的計算機了
相比 在不分組的情況下,我們這樣弄一個工作組的話是不是就有序的多了(尤其是針對大型區域網內來說)
就如下圖所示一樣
同處在一個交換機下的”技術部”工作組和”行政部”工作組
其次怎麼加入/建立工作組
①右擊電腦桌面上的“計算機” 在彈出的選單中選擇屬性,點選更改設定,“更改”
在“計算機名”一欄中寫入你想好的名稱,在“工作組”一欄中寫入你想加入的工作組名稱
②如果你輸入的工作組名稱,網路中沒有。
那麼相當於新建了一個工作組,
當然暫時只有你的電腦 在工作組內。
單擊“確定”按鈕後,windows提示需要重新啟動,重新啟動後,再進入“網路”後就可以看到你所加入的工作組成員了
退出工作組
只要將工作組名稱改動即可
不過在網上別人照樣可以訪問你的共享資源。你也可以隨便加入同一網路上的任何其他工作組
你可以把工作組理解成就好像是一個可以自由進入和退出的社團,只是為了方便同一組的計算機互相訪問
其次工作組並不存在真正的集中管理作用,工作組裡的所有計算機都是對等的,也就是沒有伺服器和客戶機之分的。
另外在這裡提一個問?
假如一個公司有200臺電腦,我們希望某一臺電腦上的賬戶bibo 可以訪問每一臺電腦內的資源或者可以在每一臺電腦上進行登入
那麼在工作組環境中,我們必須要在這200臺電腦的各個SAM資料庫中建立bibo這個使用者,一旦bibo想要更換密碼,那麼bibo他就要更改200次!現在只是200臺電腦的公司。
如果是有5000臺的電腦或者上萬臺電腦的公司呢?我估摸著bibo他死的心都有
以上是一個典型的域環境應用場景
[答案在最後一頁]
那麼下面我們來介紹一下什麼是“域”
①域是一個有安全邊界的計算機集合
安全邊界:是指在兩個域中,一個域中的使用者無法訪問另一個域中的資源。
你可以簡單的把域理解成 升級版的工作組,相比工作組而言,他有一個更加嚴格的安全管理控制機制
如果你想訪問域內的資源,必須擁有一個合法的身份登入到該域中,而你對該域內的資源擁有什麼樣的許可權,還需要取決於你在該域中的使用者身份是什麼樣的
②域控制器(簡稱DC)是一個域中的一臺類似管理伺服器的計算機
你們可以形象的地將他理解成一個單位的門禁系統
他負責每一臺連入的電腦和使用者的驗證工作,域內電腦如果想要互相訪問首先都是經過他的稽核
其次域控制器中存在他這個域中所有電腦的賬戶和密碼,屬於這個域的計算機等資訊構成的資料庫。當計算機連線到域的時候,域控制器首先要鑑別這臺計算機是否屬於這個域,以及使用者使用的登入賬號是否存在,密碼是否正確
如果說上面有一項不正確,域控制器就會拒絕這個使用者通過這臺計算機的登入。
如果使用者不能登入,就不能訪問伺服器中的資源
域控制器是整個域的通訊樞紐,所有的許可權身份驗證都在域控制器進行,也就是說,域內所有用來驗證身份的賬號和密碼雜湊值都儲存在域控制器中。
③域的分類
1- 單域
-在一般的 具有固定地理位置的小公司裡,建立一個域就可以滿足所需了
-一般在一個域內要建立至少兩個域伺服器,一個作為DC(域控制器),一個是備份DC。如果沒有第二個備份DC,那麼一旦DC癱瘓了,則域內的其他使用者就不能登入到該域了。
因為活動目錄的資料庫(包括使用者的賬號資訊)是儲存在DC(域控制器)中。而有一臺備份域控制器(BDC),則至少該域還能正常使用,期間把癱瘓的DC恢復就可以了。
2- 父域和子域
2.1父域
-出於管理以及其他一些需求,需要在網路中劃分多個域,第一個域稱作父域,各分部的域稱為該域的子域()
-比如一個大公司,他的不同分公司在不同的地理位置,則就需要父域和子域這樣的結構
-如果把不同地理位置的分公司放在同一個域內,那麼他們之間資訊互動(包括同步,複製等)所花費的時間會比較的長,而且佔用的頻寬也比較大。(因為在同一個域內,資訊互動的條目是很多的,而且不壓縮;而在域和域之間,資訊互動的條目相對較少,而且壓縮)
-還有一個好處,就是子公司可以通過自己的域來管理自己的資源
-還有一種情況,就是出於安全策略的考慮,因為每個域都有自己獨有的安全策略。比如一個公司的財務部門希望能使用特定的安全策略(包括賬號密碼策略等),那麼可以將財務部門做成一個子域來單獨管理。
域樹
-域樹 指若干個域 通過建立信任關係組成的集合。一個域管理員只能管理本域的內部,不能訪問或者管理其他的域
如果兩個域之間互相訪問 那麼就需要建立信任關係
-信任關係 是連線在域與域之間的橋樑。
域樹內的父域和子域之間不但可以按需要 互相進行管理,還可以跨網路分配檔案和印表機等裝置及資源,使用不同的域之間實現網路資源共享與管理,以及相互通訊和資料傳輸
-在一個域樹中,父域可以包含很多子域,子域是相對父域來說的,指域名中的每一個段。
各子域之間用(.)號隔開,一個點代表一個層次。
放在域名最後的子域稱為最高階子域或一級域
他前面的子域稱為二級域
例如:asia.abc.com的級別要比abc.com的低
再比如:cn.asia.abc.com要比asia.abc.com的低
也就是說 在一個域樹中,域的名字是連續的
域森林
-域森林 指若干個域樹 通過建立信任關係組成的集合。
例如:在一個公司兼併場景中,某公司使用域樹abc.com和被兼併的公司的域樹abc.net(或者在需要為被兼併公司建立具有自己特殊的域樹時),域樹abc.net無法掛在域樹abc.com下。所以abc.com與域樹abc.net之間需要通過建立信任關係來構成域樹
補充:企業兼併是兩個或兩個以上的企業根據契約關係進行股權合併,以實現生產要素的優化組合
可以通過域樹之間建立的信任關係來管理和使用整個森林中的資源,從而又保持了原來的域自身 原有的特性
DNS--域名伺服器
-DNS域名伺服器是進行 域名和與之對應的ip地址轉換的伺服器
-在域樹的介紹中,可以看到域樹中的 域的名字和DNS域的名字非常相似,實際上 域的名字就是DNS域的名字,因為域中的計算機使用DNS來定位域控制器和伺服器以及其他計算機,網路服務的,所以域的名字就是dns域的名字
-一般情況下,我們在內網滲透的時候就是通過尋找DNS伺服器來定位域控制器,因為通常DNS伺服器和域控制器會處在同一臺機器上
活動目錄(AD)
-活動目錄:是域環境中提供目錄服務的元件
-目錄是什麼?
目錄就是儲存有關 網路物件(如使用者,組,計算機,共享資源,印表機和聯絡人等)的資訊。
目錄服務是幫助使用者快速準確的從目錄中查詢到他所需要的資訊服務
活動目錄實現了目錄服務,為企業提供了網路環境的集中式管理機制
-如果將企業的內網看成是一本字典,那麼內網裡的資源就是字典的內容,活動目錄就相當於字典的索引。即活動目錄儲存的是網路中所有資源的快捷方式,使用者通過尋找快捷方式而定位資源
例如:
可以為甲公司的財務科,人事科,銷售科各建一個域,因為這幾個域同屬甲公司,所以可以將這幾個域構建一個域樹並交給甲公司管理;
而甲,乙,丙公司都屬於A集團,那麼,為了A集團更好地管理這3家公司,可以將這3家公司的域樹集中起來組成域林(即A集團)
因此,A集團可以按照A集團(域森林)---->子公司(域樹)----->部門(域)---->員工的方式
對於網路進行層次分明的管理。
活動目錄這種層次結構,可以使企業網路更加具有極強的擴充套件性,便於進行組織,管理及目錄定位。
活動目錄的主要功能
-賬號集中管理,所有賬號均存在伺服器上,方便對賬號的重新命名/重置密碼
-軟體集中管理,統一推送軟體,統一安裝網路印表機等。利用軟體釋出策略分發軟體,可以讓使用者自由選擇安裝軟體
-環境集中管理,利用AD(活動目錄)可以統一客戶端桌面,ie,tcp/ip等設定
-增強安全性,統一部署防毒軟體和掃毒任務,集中化管理使用者的計算機許可權,統一制定使用者密碼策略等,可監控網路,資源統一管理
-更可靠 更短的當機/當機時間。如:利用AD控制使用者訪問許可權,利用群集,負載均衡等技術對檔案伺服器進行容災設定,網路更可靠,宕(dang)機時間更短
-活動目錄為Microsoft(微軟)統一管理的基礎平臺,其他isa,exchange,sms等服務都依賴於這個基礎平臺
AD(活動目錄)和DC(域控制器)的區別
-如果網路規模較大,我們就會考慮把網路中的眾多物件,例如:計算機,使用者,使用者組,印表機,共享檔案等,分門別類,井然有序地放在一個大倉庫中,並做好檢索資訊,以便於查詢,管理和使用這些物件(資源)。這個有層級結構的資料庫,就是活動目錄資料庫,簡稱AD庫
-那麼我們應該把這個資料庫放在哪臺計算機上呢?規定是這樣的,我們把存放有活動資料庫的計算機叫做DC。所以說我們要實現域環境,其實就是要安裝AD,當內網中的一臺計算機安裝了AD後,他就變成了DC(用於儲存活動目錄資料庫的計算機)
安全域劃分
-安全域劃分的目的是:將一組安全等級相同的計算機劃入同一個網段內,這一網段內的計算機擁有相同的網路邊界,在網路邊界採用防火牆部署來實現對其他安全域的NACL(網路訪問控制策略),允許哪些ip訪問次域,不允許哪些ip訪問次域;
允許次域訪問哪些ip/網段,不允許訪問哪些ip/網段。使得其風險最小化,當發生攻擊時可以將威脅最大化的隔離,減少對域內計算機的影響
一個典型的中小型內網的安全域劃分,如下圖所示
一個虛線框表示一個安全域的(也就是網路的邊界,一般分為DMZ和內網),通過硬體防火牆的不同埠實現隔離
在一個用路由器連線的內網中,可以將網路劃分為3個區域
安全級別最高的就是內網
安全級別中等的就是DMZ(隔離區)
安全級別最低的就是外網了
因此需要設定不同的訪問策略 -
DMZ(隔離區)
①DMZ稱為“隔離區”,也叫做“非軍事化區”
是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區
②這個緩衝區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以設定一些必須公開的的伺服器設施,如:企業web伺服器器,FTP伺服器和論壇伺服器等
DMZ是對外部提供服務的區域,因此可以從外部訪問
③另一個方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案 對攻擊者來說又多了一道關卡
在網路邊界上一般會部署防火牆及入侵檢測系統,入侵防禦產品等。如果有web應用,還會設定waf,從而更加有效的保護內網,攻擊者如果要進入,首先他得突破就是這重重防禦.
在配置一個擁有DMZ的網路時,通常需要定義如下訪問控制策略,以實現其屏障功能
DMZ的屏障功能
①內網可以訪問外網
內網的使用者需要自由地訪問外網。在這一策略中,防火牆需要執行NAT(網路地址轉換協議)
②內網可以訪問DMZ
此策略使用內網使用者可以使用或者管理DMZ中的伺服器
③外網不能訪問內網
這是防火牆的基本策略,內網中存放的是公司內部資料,顯然這些資料是不允許外網的使用者進行訪問的。如果要訪問,就要通過VPN方式進行
④外網可以訪問DMZ
DMZ中的伺服器需要為外界提供服務,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換
⑤DMZ不能訪問內網
如不執行此策略,則當入侵者攻陷DMZ的時候,內部網路將不會受到保護
⑥DMZ不能訪問外網
此策略也有例外,比如我們的例子中,在DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作
內網又可以分為辦公區和核心區
辦公區: 公司員工日常的工作區,一般會安裝防病毒軟體(火絨,360,騰訊電腦管家等等),主機入侵檢測產品等
辦公區一般能夠訪問DMZ
如果運維人員也在辦公區,那麼部分主機也能訪問核心資料區(比如:很多大的企業還會使用堡壘機來統一管理使用者的登入行為)
攻擊者如果想要進入內網,一般會使用魚叉攻擊,水坑攻擊,當然還有社會工程學手段。
辦公區人員多而雜,變動也很頻繁,在安全管理上可能存在諸多漏洞,是攻擊者進入內網的重要途徑之一。
核心區: 儲存著企業最重要的資料,文件等資訊資產,通過日誌記錄,安全審計等安全措施進行嚴密保護,往往只有很少的主機能夠訪問,從外部是絕難直接訪問核心區的。
一般來說,能夠直接訪問核心區的就只有運維人員和IT部門的主管,所以攻擊者會重點關注這些使用者的資訊(攻擊者在內網中進行橫向移動攻擊時,會優先查詢這些主機)
域中計算機分類
在域結構的網路中,計算機的身份是不平等的,有域控制器,成員伺服器,客戶機,獨立伺服器4種型別
1.域控制器
域控制器用於管理所有該域的網路訪問。包括:登入伺服器,訪問共享目錄和資源。
域控制器中儲存了域內所有的賬戶和策略資訊,包括安全策略,使用者身份驗證資訊和賬戶資訊
2.成員伺服器
成員伺服器: 是指安裝了伺服器作業系統並加入了域,但沒有安裝活動目錄的計算機
其主要的任務就是提供網路資源
成員伺服器的型別通常有: 檔案伺服器,應用伺服器,資料庫伺服器,web伺服器,郵件伺服器,防火牆,遠端訪問伺服器,印表機伺服器等
3.客戶機
域中的計算機可以安裝了其他作業系統的計算機,使用者利用這些計算機和域中的賬戶就可以
登入域,這些計算機被稱為域中的客戶機。
域使用者賬號通過域的安全驗證後,即可訪問網路中的各種資源
4.獨立伺服器(和域無關)
獨立伺服器和域沒有關係
如果伺服器既不加入域,也不安裝活動目錄,就稱其為獨立伺服器
獨立伺服器可以建立工作組,與網路中的其他計算機共享資源,但不能使用活動目錄提供的任何服務
域控制器用於存放活動目錄資料庫,是域中必須要有的,而其他三種計算機則不是必須要有的
也就是說,最簡單的域可以包含一臺計算機,這臺計算機就是該域的域控制器
當然,域中各伺服器的角色是可以改變的
例如:獨立伺服器既可以成為域控制器,也可以加入到某個域成為成員伺服器
內許可權解讀
下面將介紹域相關內建組的許可權
包括: 域本地組,全域性組,通用組的概念和區別,以及幾個比較重要的內建組許可權
首先是-介紹 組的概念
組(Group)是使用者賬號的集合
通過向一組使用者分配許可權,就可以不必向每個使用者分配許可權
例如: 管理員在日常的工作中,不必為單個使用者賬號設定獨特的訪問許可權,只需要將使用者號放入相應的安全組中
管理員通過配置安全組訪問許可權,就可以為所加入安全組的使用者賬號配置同樣的許可權
使用安全組而不是單個的使用者賬號,可以大大的簡化網路的維護和管理工作。
①域本地組
多域使用者訪問單域資源(訪問同一個域)。
可以從任何域新增使用者賬戶,和通用組及全域性組
但只能在其所在域內指派許可權。
域本地組不能巢狀於其他組中。
他主要用於授予位於本域資源的訪問許可權
②全域性組
單域使用者訪問多域資源(必須是同一個域裡面的使用者)
只能在建立該全域性組的域上 進行新增使用者和全域性組,可以在域林中的任何域中指派許可權,全域性組可以巢狀在其他組中
可以將某個全域性組新增到同一個域的另一個全域性組中,或者新增到其他域的通用組和域本地組中(不能新增到不同域的全域性組中,全域性組只能在建立他的域中新增使用者和組)
雖然可以通過全域性組授予使用者訪問任何域內的資源的許可權,但是一般不建議直接用它來進行許可權管理
全域性組他和域本地組的關係,與域使用者賬號和本地賬號相似
域使用者賬號可以在全域性使用,即在本域和其他關係的其他域中都可以使用
而本地賬號只能在本機中使用
例如:將張三(域賬號為Z3)新增到域本地組administartors中,但並不能使Z3對非域控制器的域成員計算機擁有任何許可權
但若是將Z3新增到全域性組中,使用者張三就可以成為域管理員,他就可以全域性使用,對域成員計算機擁有特權
③通用組
通用組成員 來自域林中任何域中的使用者賬戶,全域性組和其他的通用組,可以在該域林中的任何域中指派許可權,可以巢狀於其他域組中。非常適於域林中的跨域訪問
不過,通用組的成員不是儲存在各自的域控制器中,而是儲存在全域性編錄(GC)當中,任何變化都會導致全林複製
全域性編錄(GC): 他常用於儲存一些不經常傳送變化的資訊
由於使用者賬號新增到全域性組中,再把這些相對穩定的全域性組新增到通用組中
為了方便理解和總結:
域本地組:來自全林 用於本域(老三)
全域性組: 來自本域 作用於全林(老二)
通用組:來自全林 用於 全林(老大)
A-G-DL-P策略
A-G-DL-P策略是將使用者賬號新增到全域性組中,將全域性組新增到域本地組中,然後為域本地組分配資源許可權
A(account),表示使用者賬號
G(Global group),表示全域性組
U(Universal group),表示通用組
DL(Domain local group),表示域本地組
P(Permission許可)表示資源許可權
按照AGDLP的原則 對使用者進行組織和管理起來更容易
在AGDLP形成以後當給一個使用者某一個許可權的時候,只要把這個使用者加入到某一個本地域組就可以了
在安裝域控制器的時候,系統會自動生成一些組,稱之為內建組。
內建組定義了一些常用的許可權,通過將使用者新增到內建中,可以使使用者獲得相應的許可權
Active Directory使用者和計算機,控制檯視窗的Builtin和Users組織單元中的組就是內建組,內建的域本地組在Builtin組織單元,如圖所示
內建的全域性組和通用組在Users組織單元裡面。如下圖所示
下面介紹幾個比較重要的域本地組許可權
域本地組的許可權
①Administrators(管理員組)
(Administrators--管理員組)的成員可以不受限制地存取計算機/域的資源。
它不僅是最具權力的一個組,也是在活動目錄和域控制器中預設具有管理許可權的組。
該組的成員可以更改Enterprise Admin,Schema Admin和Domain Admin組的成員關係,是域森林中強大的服務管理員組
②Remote Desktop Users(遠端登入組)
Remote Desktop Users(遠端登入組)他的成員具有遠端登入的許可權
③Print Operators(印表機操作員組)
Print Operators(印表機操作員組)的成員可以管理網路印表機
包括: 建立,管理及刪除網路印表機,並可以在本地登入和關閉域控制器
④Account Operators(帳號操作員組)
Account Operators(帳號操作員組)的成員可以建立和管理該域中的使用者和組,併為其設定許可權,也可以在本地登入域控制器。但是,不能更改屬於Administrators或Domain Admin組的賬戶,也不能修改這些組。預設情況下,該組中沒有成員。
⑤Server Operaters(伺服器操作員組)
伺服器操作員組的成員可以管理域伺服器,其許可權包括:(建立/管理/刪除任意伺服器的共享目錄,管理網路印表機,備份任何伺服器的檔案,格式化伺服器硬碟,鎖定伺服器,變更伺服器的系統時間,關閉域控制器)
在預設的情況下,該組中沒有成員。
⑥Backup Operators(備份操作員組)
備份操作員組的成員可以在域控制器中執行備份和還原操作,並可以在本地登入和關閉域控制器。
預設情況下,該組沒有成員。
下面我們再介紹幾個比較重要的全域性組和通用組的許可權
①Domain Admins(域管理員組)
②Enterprise Admins(企業系統管理員組)
③Schema Admins(架構管理員組)
④Domain Users(域使用者組)
①域管理員組(Domain Admin) 的成員在所有加入域的伺服器(工作站),域控制器和活動目錄中均預設擁有完整的管理員許可權。
因為該組會被新增到自己所在域的Administrators組中,因此可以繼承Administrators組的所有許可權。
同時,該組預設會被新增到每臺域成員計算機的本地Administrators組中,這樣Domain Admin組就獲得了域中所有計算機的所有權,如果希望某使用者成為域系統管理員的話,建議將該使用者新增到Domain Admin組中,而不要直接將該使用者新增到Administrators組中。
②企業系統管理員組(Enterprise Admin)是域森林根域中的一個組。
該組在域森林中的每個域內都是Administrators組的成員,因此對所有域控制器都有完全訪問許可權
③Schema Admins(架構管理員組)是域森林根域中的一個組,可以修改活動目錄和域森林的模式。
該組是為了活動目錄和域控制器提供完整許可權的域使用者組,因此,該組成員的資格是非常重要的
④Domain Users(域使用者組)中是所有的域成員。
在預設情況下,任何由我們建立的使用者賬號都屬於Domain Users組,而任何由我們建立的計算機賬號都屬於Domain Computers組。
因此,如果想讓所有的賬號都獲得某種資源存取許可權,可以將該許可權指定給域使用者組,或者讓域使用者組屬於具有該許可權的組。
域使用者組預設是內建域Users組的成員.
答案:在域環境中,只需要在活動目錄中建立一次bibo賬戶,那麼就可以在任意200臺電腦中的一臺 進行登入bibo。如果要為bibo更改密碼,只需要在活動目錄中更改一次就可以了