Evalexp's Digital Garden

域基础知识总结

16分钟阅读

域基础知识总结

工作组

将不同的计算机按照其功能(或部门)分别列入不同的工作组;例如技术部都列入“技术部”工作组、行政部列入“行政部”工作组中。如果希望访问某个部门的资源,只要在“网络”选项中打开该部门的工作组名,即可访问该部门的所有计算机。相比与不分组情况,这样有序得多。

创建、加入工作组的方式比较简单,在计算机中属性更改工作组即可;加入一个不存在的工作组会默认新建该组。

如果希望一个账户可以在一个公司内的所有计算机登录,那么在工作组环境下,必须在所有的计算机内的SAM数据库创建该账户。如果该账户被泄露或是主动希望修改密码,则必须对所有计算机进行操作,当计算机过多时,修改密码的操作将占用大量时间与精力,而域就是应用在这种场景。

  • (Domain)是一个由安全边界的计算机集合(安全边界即两个域无法互通,一个域内的用户无法访问另一个域的资源)。用户想要访问域内资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,取决于用户在域内的身份。
  • 域控制器(Domain Controller,DC)是域内的一台类似管理服务器的计算机,我们可以形象地将它理解为一个单位的门禁系统。域控制器负责所有连人的计算机和用户的验证工作。域内的计算机如果想互相访问,都要经过域控的审核。

域控中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到域,域控会检查该计算机是否属于这个域,以及其账户密码是否正确;任意一项不通过,域控就会拒绝登录。用户在不登陆情况下,无法访问服务器中的资源。

域控是整个域的通信枢纽,所有的权限身份认证都在域控上进行,即域内的所有账号及其密码散列值都存在域控中。

单域

一般用于地理位置固定的小公司,只需建立一个域即可满足需求。一个域内,一般要两台域服务器,一个作为DC,一个作为备份DC。活动目录的数据库是存储在DC中的,如果没有备份DC,则一旦DC瘫痪,域内用户就无法登录该域。如果有备份DC,可以快速恢复DC。

父域与子域

由于管理及其它需求,需要划分多个域。第一个域一般称为父域,分部的域称为该父域的子域。

例如公司的各个分公司位于不同的地点,就需要使用到父域和子域。如果只是单纯的划分成一个域,不同地区的信息交互(同步、复制等)花费时间长、占用宽大大。划分子域后,分公司使用自己的域管理资源,而且不同域间的信息交互条目少还可以压缩,极大地节省带宽。

出于安全策略的考虑,也可以单独划分子域设定域内安全策略进行管理。

域树

域树是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域而不能访问或管理其他域。如果两个域需要互通,则必须建立信任关系。域树内的父域和子域,可以按照需要互相管理,跨网络分配文件和打印机等资源,从而实现不同域间网络资源共享管理等。

在一个域树中,父域可包含子域,子域只能使用父域的名字作为其域名的尾缀,图可见下方域森林。

域森林

域森林是指多个域树通过建立信任关系组成的集合。例如,在公司兼并场景中,某公司使用域树abc.com,被兼并公司本来有自己的域树abc.net,由于abc.net无法挂在域树abc.com下,此时建立信任关系建立域森林即可保留其本身特性的同时与管理资源,如图:

域名服务器

DNS是指用于实现域名与相应IP转换的服务器。在域树中可以看出,域树中的域名与DNS十分相似。实际上,由于域中计算机使用DNS定位域控、服务器以及其它计算机,所以域的名字就是DNS域的名字。内网渗透中,大多寻找DNS服务器来确定域控。

活动目录

活动目录(Active Directory,AD)是指域环境中提供目录服务的组件。

目录存储有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等。

如果把内网看成一个字典,内网的资源是字典的内容,那么活动目录就相当于字典的索引;即活动目录存储了网络中所有资源的快捷方式,可以通过该快捷方式快速定位资源。

活动目录无需考虑被管理对象的地理位置,只要按照一定方式将其放置到不同的容器中即可。

活动目录的逻辑结构包括组织单元(OU)、域树域森林。域树内的所有域共享一个活动目录,这个活动目录内的数据分散存储在各个域中,每个域只存储该域内的数据。

活动目录主要提供一下功能:

  1. 账户集中管理
  2. 软件集中管理
  3. 环境集中管理
  4. 增强安全性
  5. 更可靠、更短的宕机时间

域控与活动目录的区别

如果网络规模较大,就要把网络中的众多对象,例如计算机、用户、用户组、打印机、共享文件等,分门别类、井然有序地放在一个大仓库中,并将检索信息整理好,以便查找、管理和使用这些对象。这个拥有层次结构的数据库,就是活动目录数据库,简称AD库。

要实现域环境,就要安装AD。如果一个计算机安装了AD,它就变成了DC。

安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全与的网络访问控制策略,从而允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。这些措施,可以使得网络风险最小化,当攻击发生时可以尽可能地将威胁隔离,从而降低对域内计算机的影响。

一个典型的中小型内网安全域划分如图:

可以看到将网络分为三部分:安全级别最高的内网、安全级别中等的DMZ;安全级别最低的外网。三个区域负责不同的任务,因此需要设置不同的访问策略。

DMZ称为隔离区,是为了解决安装防火墙后外部不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。DMZ一般会防止一些公开的服务器设施,例如Web服务器、FTP服务器、邮件服务器等。

在网络边界一般会部署防火墙以及入侵检测、入侵防御产品等。如果有Web应用,还会设置WAF,从而更加有效地保护内网。

在配置一个拥有DMZ的网络时,通常需要定义如下访问控制策略,以实现其屏障功能:

  • 内网可以访问外网
  • 内网可以访问DMZ
  • 外网不能访问内网
  • 外网可以访问DMZ
  • DMZ不能访问内网;如果不执行此策略,DMZ被攻陷后则内网无法受保护
  • DMZ不能访问外网:也有例外例如邮件服务器

内网又可以分两个区域:办公区和核心区。

  • 办公区:员工日常的工作区,一般会安装防病毒软件、主机入侵检测产品等。办公区一般能访问DMZ。攻击者想进入内网,可以使用鱼叉攻击、水坑攻击,还要社会工程学手段。办公区人员多而杂,变得较为频繁,在管理上存储诸多漏洞,是攻击者进入内网的重要途经之一。
  • 核心区:存储其余最重要的数据、文档等信息资产,通过日志记录、安全审计等安全措施进行严密的保护,往往只有很少的主机能够访问。

域内计算机分类

域内计算机身份是不平等的,有以下四种类型:

  1. 域控制器(一个域必须有的)

    域控用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控可以有多台,以分担用户登录、访问操作。多个域控可以一起工作,自动备份用户账户和活动目录数据。

  2. 成员服务器

    即指安装了服务器操作系统并且加入了域、但没有安装活动目录的计算机,主要任务是提供网络资源。

  3. 客户机

    安装了其它操作系统的计算机,用户利用这些计算机和域中的账户就可以登录域。

  4. 独立服务器

    独立服务器和域没有关系,若服务器既不加入域、也不安装活动目录,就称为独立服务器。独立服务器可以加入工作组、与网络中的其它计算机共享资源,但是不能使用活动目录提供的任何服务。

域权限

域本地组

多域用户访问单域资源(访问同一个域),可以从任何域添加用户账号、通用组和全局组,但只能在其所在域内指派权限。域本地组不能嵌套在其它组中。域本地组主要用于授予本域内资源的访问权限。

重要的域本地组权限如下:

  • 管理员组
    • 成员不受限制的存取计算机、域内资源
  • 远程登录组
    • 拥有远程登录权
  • 打印机操作员组
    • 可以管理打印机,并且可以在本地登录和关闭域控
  • 账户操作员组
    • 可以创建和管理该域中的用户和组并为其设置权限,也可以本地登录域控,但是不能更改属于Administrators或Domain Admins组用户,也不能修改该组
  • 服务器操作员组
    • 可以管理域服务器,包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘等等
  • 备份操作员组
    • 成员可以在域控中备份和还原,也可以本地登录和关闭域控

全局组

单域用户访问多域资源(必须是同一个域的用户),只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。

全局组和域本地组的关系,类似于域账户和本地账户的关系,域账户可以在域全局使用,本地账户只能本机使用。

通用组

通用组的成员来自域森林中任何域的用户账号、全局组和其它通用组,可以在该域森林的任何域中指派权限,可以嵌套在其它组中,非常适合在域森林内的跨域访问中使用。

总结下来就是:域本地组来自于全林、作用本域;全局组来自本域、作用域全林;通用组来自全林、作用全林

关系图谱

反向链接