内网基础知识

内网概述

1. 内网也就是指局域网

是指在某一区域（或范围）内，由多台计算机 互联成的计算机组

一般范围也就几千米以内

局域网可以实现文件管理，应用软件共享，打印机共享，工作组内的历程安排，电子邮件和传真通信服务等功能

1. 内网是封闭的

他可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成

例如：银行，学校，企业工厂，政府机关，网吧，单位办公网等 都属于这类

在研究内网的时候，我们经常会听到工作组，域，域控制器，父域，子域，域树(也叫做域林或者林)，活动目录，DMZ，域内权限等名词

他们指的是啥，又有什么区别呢？

下面我们详解来说一说

工作组

在一个大型的单位里面，可能存在成百上千台计算机互相连接组成一个局域网，他们都会列在网络内。

那么如果说 我们不对这样计算机进行分组的话，网络的混乱程度可想而知

为了解决这一问题呢，就产生了工作组(work Group)这么一个概念

将不同的计算机，按照不同的功能(或者部门) 分别列入不同的工作组里

比如:

技术部的计算机都列入”技术部”这个工作组内

行政部的计算机都列入”行政部”这个工作组内

想要访问某个部门的资源的时候，只要在”网络”里面双击该部门的工作组名，就可以看到该部门里面所有的计算机了

相比 在不分组的情况下，我们这样弄一个工作组的话是不是就有序的多了(尤其是针对大型局域网内来说）

就如下图所示一样

同处在一个交换机下的”技术部”工作组和”行政部”工作组

其次怎么加入/创建工作组

①右击电脑桌面上的“计算机” 在弹出的菜单中选择属性，点击更改设置，“更改”

在“计算机名”一栏中写入你想好的名称，在“工作组”一栏中写入你想加入的工作组名称

②如果你输入的工作组名称，网络中没有。

那么相当于新建了一个工作组，

当然暂时只有你的电脑 在工作组内。

单击“确定”按钮后，windows提示需要重新启动，重新启动后，再进入“网络”后就可以看到你所加入的工作组成员了

退出工作组

只要将工作组名称改动即可

不过在网上别人照样可以访问你的共享资源。你也可以随便加入同一网络上的任何其他工作组

你可以把工作组理解成就好像是一个可以自由进入和退出的社团，只是为了方便同一组的计算机互相访问

其次工作组并不存在真正的集中管理作用，工作组里的所有计算机都是对等的，也就是没有服务器和客户机之分的。

另外在这里提一个问？

假如一个公司有200台电脑，我们希望某一台电脑上的账户bibo 可以访问每一台电脑内的资源或者可以在每一台电脑上进行登录

那么在工作组环境中，我们必须要在这200台电脑的各个SAM数据库中创建bibo这个用户，一旦bibo想要更换密码，那么bibo他就要更改200次！现在只是200台电脑的公司。

如果是有5000台的电脑或者上万台电脑的公司呢？我估摸着bibo他死的心都有

以上是一个典型的域环境应用场景

[答案在最后一页]

那么下面我们来介绍一下什么是“域”

①域是一个有安全边界的计算机集合

安全边界：是指在两个域中，一个域中的用户无法访问另一个域中的资源。

你可以简单的把域理解成 升级版的工作组，相比工作组而言，他有一个更加严格的安全管理控制机制

如果你想访问域内的资源，必须拥有一个合法的身份登录到该域中，而你对该域内的资源拥有什么样的权限，还需要取决于你在该域中的用户身份是什么样的

②域控制器（简称DC）是一个域中的一台类似管理服务器的计算机

你们可以形象的地将他理解成一个单位的门禁系统

他负责每一台连入的电脑和用户的验证工作，域内电脑如果想要互相访问首先都是经过他的审核

其次域控制器中存在他这个域中所有电脑的账户和密码，属于这个域的计算机等信息构成的数据库。当计算机连接到域的时候，域控制器首先要鉴别这台计算机是否属于这个域，以及用户使用的登录账号是否存在，密码是否正确

如果说上面有一项不正确，域控制器就会拒绝这个用户通过这台计算机的登录。

如果用户不能登录，就不能访问服务器中的资源

域控制器是整个域的通信枢纽，所有的权限身份验证都在域控制器进行，也就是说，域内所有用来验证身份的账号和密码散列值都保存在域控制器中。

③域的分类

1- 单域

-在一般的 具有固定地理位置的小公司里，建立一个域就可以满足所需了

-一般在一个域内要建立至少两个域服务器，一个作为DC（域控制器），一个是备份DC。如果没有第二个备份DC，那么一旦DC瘫痪了，则域内的其他用户就不能登录到该域了。

因为活动目录的数据库（包括用户的账号信息）是存储在DC（域控制器）中。而有一台备份域控制器（BDC），则至少该域还能正常使用，期间把瘫痪的DC恢复就可以了。

2- 父域和子域

2.1父域

-出于管理以及其他一些需求，需要在网络中划分多个域，第一个域称作父域，各分部的域称为该域的子域（）

-比如一个大公司，他的不同分公司在不同的地理位置，则就需要父域和子域这样的结构

-如果把不同地理位置的分公司放在同一个域内，那么他们之间信息交互（包括同步，复制等）所花费的时间会比较的长，而且占用的带宽也比较大。（因为在同一个域内，信息交互的条目是很多的，而且不压缩；而在域和域之间，信息交互的条目相对较少，而且压缩）

-还有一个好处，就是子公司可以通过自己的域来管理自己的资源

-还有一种情况，就是出于安全策略的考虑，因为每个域都有自己独有的安全策略。比如一个公司的财务部门希望能使用特定的安全策略（包括账号密码策略等），那么可以将财务部门做成一个子域来单独管理。

域树

-域树 指若干个域 通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他的域

如果两个域之间互相访问 那么就需要建立信任关系

-信任关系 是连接在域与域之间的桥梁。

域树内的父域和子域之间不但可以按需要 互相进行管理，还可以跨网络分配文件和打印机等设备及资源，使用不同的域之间实现网络资源共享与管理，以及相互通信和数据传输

-在一个域树中，父域可以包含很多子域，子域是相对父域来说的，指域名中的每一个段。

各子域之间用(.)号隔开，一个点代表一个层次。

放在域名最后的子域称为最高级子域或一级域

他前面的子域称为二级域

例如:asia.abc.com的级别要比abc.com的低

再比如:cn.asia.abc.com要比asia.abc.com的低

也就是说 在一个域树中，域的名字是连续的

域森林

-域森林 指若干个域树 通过建立信任关系组成的集合。

例如:在一个公司兼并场景中，某公司使用域树abc.com和被兼并的公司的域树abc.net(或者在需要为被兼并公司建立具有自己特殊的域树时)，域树abc.net无法挂在域树abc.com下。所以abc.com与域树abc.net之间需要通过建立信任关系来构成域树

补充:企业兼并是两个或两个以上的企业根据契约关系进行股权合并，以实现生产要素的优化组合

可以通过域树之间建立的信任关系来管理和使用整个森林中的资源，从而又保持了原来的域自身 原有的特性

DNS--域名服务器

-DNS域名服务器是进行 域名和与之对应的ip地址转换的服务器

-在域树的介绍中，可以看到域树中的 域的名字和DNS域的名字非常相似，实际上 域的名字就是DNS域的名字，因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机，网络服务的，所以域的名字就是dns域的名字

-一般情况下，我们在内网渗透的时候就是通过寻找DNS服务器来定位域控制器，因为通常DNS服务器和域控制器会处在同一台机器上

活动目录(AD)

-活动目录：是域环境中提供目录服务的组件

-目录是什么？

目录就是存储有关 网络对象（如用户，组，计算机，共享资源，打印机和联系人等）的信息。

目录服务是帮助用户快速准确的从目录中查找到他所需要的信息服务

活动目录实现了目录服务，为企业提供了网络环境的集中式管理机制

-如果将企业的内网看成是一本字典，那么内网里的资源就是字典的内容，活动目录就相当于字典的索引。即活动目录存储的是网络中所有资源的快捷方式，用户通过寻找快捷方式而定位资源

例如:

可以为甲公司的财务科，人事科，销售科各建一个域，因为这几个域同属甲公司，所以可以将这几个域构建一个域树并交给甲公司管理；

而甲，乙，丙公司都属于A集团，那么，为了A集团更好地管理这3家公司，可以将这3家公司的域树集中起来组成域林(即A集团)

因此，A集团可以按照A集团(域森林)---->子公司(域树)----->部门(域)---->员工的方式

对于网络进行层次分明的管理。

活动目录这种层次结构，可以使企业网络更加具有极强的扩展性，便于进行组织，管理及目录定位。

活动目录的主要功能

-账号集中管理，所有账号均存在服务器上，方便对账号的重命名/重置密码

-软件集中管理，统一推送软件，统一安装网络打印机等。利用软件发布策略分发软件，可以让用户自由选择安装软件

-环境集中管理，利用AD（活动目录）可以统一客户端桌面，ie，tcp/ip等设置

-增强安全性，统一部署杀毒软件和扫毒任务，集中化管理用户的计算机权限，统一制定用户密码策略等，可监控网络，资源统一管理

-更可靠 更短的当机/死机时间。如：利用AD控制用户访问权限，利用群集，负载均衡等技术对文件服务器进行容灾设定，网络更可靠，宕（dang）机时间更短

-活动目录为Microsoft（微软）统一管理的基础平台，其他isa，exchange，sms等服务都依赖于这个基础平台

AD（活动目录）和DC（域控制器）的区别

-如果网络规模较大，我们就会考虑把网络中的众多对象，例如：计算机，用户，用户组，打印机，共享文件等，分门别类，井然有序地放在一个大仓库中，并做好检索信息，以便于查找，管理和使用这些对象（资源）。这个有层级结构的数据库，就是活动目录数据库，简称AD库

-那么我们应该把这个数据库放在哪台计算机上呢？规定是这样的，我们把存放有活动数据库的计算机叫做DC。所以说我们要实现域环境，其实就是要安装AD，当内网中的一台计算机安装了AD后，他就变成了DC（用于存储活动目录数据库的计算机）

安全域划分

-安全域划分的目的是：将一组安全等级相同的计算机划入同一个网段内，这一网段内的计算机拥有相同的网络边界，在网络边界采用防火墙部署来实现对其他安全域的NACL（网络访问控制策略），允许哪些ip访问次域，不允许哪些ip访问次域；

允许次域访问哪些ip/网段，不允许访问哪些ip/网段。使得其风险最小化，当发生攻击时可以将威胁最大化的隔离，减少对域内计算机的影响

一个典型的中小型内网的安全域划分，如下图所示

一个虚线框表示一个安全域的(也就是网络的边界，一般分为DMZ和内网)，通过硬件防火墙的不同端口实现隔离

在一个用路由器连接的内网中，可以将网络划分为3个区域

安全级别最高的就是内网

安全级别中等的就是DMZ（隔离区）

安全级别最低的就是外网了

因此需要设置不同的访问策略 -

DMZ（隔离区）

①DMZ称为“隔离区”，也叫做“非军事化区”

是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区

②这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以设置一些必须公开的的服务器设施，如：企业web服务器器，FTP服务器和论坛服务器等

DMZ是对外部提供服务的区域，因此可以从外部访问

③另一个方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案 对攻击者来说又多了一道关卡

在网络边界上一般会部署防火墙及入侵检测系统，入侵防御产品等。如果有web应用，还会设置waf，从而更加有效的保护内网，攻击者如果要进入，首先他得突破就是这重重防御.

在配置一个拥有DMZ的网络时，通常需要定义如下访问控制策略，以实现其屏障功能

DMZ的屏障功能

①内网可以访问外网

内网的用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT（网络地址转换协议）

②内网可以访问DMZ

此策略使用内网用户可以使用或者管理DMZ中的服务器

③外网不能访问内网

这是防火墙的基本策略，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。如果要访问，就要通过V**方式进行

④外网可以访问DMZ

DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换

⑤DMZ不能访问内网

如不执行此策略，则当入侵者攻陷DMZ的时候，内部网络将不会受到保护

⑥DMZ不能访问外网

此策略也有例外，比如我们的例子中，在DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作

内网又可以分为办公区和核心区

办公区: 公司员工日常的工作区，一般会安装防病毒软件(火绒，360，腾讯电脑管家等等)，主机入侵检测产品等

办公区一般能够访问DMZ

如果运维人员也在办公区，那么部分主机也能访问核心数据区(比如:很多大的企业还会使用堡垒机来统一管理用户的登录行为)

攻击者如果想要进入内网，一般会使用鱼叉攻击，水坑攻击，当然还有社会工程学手段。

办公区人员多而杂，变动也很频繁，在安全管理上可能存在诸多漏洞，是攻击者进入内网的重要途径之一。

核心区: 存储着企业最重要的数据，文档等信息资产，通过日志记录，安全审计等安全措施进行严密保护，往往只有很少的主机能够访问,从外部是绝难直接访问核心区的。

一般来说，能够直接访问核心区的就只有运维人员和IT部门的主管，所以攻击者会重点关注这些用户的信息(攻击者在内网中进行横向移动攻击时，会优先查找这些主机)

域中计算机分类

在域结构的网络中，计算机的身份是不平等的，有域控制器，成员服务器，客户机，独立服务器4种类型

1.域控制器

域控制器用于管理所有该域的网络访问。包括:登录服务器，访问共享目录和资源。

域控制器中存储了域内所有的账户和策略信息，包括安全策略，用户身份验证信息和账户信息

2.成员服务器

成员服务器: 是指安装了服务器操作系统并加入了域，但没有安装活动目录的计算机

其主要的任务就是提供网络资源

成员服务器的类型通常有: 文件服务器，应用服务器，数据库服务器，web服务器，邮件服务器，防火墙，远程访问服务器，打印机服务器等

3.客户机

域中的计算机可以安装了其他操作系统的计算机，用户利用这些计算机和域中的账户就可以

登录域，这些计算机被称为域中的客户机。

域用户账号通过域的安全验证后，即可访问网络中的各种资源

4.独立服务器（和域无关）

独立服务器和域没有关系

如果服务器既不加入域，也不安装活动目录，就称其为独立服务器

独立服务器可以创建工作组，与网络中的其他计算机共享资源，但不能使用活动目录提供的任何服务

域控制器用于存放活动目录数据库，是域中必须要有的，而其他三种计算机则不是必须要有的

也就是说，最简单的域可以包含一台计算机，这台计算机就是该域的域控制器

当然，域中各服务器的角色是可以改变的

例如:独立服务器既可以成为域控制器，也可以加入到某个域成为成员服务器

内权限解读

下面将介绍域相关内置组的权限

包括: 域本地组，全局组，通用组的概念和区别，以及几个比较重要的内置组权限

首先是-介绍 组的概念

组(Group)是用户账号的集合

通过向一组用户分配权限，就可以不必向每个用户分配权限

例如: 管理员在日常的工作中，不必为单个用户账号设置独特的访问权限，只需要将用户号放入相应的安全组中

管理员通过配置安全组访问权限，就可以为所加入安全组的用户账号配置同样的权限

使用安全组而不是单个的用户账号，可以大大的简化网络的维护和管理工作。

①域本地组

多域用户访问单域资源（访问同一个域）。

可以从任何域添加用户账户，和通用组及全局组

但只能在其所在域内指派权限。

域本地组不能嵌套于其他组中。

他主要用于授予位于本域资源的访问权限

②全局组

单域用户访问多域资源（必须是同一个域里面的用户）

只能在创建该全局组的域上 进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中

可以将某个全局组添加到同一个域的另一个全局组中，或者添加到其他域的通用组和域本地组中(不能添加到不同域的全局组中，全局组只能在创建他的域中添加用户和组)

虽然可以通过全局组授予用户访问任何域内的资源的权限，但是一般不建议直接用它来进行权限管理

全局组他和域本地组的关系，与域用户账号和本地账号相似

域用户账号可以在全局使用，即在本域和其他关系的其他域中都可以使用

而本地账号只能在本机中使用

例如:将张三(域账号为Z3)添加到域本地组administartors中，但并不能使Z3对非域控制器的域成员计算机拥有任何权限

但若是将Z3添加到全局组中，用户张三就可以成为域管理员，他就可以全局使用，对域成员计算机拥有特权

③通用组

通用组成员 来自域林中任何域中的用户账户，全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问

不过，通用组的成员不是保存在各自的域控制器中，而是保存在全局编录(GC)当中，任何变化都会导致全林复制

全局编录(GC): 他常用于存储一些不经常发送变化的信息

由于用户账号添加到全局组中，再把这些相对稳定的全局组添加到通用组中

为了方便理解和总结：

域本地组：来自全林 用于本域(老三)

全局组： 来自本域 作用于全林(老二)

通用组：来自全林 用于 全林(老大)

A-G-DL-P策略

A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限

A（account），表示用户账号

G（Global group），表示全局组

U（Universal group），表示通用组

DL（Domain local group），表示域本地组

P（Permission许可）表示资源权限

按照AGDLP的原则 对用户进行组织和管理起来更容易

在AGDLP形成以后当给一个用户某一个权限的时候，只要把这个用户加入到某一个本地域组就可以了

在安装域控制器的时候，系统会自动生成一些组，称之为内置组。

内置组定义了一些常用的权限，通过将用户添加到内置中，可以使用户获得相应的权限

Active Directory用户和计算机，控制台窗口的Builtin和Users组织单元中的组就是内置组，内置的域本地组在Builtin组织单元，如图所示

内置的全局组和通用组在Users组织单元里面。如下图所示

下面介绍几个比较重要的域本地组权限

域本地组的权限

①Administrators（管理员组)

(Administrators--管理员组)的成员可以不受限制地存取计算机/域的资源。

它不仅是最具权力的一个组，也是在活动目录和域控制器中默认具有管理权限的组。

该组的成员可以更改Enterprise Admin，Schema Admin和Domain Admin组的成员关系，是域森林中强大的服务管理员组

②Remote Desktop Users(远程登录组)

Remote Desktop Users(远程登录组)他的成员具有远程登录的权限

③Print Operators（打印机操作员组)

Print Operators（打印机操作员组)的成员可以管理网络打印机

包括: 建立，管理及删除网络打印机，并可以在本地登录和关闭域控制器

④Account Operators(帐号操作员组)

Account Operators(帐号操作员组)的成员可以创建和管理该域中的用户和组，并为其设置权限，也可以在本地登录域控制器。但是，不能更改属于Administrators或Domain Admin组的账户，也不能修改这些组。默认情况下，该组中没有成员。

⑤Server Operaters（服务器操作员组)

服务器操作员组的成员可以管理域服务器，其权限包括:（建立/管理/删除任意服务器的共享目录，管理网络打印机，备份任何服务器的文件，格式化服务器硬盘，锁定服务器，变更服务器的系统时间，关闭域控制器）

在默认的情况下，该组中没有成员。

⑥Backup Operators（备份操作员组)

备份操作员组的成员可以在域控制器中执行备份和还原操作，并可以在本地登录和关闭域控制器。

默认情况下，该组没有成员。

下面我们再介绍几个比较重要的全局组和通用组的权限

①Domain Admins(域管理员组)

②Enterprise Admins（企业系统管理员组)

③Schema Admins（架构管理员组)

④Domain Users(域用户组)

①域管理员组(Domain Admin) 的成员在所有加入域的服务器(工作站)，域控制器和活动目录中均默认拥有完整的管理员权限。

因为该组会被添加到自己所在域的Administrators组中，因此可以继承Administrators组的所有权限。

同时，该组默认会被添加到每台域成员计算机的本地Administrators组中，这样Domain Admin组就获得了域中所有计算机的所有权，如果希望某用户成为域系统管理员的话，建议将该用户添加到Domain Admin组中，而不要直接将该用户添加到Administrators组中。

②企业系统管理员组(Enterprise Admin)是域森林根域中的一个组。

该组在域森林中的每个域内都是Administrators组的成员，因此对所有域控制器都有完全访问权限

③Schema Admins（架构管理员组)是域森林根域中的一个组，可以修改活动目录和域森林的模式。

该组是为了活动目录和域控制器提供完整权限的域用户组，因此，该组成员的资格是非常重要的

④Domain Users(域用户组)中是所有的域成员。

在默认情况下，任何由我们建立的用户账号都属于Domain Users组，而任何由我们建立的计算机账号都属于Domain Computers组。

因此，如果想让所有的账号都获得某种资源存取权限，可以将该权限指定给域用户组，或者让域用户组属于具有该权限的组。

域用户组默认是内置域Users组的成员.