安全 --- 内网基础知识（01）

内网基础知识

（1）概念

内网也称局域网（Local Area Network，LAN）是指在某一工作区域内由多台计算机互联形成的计算机组，一般是方圆几千米内。局域网可实现文件管理、应用软件共享、打印机共享、工作内的历程安排、电子邮件和传真通信服务等功能。

内网为封闭性网络，一定程度上能够防止信息泄露和外部网络攻击，具有较高安全性。

（2）工作组（WorkGroup）

一个大的单位内，可能有成百上千台电脑相连形成局域网，它们都会列在“网络”内。如果不分组，就会相当混乱。为了解决这个问题，就有了工作组的概念。

工作组：对局域网中计算机进行分类，使得网络有序。计算机之间的管理依然是各自为政，所有计算机是对等的，可随意加入和退出，且不同工作组之间的共享资源可以互相访问。

（3）域

域（Domain）是一个有安全边界的计算机集合，可以吧域理解成为升级版的“工作组”。相比工作组，它有更严格的安全管理控制机制，若想访问域内资源，必须要有合法身份登录到域中，并且这个合法身份的用户身份，决定着在该域内所拥有的权限。

域管理员只能管理域内部的关系，除非其他的域显示赋予管理权限，才可访问其他域，每个域都有自己的安全策略，以及与其他域之间的安全信任关系。

<1> 域控制器

域控制器（Domain Controller --- DC）是一个域中类似管理服务器的计算机，负责每一台联入的电脑和用户的验证工作，域内电脑相互访问首先经过它的审核。

<2> 安全域

目的：将一组安全等级相同的计算机划分到同一网段内，这一网段内的计算机有相同的网络边界，网络边界上采用防火墙部署来实现其他安全域的NACL（网络访问控制策略），允许哪些IP访问，哪些不能IP访问；允许此域可访问哪个IP/网段，不允许访问哪个IP/网段

<3> 域的分类

分为：单域、父子域、域树、域森林、DNS域名服务器

【1】单域：只有一个域的网络环境，一般需要两台DC，一台常用，一台备用

【2】父子域：类比公司总部和公司分部的关系，总部的域称为父域，各分部的域称为该域的子域。

好处：减少了域之间信息交互的压力（域内信息交互不会压缩，域间信息交互可压缩）；不同子域之间可以指定特定的安全策略

【3】域树（tree）：多个域通过建立信任关系组成的集合，若两个域之间需要互相访问，则需建立信任关系（trust relation），通过信任关系可将父子域连接为树状结构

【4】域森林（forest）：若干个树通过信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源，从而又保持了域自身原有的特性。

【5】DNS域名服务器：DNS域名服务器是进行域名（domain name）和与之相对应的IP地址（IP address）转换的服务器。

（一般情况下，在内网渗透时通过寻找DNS服务器来定位域控制器，通常DNS服务器和域控制器处于同一台机器）

<4> 域中计算机分类

域控制器
成员服务器
客户机
独立服务器

域和工作组的区别：

[1] 适用环境不同

域一般是在比较大的网络中，工作组较小，在一个域中需要一台类似服务器的计算机，叫域控服务器，其他计算机需互相访问都得经过域控服务器；工作组则不同，一个工作组中所有计算机都是对等的，没有服务器和客户机之分，与域相同，若一台计算机访问其他计算机首先也要找到组中的一台类似组控服务器，而组控服务器是不固定的，以选举方式实现，它存储这个组的相关信息，找到这台计算机得到组信息然后进行访问。

[2] 分类

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理，需访问一台计算机，还是要到被访问的计算机上实现用户验证；域是一个有安全边界的计算机集合，在同一个域中的计算机上已经建立了信任关系，域内访问其他机器不需被访问机器的许可了

[3] 拓展

域是windows网络中运行的独立单位，域之间相互访问需要建立信任关系（trust relation），信任关系是在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需相互管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享管理。
工作组是局域网中的一个概念，是最常见最普通的资源管理模式，将不同电脑按所需执行的功能划分到不同组中，以方便管理。

（4）活动目录（Activity Directory -- AD）

若将内网中的资源看做字典，则AD就是这个字典的索引。活动目录存储的是内网中所有资源的快捷方式，用户通过寻找快捷方式来定位资源。

（5）AD和DC的区别

网络规模较大，会考虑将网络中的众多对象：计算机、用户、用户组、打印机、共享文件等，分类放在仓库中，做好检索信息，便于查找、管理和使用。这个有层次结构的数据库，就是活动目录数据库，简称AD库；
我们将存放AD库的计算机称为DC。实现域环境，就是安装AD（当内网中其中一台计算机安装AD后，它就变成了DC）。
DC的本质是一台计算机，AD的本质是提供目录服务的组件

（6）域内权限

分类：域本地组、全局组、通用组、AGDLP

【1】域本地组：多域用户访问单域资源（访问同一个域）。可从任何域添加用户账户、通用组和全局组，只能在其所在域内分配权限。域本地组不能嵌套于其他组中。主要是用于授予位于本域资源的访问权限

【2】全局组：单域用户访问多域资源。只能在创建该全局组的域上进行添加用户的全局组，可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中。一般不用来直接分配权限。

【3】通用组：来自域林中任何域中的用户账户、全局组和其他通用组。可在域林中的任何域中指派权限，可嵌套于其他域组中。适合域林中的跨域访问。

记忆方法：

域本地组：来自全林，作用于本域

全局组：来自本域，作用域全林

通用组：来自全林作用于全林

【4】A-G-DL-P策略

A(account)，表示用户账号
G(Global group)，表示全局组
U(Universal group)，表示通用组
DL(Domain local group)，表示域本地组
P(Permission 许可)，表示资源权限。

A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。