内网基础篇——浅谈内网
内网也指局域网,是指某一区域内由多台计算机互联而成的计算机组,组网的范围通常是数千米内。
工作组域 一个有安全边界的计算机集合 域控制器 域中的一台类似于管理服务器的计算机,负责所有连入的计算机和用户的验证工作。域内成员如果互相访问,都要经过域控制器的审核。
域中的几个环境 单域 父域和子域 网络中的多个域,第一个域称为父域,各分部的域称为 该域的子域 域树 多个域通过建立信任关系组成的集合。一个域管理员只能管理本域,不能访问或者管理其他域。如果两个域之间需要互相访问,则需要建立信任关系。信任关系是连接不同域的桥梁。 域森林 多个域树通过建立信任关系组成的集合 域名服务器 用于实现域名和与之对应的IP地址转换的服务器。 活动目录 指域环境中提供目录服务的组件 活动目录的主要功能 账号集中管理 所有账号均存储在服务器中,以便执行命令和重置密码等 软件集中管理 统一推送软件、安装网络打印机等,利用软件发布策略分发软件,可以让用户自由选择 需要安装的软件。 环境集中管理 统一客户端桌面、IE、TCP/IP协议等设置 增强安全性 统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网络,对资料进行统一管理。 更可靠,更短的宕机时间 利用活动目录控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灭设置。网络更可靠,宕机时间更短。 活动目录是微软提供的统一管理基础平台,ISA、Exchange、SMS等都依赖这个平台。 活动目录数据库简称AD库,要实现域环境,其实就是要安装AD。一台计算机安装了AD,他就变成了DC(用于存储活动目录数据库的计算机) 安全域的划分 划分安全域的目的是将一组安全等级相同的计算机划入统一个网段,这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而对允许那些IP地址访问此域、允许此域访问那些IP地址和网段进行设置。 在用路由器连接的内网中,可以将网络划分为三个区域:安全级别最高的内网;安全级别中等的DMZ;安全级别最低的外网(Internet)。
DMZ称为隔离区,是为了解决安装防火墙后外部网络不能访问内部服务器的问题而设立的一个 非安全系统与安全系统之间的缓冲区。DMZ位于企业内部网络和外部网络之间。DMZ是对外提供服务的区域,因此可以从外部访问。 在配置一个拥有DMZ的网络时,通常需要定义如下访问控制策略 内网可以访问外网:内网用户需要自由地访问外网。防火墙需要进行NAT 内网可以访问DMZ:此策略时用户可以使用或者管理DMZ中地服务器 外网不能访问内网:防火墙的基本策略,如需访问,通过VPN的方式 外网可以访问DMZ:需要由防火墙来完成对外地址到服务器实际地址的转换 DMZ不能访问内网:如不执行,攻击者攻陷DMZ时,厄尼旺将无法收到保护 DMZ不能访问外网:有例外 内网可以分为办公区和核心区(横向移动攻击的优先查找目标) 域中计算机的分类 域控制器 用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器中存储了域内 所有的账户和策略信息,包括安全策略、用户身份验证信息、账户信息。在网络中,可以有多台计算机被配置为域控制器,以分担用户的登录、访问等操作。多个域控制器额可以一起工作,自动备份用户账户和活动目录数据。提高了网络的安全性和稳定性 成员服务器 指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机,主要任务时提供网络 资源。通常有文件服务器、应用服务器、数据库服务器、WEB服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等 客户机 独立服务器 如果服务器既不加入域,也不安装活动目录,就称其为独立服务器。独立服务器可以创建工 作组、与网络中的其他计算机共享资源,但不能使用活动目录提供的任何服务。 域控制器用于存放活动目录数据库,时域中必须有的,而其他三种则不是必须有的。最简单 的域可以只包含一台计算机,就是该域的域控制器。 域内权限解读 组时用户账号的集合。通过向一组用户分配权限,就可以不必向每个用户分别分配权限。 域本地组 多域用户访问单域资源(访问同一个域),可以从任何域添加用户账号、通用组和全局组, 但只能在其所在域内指派权限。域本地组不能嵌套在其他组中。域本地组主要用于授予本域内资源的访问。 全局组 单域用户访问多域资源(必须时同一个域中的用户),只能在创建该全局组的域中添加用户 和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。 可以将某个全局组添加到同一个域的另一个全局组中,或者添加到其他域的通用组和域本地 组中(不能添加到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以通过全局组授予用户访问任何域内资源的权限,但一般不直接用来进行权限管理 通用组 通用组成员来自域森林中任何域的用户账号、全局组和其他通用组。可以在该域森林的任何 域中指派权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问。通用组的成员不是保存在各自的域控制器中,而是保存在全局编录(GC)中,任何变化都会导致全林复制。 全局编录通常用于存储一些不经常发生变化的信息。由于用户账号信息时经常变化的,建议 不直接将用户账号添加到通用组中,先将用户账号添加到全局组中,在把这些相对稳定的全局组添加到通用组中。 域本地组来自全林,作用于本域;全局组来自本域,作用于全林;通用组来自全林,作用于 全林。 A-G-DL-P策略 指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源 A:用户账号 G:全局组 U:通用组 DL:域本地组 P:资源管理 在安装域控制器时,系统会自动生成一些组,称为内置组。内置组定义了一些常用的权限,通过将用户添加到内置组中,可以时用户获得相应的权限。 域本地权限 管理员组 可以不受限制地存取计算机/域的资源,在活动目录和域控制器中默认具有管理员权限的组。 远程登录组 具有远程登录权限 打印机操作组 可以管理打印机,包括建立、管理及删除网络打印机,可以在本地登录和关闭域控制器 账号操作组 可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器。默认情况下,该组中没有成员 服务器操作组 可以管理域服务器,其权限包括建立/管理/删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等,默认情况下,该组中没有成员 备份操作组 可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器。默认情况下,该组中没有成员 全局组、通用组的权限 域管理员组 其组内成员在所有加入域的服务器(工作站)、域控制器和活动目录中均默认拥有完整的管理员权限 企业系统管理员组 域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员,因此对所有域控制器都有完全访问权 架构管理员组 域森林根域中的一个组,可以修改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组。 域用户组 所有的域成员。默认情况下,任何由我们建立的用户账号都属于Domain Users组,而任何由我们建立的计算机账号都属于Domain Computers组。
附带一份内网学习思维导图
