内网渗透基础（2）内网基础知识2

标签：域控制器 渗透 基础 用户 基础知识 访问 服务器 DMZ 全局

一、安全域划分

安全域划分的目的是将一组安全等级相同的计算机划入同一网段内，这一网段内的计算机拥有相同的网络边界，在网络边界上采用防火墙部署来实现对其他安全域的NACL（网络访问控制策略），允许哪些IP访问此域、不允许哪些访问此域；允许此域访问哪些IP/网段、不允许访问哪些IP/网段。使得其风险最小化，当发生攻击时可以将威胁最大化的隔离，减少对域内计算机的影响。

二、DMZ

• DMZ称为“隔离区”，也称“非军事化区”。是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。
• 这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。
• 另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

DMZ的屏障功能

（1）内网可以访问外网

        内网的用户需要自由的访问外网，在这一策略中，防火墙需要执行NAT。

（2）内网可以访问DMZ

        此策略使内网用户可以使用或者管理DMZ中的服务器。

（3）外网不能访问内网

        这是防火墙的基本策略了，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。如果要访问，就要通过VPN方式来进行。

（4）外网可以访问DMZ

        DMZ中的访问器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

（5）DMZ不能访问内网

        如不执行此策略，则当入侵者攻陷DMZ时，内部网络将不会受保护。

（6）DMZ不能访问外网

        此条策略也有例外，比如我们的例子中，在DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。

三、域中的计算机分类

• 域控制器
• 成员服务器
• 客户机
• 独立服务器

域控制器

用于管理所有的网络访问，包括登录服务器、访问共享目录和资源。域控制器中存储了域内所有的账户和策略信息，包括安全策略、用户身份验证信息和账户信息。

成员服务器

成员服务器是指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机,其主要 任务是提供网络资源。成员服务器的类型通常有文件服务器、应用服务器、数据库服务器、Web 服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等。

客户机

域中的计算机可以是安装了其他操作系统的计算机,用户利用这些计算机和域中的账户就可 以登录域。这些计算机被称为域中的客户机。域用户账号通过域的安全验证后,即可访问网络中 的各种资源。

独立服务器

独立服务器和域没有关系。如果服务器既不加入域,也不安装活动目录,就称其为独立服务 器。独立服务器可以创建工作组、与网络中的其他计算机共享资源,但不能使用活动目录提供的 任何服务。

注意

• 域控制器是存放活动目录数据库的，是域中必须要有的，而其他三种则不是必须的，也就是说最简单的域可以只包含一台计算机，这台计算机就是该域的域控制器。
• 域中各个服务器的角色也是可以改变的，例如域服务器在删除活动目录时，如果是域中最后一个域控制器，则该域服务器会成为独立服务器，如果不是域中唯一的域控制器，则将使该服务器成为成员服务器。同时独立服务器既可以转换为域控制器，也可以加入到某个域成为成员服务器。

四、域内权限解读

• 域本地组
• 全局组
• 通用组
• A-G-DL-P策略

域本地组

多域用户访问单域资源（访问同一个域），可以从任何域中添加用户账号、通用组和全局组，但只能在其所在域内指派权限。域本地组主要用于授予本域内资源访问权限。

全局组

单域用户访问多域资源（必须是同一个域中的用户），只能在创建该全局组的域中添加用户和全局组，可以在域森林中的任何域中指派权限，全局组可以嵌套在其他组中。

通用组

通用组成员来自域森林中的任何域的用户账号、全局组和其他通用组，可以在该域森林的任何域中指派权限，可以嵌套于其他域组中，非常适用于域林中的跨域访问。

可以简单记忆：

• 域本地组：来自全林，作用于本域
• 全局组：来自本域，作用于全林
• 通用组：来自全林，作用于全林

A-G-DL-P策略

• A（account），表示用户账号
• G（Global group），表示全局组
• U（Universal group），表示通用组
• DL（Domain local group），表示域本地组
• P（Permission 许可），表示资源权限。

A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。

在AGDLP形成以后当给一个用户某一个权限的时候，只要把这个用户加入到某一个本地域组就可以了。

五、本地域组的权限

• Administrators（管理员组）
• Remote Desktop Users（远程登录组）
• Print Operators（打印机操作员组）
• Account Operators （账号操作员组）
• Server Operaters（服务器操作员组）
• Backup Operators（备份操作员组）

六、全局组、通用组权限

• Domain Admins（域管理员组）
• Enterprise Admin（企业系统管理员组）
• Schema Admins（架构管理员组）
• Domain Users（域用户组）

标签：域控制器,渗透,基础,用户,基础知识,访问,服务器,DMZ,全局
From： https://blog.csdn.net/2301_80264342/article/details/143843122