安全 --- 内网基础知识(01)
内网基础知识
(1)概念
内网也称局域网(Local Area Network,LAN)是指在某一工作区域内由多台计算机互联形成的计算机组,一般是方圆几千米内。局域网可实现文件管理、应用软件共享、打印机共享、工作内的历程安排、电子邮件和传真通信服务等功能。
内网为封闭性网络,一定程度上能够防止信息泄露和外部网络攻击,具有较高安全性。
(2)工作组(WorkGroup)
一个大的单位内,可能有成百上千台电脑相连形成局域网,它们都会列在“网络”内。如果不分组,就会相当混乱。为了解决这个问题,就有了工作组的概念。
工作组:对局域网中计算机进行分类,使得网络有序。计算机之间的管理依然是各自为政,所有计算机是对等的,可随意加入和退出,且不同工作组之间的共享资源可以互相访问。
(3)域
域(Domain)是一个有安全边界的计算机集合,可以吧域理解成为升级版的“工作组”。相比工作组,它有更严格的安全管理控制机制,若想访问域内资源,必须要有合法身份登录到域中,并且这个合法身份的用户身份,决定着在该域内所拥有的权限。
域管理员只能管理域内部的关系,除非其他的域显示赋予管理权限,才可访问其他域,每个域都有自己的安全策略,以及与其他域之间的安全信任关系。
<1> 域控制器
域控制器(Domain Controller --- DC)是一个域中类似管理服务器的计算机,负责每一台联入的电脑和用户的验证工作,域内电脑相互访问首先经过它的审核。
<2> 安全域
目的:将一组安全等级相同的计算机划分到同一网段内,这一网段内的计算机有相同的网络边界,网络边界上采用防火墙部署来实现其他安全域的NACL(网络访问控制策略),允许哪些IP访问,哪些不能IP访问;允许此域可访问哪个IP/网段,不允许访问哪个IP/网段
<3> 域的分类
分为:单域、父子域、域树、域森林、DNS域名服务器
【1】单域:只有一个域的网络环境,一般需要两台DC,一台常用,一台备用
【2】父子域:类比公司总部和公司分部的关系,总部的域称为父域,各分部的域称为该域的子域。
- 好处:减少了域之间信息交互的压力(域内信息交互不会压缩,域间信息交互可压缩);不同子域之间可以指定特定的安全策略
【3】域树(tree):多个域通过建立信任关系组成的集合,若两个域之间需要互相访问,则需建立信任关系(trust relation),通过信任关系可将父子域连接为树状结构
【4】域森林(forest):若干个树通过信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源,从而又保持了域自身原有的特性。
【5】DNS域名服务器:DNS域名服务器是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务器。
(一般情况下,在内网渗透时通过寻找DNS服务器来定位域控制器,通常DNS服务器和域控制器处于同一台机器)
<4> 域中计算机分类
- 域控制器
- 成员服务器
- 客户机
- 独立服务器
域和工作组的区别:
[1] 适用环境不同
域一般是在比较大的网络中,工作组较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他计算机需互相访问都得经过域控服务器;工作组则不同,一个工作组中所有计算机都是对等的,没有服务器和客户机之分,与域相同,若一台计算机访问其他计算机首先也要找到组中的一台类似组控服务器,而组控服务器是不固定的,以选举方式实现,它存储这个组的相关信息,找到这台计算机得到组信息然后进行访问。
[2] 分类
工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理,需访问一台计算机,还是要到被访问的计算机上实现用户验证;域是一个有安全边界的计算机集合,在同一个域中的计算机上已经建立了信任关系,域内访问其他机器不需被访问机器的许可了
[3] 拓展
- 域是windows网络中运行的独立单位,域之间相互访问需要建立信任关系(trust relation),信任关系是在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需相互管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享管理。
- 工作组是局域网中的一个概念,是最常见最普通的资源管理模式,将不同电脑按所需执行的功能划分到不同组中,以方便管理。
(4)活动目录(Activity Directory -- AD)
活动目录是域环境中提供目录服务的组件。
若将内网中的资源看做字典,则AD就是这个字典的索引。活动目录存储的是内网中所有资源的快捷方式,用户通过寻找快捷方式来定位资源。
(5)AD和DC的区别
- 网络规模较大,会考虑将网络中的众多对象:计算机、用户、用户组、打印机、共享文件等,分类放在仓库中,做好检索信息,便于查找、管理和使用。这个有层次结构的数据库,就是活动目录数据库,简称AD库;
- 我们将存放AD库的计算机称为DC。实现域环境,就是安装AD(当内网中其中一台计算机安装AD后,它就变成了DC)。
- DC的本质是一台计算机,AD的本质是提供目录服务的组件
(6)域内权限
分类:域本地组、全局组、通用组、AGDLP
【1】域本地组:多域用户访问单域资源(访问同一个域)。可从任何域添加用户账户、通用组和全局组,只能在其所在域内分配权限。域本地组不能嵌套于其他组中。主要是用于授予位于本域资源的访问权限
【2】全局组:单域用户访问多域资源。只能在创建该全局组的域上进行添加用户的全局组,可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中。一般不用来直接分配权限。
【3】通用组:来自域林中任何域中的用户账户、全局组和其他通用组。可在域林中的任何域中指派权限,可嵌套于其他域组中。适合域林中的跨域访问。
记忆方法:
- 域本地组:来自全林,作用于本域
- 全局组:来自本域,作用域全林
- 通用组:来自全林作用于全林
【4】A-G-DL-P策略
A(account),表示用户账号
G(Global group),表示全局组
U(Universal group),表示通用组
DL(Domain local group),表示域本地组
P(Permission 许可),表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。
安全 --- 内网基础知识(01)相关推荐
- 【内网渗透】内网基础知识梳理
内网基础知识文章目录 前言 一.内网概述 二.常见的专有名词 1.工作组 1.1如何加入.创建工作组? 1.2如何退出工作组? 2.域 2.1域的分类 单域 父域.子域 域树(tree) 域森林(fo ...
- 内网渗透测试第一章——内网基础知识
(一)内网基础知识 1. 内网概述 内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组.一般是方圆几千米以内.局域网可以实现文件管理.应用软件共 ...
- 内网安全学习从入门到入狱-知识-内网基础知识
内网安全学习从入门到入狱-知识-内网基础知识 文章目录 内网安全学习从入门到入狱-知识-内网基础知识 内网渗透基础 基本的名词介绍 工作组 域 活动目录(AD) DC 域控制器(DC) DNS域名服务 ...
- [WEB安全]内网基础知识整理
内网:基础知识 一.内网 二.工作组 三.域(Domain) 1.域的分类 2.域中的计算机分类 3.域中权限的分类 四.活动目录 1.逻辑结构 2.活动目录的主要功能 3.AD和DC的区别 五.DM ...
- [内网基础]msf使用内网实战演示
[内网基础]msf使用&内网实战演示 msf是一款渗透测试使用的框架,其中包含了很多工具. 官方手册地址: https://docs.metasploit.com/docs/using-met ...
- 模块一:Go语言基础知识 -01 | 工作区和GOPATH
01 | 工作区和GOPATH Go 语言规范文档 The Go Programming Language Specification https://golang.google.cn/ref/spe ...
- python图形编程基础知识_AI-图像基础知识-01|python基础教程|python入门|python教程
目前人工智能Artificial Intelligence主要分为两大分支: 计算机视常见:Computer Vision,简称CV CV主要是研究如何让机器看懂世界的一种技术,通过各种光学传感器来代 ...
- 通信网络基础知识01
文章目录 1. 简单了解 1.1 OLT(光线路终端): 1.2 ODN(分光器): 1.3 ONU(光网络单元) 2.OAN(光纤接入网) 2.1 分类 2.2 PON(Passive Optica ...
- Mysql基础知识01
文章目录 一.数据库简介 二.MySQL 三.MySQL安装 四.sql常用命令行 五.操作数据库 六.数据库列的类型 七.字段属性 八.数据表的类型 九.修改和删除数据表字段 一.数据库简介 数据库 ...
最新文章
- php记录用户搜索历史记录,PHPCookei记录用户历史浏览信息的代码
- 2020 年 DevOps 七大发展趋势
- Matlab心电信号的PQRST模拟-实验报告
- 小学计算机应用能力考核记录,中小学教师信息技术应用能力校本应用考核规范...
- nyoj--2--括号配对
- 2022年 电工杯B题5G 网络环境下 应急物资配送问题
- 华为防火墙IPSec
- 生活中的逻辑谬误02.稻草人谬误
- UVA - 1427 Paradev单调队列
- 8.2 知识蒸馏方法概述
- 计算机毕业设计Java智慧防疫上报系统小程序端(源码+系统+mysql数据库+Lw文档)
- linux内核去掉pty,请问如何升级内核?高手请进!!!
- 8.3 案例实现(加载数据库sakila中的数据至数据仓库sakila_dw)
- 计算机ppt培训心得体会,制作ppt学习心得体会
- Java 细品 重写equals方法 和 hashcode 方法
- ZBrush如何进行头骨的雕刻
- C# 图片压缩(指定大小压缩和指定尺寸压缩)
- H5页面卡顿加载慢原因分析
- 兴趣电商,是新机遇还是伪概念?
- anaconda打不开解决办法
热门文章
- 玻璃温室轻钢框架结构设计
- Android N上语言列表
- 如何转Android车载工程师?这份《Android车载操作系统开发指南》为你助力
- java 路径规划_转 | 禁忌搜索算法(Tabu Search)求解带时间窗的车辆路径规划问题详解(附Java代码)...
- 2023全新UI商业版ChatGPT网页版源码V4.7.7+支持Ai绘画
- 太原美术馆举办生肖漫画展迎己亥猪年
- mysql dese_mysql查询
- 超级课程表导入课表显示服务器繁忙,超级课程表导入不了怎么办 超级课程表怎么导入课程表...
- mysql游标循环的使用_实例详解mysql游标循环的使用
- 嵌入式系统一般由嵌入式微处理器、外围硬件设备、嵌入式操作系统