156-161.网络安全渗透测试—[Cobalt Strike系列]—[内网渗透之Windos域环境的搭建]

我认为，无论是学习安全还是从事安全的人多多少少都有些许的情怀和使命感！！！

文章目录

1、Active Directory 活动目录的概念
2、Active Directory 活动目录的作用
3、Active Directory 活动目录的优点
4、Domain 域的概念
5、Directory Controy 域控制器的概念
6、活动目录的结构概念
7、活动目录的结构分类
8、活动目录的逻辑结构
- 1.域
- 2.组织单位（OU）
- 3.域目录树
- 4.域目录林
9、活动目录的物理结构
- 1.站点（略）
- 2.域控制器
- 3.全局编录服务器（一个域控充当目录）
10、域环境搭建注意事项和部署需求
11、域环境逻辑拓扑图
12、虚拟机环境搭建
- 1.安装Win2008R2的虚拟机：充当DC
- 2.新建一个2008服务器，充当Database（不能克隆，不然在后续的实验中会出现问题）
- 3.安装虚拟机Win7，充当WebServer服务器
13、域环境搭建
- 1.DC-2008-1计算机安装活动目录和DNS服务
- 2.验证Active Directory域服务的安装
- 3.将Database-2008-1加入到demo1.com域
- 4.将WebServer-Win7加入到demo1.com域
- 5.查看域内是否存在两台成员服务器
14、总结
15、认识常用的内置域组

1、Active Directory 活动目录的概念

Active Directory 又称活动目录（简称AD），是 Windows Server 2003和Windows Server 2008系统中非常重要的目录服务（Directory Service），即活动目录域服务（AD DS）。
//所谓目录服务，顾名思义，有两方面内容：目录和目录相关的服务。
//记忆：活动目录是目录服务，目录服务包含目录和目录相关的服务。

2、Active Directory 活动目录的作用

Active Directory 用于存储网络上各种对象的有关信息，包括用户账户、组、打印机、共享文件夹等，并把这些数据存储在目录服务数据库中，便于管理员和用户查询及使用。
//活动目录负责目录数据库的保存、新建、删除、修改与查询等服务，用户很容易在目录内寻找所需要的数据。
//记忆：活动目录包含了域中所有相关信息。

3、Active Directory 活动目录的优点

活动目录具有安全性、可扩展性、可伸缩性的特点，与DNS集成在一起，可基于策略进行管理。
//记忆：活动目录允许管理员创建组账户，管理员再通过控制组权限来控制组成员的访问操作。

4、Domain 域的概念

域是指网络服务器和其他计算机的一种逻辑分组。
//凡是在共享域逻辑范围内的用户都使用公共的安全机制和用户账户信息
//注意：每个使用者在域中只拥有一个账户，每次登录的是整个域。

5、Directory Controy 域控制器的概念

域控制器就是安装活动目录的Windows Server 2008的计算机，它存储域目录完整的副本。
//记忆：每个域都可以包含一个或多个域控制器（Directory Control，DC）
//记忆：为了简化管理，域中的所有域控制器都是对等的。通俗的说，只要在任意一台域控制器上做出修改，其修改的内容都会更新到该域中的所有其他域控制器。
//活动目录为管理网络上的所有资源提供了一个单一入口，为了进一步简化管理，管理员可以登录任意一台计算机管理网络。

6、活动目录的结构概念

活动目录结构是指网络中所有用户、计算机及其他网络资源的层次关系。

7、活动目录的结构分类

活动目录的分类：逻辑结构和物理结构，它们分别都包含了不同的对象。

8、活动目录的逻辑结构

活动目录的逻辑结构包含了许多的逻辑单元，分别是：域、组织单位（Organizational Unit，OU）、域目录树、域目录林。

1.域

（1）概念1：域是在Windows NT/2000/2003/2008网络环境中组建客户机/服务器网络的实现方式。
//记忆：域是一种组网方式。

（2）概念2：所谓域，是由网络管理员定义的一组计算机集合，实际上就是一个网络。
//记忆：域的本质是一组计算机集合、一个网络

（3）在域中：或者说在这个网络中，至少有一台称为域控制器的计算机（Windows Server 2008），充当服务器角色。在域控制器中保存着整个网络的用户账号及目录数据库，即活动目录。
//因此说，域控制器就是安装了活动目录的计算机，因为只有活动目录中才会保存着整个网络(或者域)的信息。
//记忆：安装了活动目录的计算机是域控，域控是安装了活动目录的计算机。

（4）管理员在域中的作用：管理员可以通过修改活动目录的配置来实现对网络的管理和控制，例如管理员可以在活动目录中为每个用户创建域用户账号，使他们可登录域并访问域的资源。同时，管理员也可以控制所有网络用户的行为，如控制用户能否登录、在什么时间登录、登录后能执行哪些操作等。
//记忆：管理员可以为每个人创建域用户账户，并且做限制

（5）加入域：域中的客户计算机要访问域的资源，则必须先加入域，并通过管理员为其创建的域用户账号登录域，才能访问域资源。同时，也必须接受管理员的控制和管理。构建域后，管理员可以对整个网络实施集中控制和管理。
//记忆：一台域外计算机想要访问域的资源需要做：计算机加入域-->管理员为其创建域用户

2.组织单位（OU）

（1）概念1：组织单位是一个当普通边界不能满足时而去要求创建的边界。
//记忆：组织单位本质就是一个边界，比如一个公司的一个部门就可以作为一个组织单位，或者是一个学校的一个班级也可以作为一个组织单位

（2）概念2：组织单位是包含在活动目录中的容器对象，该容器中又包含许多具有相同属性的小的对象，比如说一个公司的一个部门就是一个容器对象，而部门中又有许多的工作人员。
//容器对象：本身就是一个对象，它又作为容器，所有又包含了一个个的小的对象。
//组织单位是可将用户、组、计算机和其他单元放入活动目录的容器
//注意：组织单位不能包括来自其他域的对象。
//记忆：组织单位是包含在活动目录中的容器对象。

（3）创建组织单位的目的：对活动目录中一个个的对象进行分类。
//比如，由于一个域中的计算机和用户较多，会使活动中的对象非常多。这时，管理员如果想查找某一个用户账号并进行修改是非常困难的。
//另外，如果管理员只想对某一部门的用户账号进行操作，实现起来不太方便。但如果管理员在活动目录中创建了组织单位，所有操作就会变得非常简单。比如管理员可以按照公司的部门创建不同的组织单位，如财务部组织单位、市场部组织单位、策划部组织单位等，并将不同部门的用户账号建立在相应的组织单位中，这样管理时也就非常容易、方便了。
//除此之外，管理员还可以针对某个组织单位设置组策略，实现对该组织单位内所有对象的管理和控制。
//记忆：活动目录下创建组织单位，组织单位内再创建相应的用户账号，可以通过配置组策略和把组策略应用在组织单位上，从而实现统一管理。

（4）概念3：组织单位是可以应用组策略和委派责任的最小单位。

（5）作用1：组织单位把域中的对象组织成逻辑管理组，而不是安全组或代表地理实体的组。
//记忆：组织单位把域中一个个的对象，组织成逻辑管理组。

（6）作用2：权限隔离，组织单位的管理员可授予用户对域中某个组织单位的管理权限，而不需要具有域中任何其他组织单位的管理权。

（7）组织单位好处：

可以分类组织对象，使所有对象结构更清晰。
可以对某些对象配置组策略，实现对这些对象的管理和控制。
可以委派管理控制权，如管理员可以给不同部门的网络主管授权，让他们管理本部门的账号。

3.域目录树

（1）当要配置一个包含多个域的网络时（也就是一个域下面又有多个子域），应该将网络配置成域目录树结构。

（2）域目录树图示：
//如下图所示：最上层的域名为China.com，是这个域目录树的根域，也称为父域。下面的两个域Jinan.China.com和Beijing.China.com是China.com域的子域。这三个域共同构成了该域目录树。

（3）活动目录的域名命名规则：使用DNS域名的命名规则。

（4）子域间隔离：在整个域目录树中，所有域共享同一个活动目录，即整个域目录树只有一个活动目录。只不过这个活动目录分散地存储在不同地域中，也就是说每个域只负责存储和本域有关地数据，从而整体上形成一个大地分布式的活动目录数据库。
//例子：在配置一个较大规模的企业网络时，可以配置为域目录树结构，比如将企业总部的网络配置为根域，各分支机构的网络配置为子域，整体上形成一个域目录树，以实现集中管理。
//记忆：活动目录可以创建一个域，再把域分为不同的子域。

4.域目录林

（1）什么时候配置域目录林：如果网络的规模比前面提到的域目录树还要大，甚至包含了多个域目录树，这时可以将网络配置为域目录林（也称森林）结构。

（2）域目录林的组成：域目录林由一个或多个域目录树组成，

（3）域目录林中的每个域目录树都有唯一的命名空间，它们之间并不是连续的，这一点从下图中的两个目录树中可以看出。

（4）域目录林图示：
//如下图所示：域目录林中的每个域目录树的命名空间不是连续的

（5）域目录林的根域：就是域目录林中最先安装的域，比如China.com是最先安装，则这个域就是域目录林的根域。

（6）域目录林中，域目录树之间的信任关系：自动创建信任关系！！！
//在创建域目录林时，组成域目录林的两个域目录树的树根之间会自动创建相互的、可传递的信任关系。由于有了双向的信任关系，使域目录林中的每个域中的用户都可以访问其他域的资源，也可以从其他域登录到本域中。

9、活动目录的物理结构

（1）活动目录的物理结构与逻辑结构是彼此独立的两个概念。逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。

（2）物理结构的3个重要概念是：站点、域控制器和全局编录服务器。

1.站点（略）

（1）站点的组成：由一个或多个IP子网组成，这些子网通过高速网络设备连接在一起。

（2）站点和域的区别：活动目录中的站点和域是两个完全独立的概念，一个站点可以有多个域，多个站点可以位于同一个域中。

（3）使用站点的意义：

2.域控制器

（1）域控制器概念：是指安装了活动目录大的Windows Server 2008的服务器，它保存了活动目录信息的副本。

（2）域控制器功能：域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上，使各域控制器上的目录信息同步。域控制器负责用户的登录过程及其他与域有关的操作，如身份鉴定、目录信息查找等。规模较小的域可以只有两个域控制器，一个实际应用，另一个用于容错性检查，规模较大的域则使用多个域控制器。

（3）多个域控制器之间关系：同等地位、同步信息。
//域控制器没有主次之分，采用多主机复制方案，每一个域控制器都有一个可写入的目录副本，这为目录信息容错带来了无尽的好处。尽管在某个时刻，不同的域控制器中的目录信息可能有所不同，但一旦活动目录中的所有域控制器执行同步操作之后，最新的变化信息就会一致。

3.全局编录服务器（一个域控充当目录）

（1）本质：是一个域控制器，充当信息仓库，包含活动目录中所有对象的部分属性，是在查询过程中访问最频繁的属性，利用这些属性可以定位任何一个对象实际存在的位置。

（2）功能：保存全局编录的一份副本，并执行对全局编录的查询操作，从而定位任意一个对象。

（3）特性：如果域中只有一个域控制器，那么它就是全局编录服务器;如果有多个域控制器，那么管理员必须把其中一个域控制器配置为全局编录控制器。

（3）优点：提高了活动目录中大范围内对象检索的性能。

10、域环境搭建注意事项和部署需求

（1）注意事项：当超过一台的计算机参与部署环境时，一定要保证各计算机间通信畅通，否则无法进行后续的工作。当使用ping命令测试失败时，有两种可能：一种是计算机间配置确实存在问题，比如IP地址、子网掩码等；另一种情况也可能是本身计算机间通信是畅通的，但由于对方防火墙等阻挡了ping命令的执行。

（2）部署需求：

设置域控制器的TCP/IP属性，手工指定IP地址、子网掩码、默认网关和DNS服务器IP地址等。
在域控制器上准备NTFS卷，如C：。

11、域环境逻辑拓扑图

12、虚拟机环境搭建

1.安装Win2008R2的虚拟机：充当DC

（1）打开VM–>点击文件–>点击新建虚拟机

（2）默认勾选自定义–>点击下一步

（3）默认选择当前的VM版本–>点击下一步

（4）选择稍后安装操作系统–>点击下一步

（5）选择Windows Server 2008 R2 x64版本–>点击下一步

（6）自定义虚拟机名称–>浏览虚拟机安装位置–>点击下一步

（7）默认选择固件类型–>点击下一步

（8）默认设置–>点击下一步

（9）默认内存–>点击下一步

（10）这里可以NAT网络模式（随便选择就行，下面会再去配置）–>点击下一步

（11）默认设置–>点击下一步

（12）默认设置–>选择下一步

（13）默认设置–>点击下一步

（14）默认设置–>点击下一步

（15）默认设置–>点击下一步

（16）默认设置–>点击完成

（14）选中DC-2008虚拟机–>点击编辑虚拟机设置–>点击CD/DVD(SATA)–>勾选使用ISO映像文件并浏览本地的ISO文件–>点击确定

（15）点击开启此虚拟机

（16）等待一会出现以下界面–>默认设置–>点击下一步

（16）点击现在安装

（17）默认选择完全按照–>点击下一步

（18）勾选我同意–>点击下一步

（19）选择自定义

（20）默认只用一个C盘–>直接点击下一步

（21）等待安装完成

（22）等地的过程中，本地新建一个网卡：点击编辑–>点击虚拟网络编辑器

（23）点击更改设置

（24）点击添加网络–>选择VMnet4（随便选择的一个空闲网卡）–>点击确定

（25）选择VMnet4–>输入网络10.0.0.0、掩码255.255.255.0–>点击应用并确定

（26）等待一段时间后，点击确定–>输入密码qweQWE123.–>点击右箭头确定–>显示您的密码已更改–>点击确定

（27）点击确定后，等待一会进入桌面

（28）右键DC-2008选项卡，点击安装vmtools，然后点击运行setup64.exe开始安装，但是发现了要重新安装系统，经过测试发现加载ISO文件的位置发生了变化，因此需要手动的改变为自己的位置

（29）默认下一步，点击安装，发现无法验证发布者，这里需要下载安装一个KB4474419补丁：https://www.catalog.update.microsoft.com/Search.aspx?q=kb4474419，下载完成后本机远程连接上去复制粘贴进去，然后运行安装，最后重启虚拟机

（30）重启后发现ISO的位置又发生了变化，需要重新加载，然后重新安装vmtools即可

（31）修改网络连接模式为Vmnet4，然配置IP

2.新建一个2008服务器，充当Database（不能克隆，不然在后续的实验中会出现问题）

（1）安装过程：略

（2）在安装的过程中创建了用户administrator/1q2w3e4r.

（3）打开安装好了的虚拟机Database–>登录账户administrator/1q2w3e4r.–>开始修改主机名和IP地址–>最后重启

（4）打开DC-2008，现在DC和Database都开启了，修改网络配置都为Vmnet4，然后都关闭防火墙，测试是否互通。

3.安装虚拟机Win7，充当WebServer服务器

（1）安装过程：略

（2）安装过程中创建了管理员组用户：web1/1q2w3e4r…

（3）vm16的版本在安装vmtools的时候，会发现无法验证发布者，这里需要下载安装一个KB4474419补丁：https://www.catalog.update.microsoft.com/Search.aspx?q=kb4474419，下载完成后本机远程连接上去复制粘贴进去，然后运行安装，最后重启虚拟机即可

（4）修改网络连接模式为Vmnet4，然后修改自己的IP和DNS，然后关闭自身放获取后进行ping测试联通性

ping测试联通性

（5）新添加一张网卡，然后设置为NAT模式，设置IP地址为192.168.97.130，网关为空就行，DNS为空或者10.0.0.2都行

（需要注意的是：若模拟外网的网卡DNS设置的真正可用的公网DNS，比如8.8.8.8，则该机器在加入到域的时候，会找不到域控，因为是通过域名DC-2008-1.demo1.com去找的域控。由于配置了真正的DNS，则就会导致找不到域控！！！）
//如下图所示：

13、域环境搭建

1.DC-2008-1计算机安装活动目录和DNS服务

一旦安装了活动目录，就成为了域控，且“域控”不再能登录本地计算机了！！！

（1）注意：由于域控制器所使用的活动目录和DNS有着非常密切的关系，因此网络中要求有DNS服务器存在，并且DNS服务器要支持动态更新。如果没有DNS服务器存在，可以在创建域时一起把 DNS安装上。这里假设DC-2008-1服务器未安装DNS，并且是该域中的第一台域控制器。

（2）安装Active Directory 域服务

活动目录在整个网络中的重要性不言而喻，经过Windows Server2000和Windows Server 2003的不断完善，Windows Server 2008中的活动目录服务功能更加强大，管理更加方便。在 Windows Server 2008系统中安装活动目录时，需要先安装Active Directory 域服务，然后运行Dcpromp.exe命令启动安装向导。

第一步：这里我们直接运行Dcpromo.exe命令启动Active Directory服务，则将自动在后台安装Active Directory 域服务。

第二步：开始安装向导，一直点击下一步

第三步：这里需要勾选在新林中新建域，然后点击下一步

第四步：输入我们要创建的域demo1.com，然后点击下一步

第五步：开始一直点击下一步

第六步：默认选择安装DNS服务，点击下一步

第七步：单机是，然一直下一步，然后把管理员密码输入到还原密码（随便），然后一直下一步，等待安装完成。

第八步：等待安装完成，重启计算机后，升级为DC域控之后，必须使用域用户账户登录，格式为：域名\用户账户。
//注意：DC域控计算机的管理员组的管理员账户默认被加入了demo1.com域，且被默认加入到了域管理员组Domain Admin，该组用户可对对demo1.com域完全无限制控制！！！
//提示：如果希望登录本地计算机，请单击「切换用户」→「其他用户」按扭，然后在用户名处输入「计算机名\登录账户名」，在密码处输入该账户的密码，即可登录本机，但是微软无论什么版本的操作系统，只要将它提升为域控制器，它就已经无法使用本地帐号了，也无法进行管理。这是因为域控制器上所有的帐号、组均存储在ntds.dit数据库中。而本地帐号是存储在sam数据库中的，且无法使用了。

2.验证Active Directory域服务的安装

（1）查看计算机名

（2）查看管理工具：活动目录安装完成后，会添加一系列的活动目录管理工具，包括「Active Directory 用户和计算机J、「Active Directory站点和服务」、「Active Directory域和信任关系」等。单击「开始」→「管理工具」，可以在「管理工具」中找到这些管理工具的快捷方式。

（3）查看活动目录对象：打开「Active Directory 用户和计算机」管理工具，可以看到企业的域名long.com。单击该域，窗口右侧详细信息窗格中会显示域中的各个容器，其中包括一些内置容器，主要有如下几个：

built-in：存放活动目录域中的内置组账户。
computers：存放活动目录域中的计算机账户。
users：存放活动目录域中的─部分用户和组账户。
Domain Controllers：存放域控制器的计算机账户。
//注意：DC域控计算机的管理员组的管理员账户默认被加入了demo1.com域，且被默认加入到了域管理员组Domain Admin，该组用户可对对demo1.com域完全无限制控制！！！

（4）查看Active Directory 数据库：Active Directory数据库文件保存在%SystemRoot%\Ntds (本例为c:\windows\ntds)文件夹中，主要的文件有如下3种：

Ntds.dit:数据库文件。
Edb.chk:检查点文件。
Temp.edb:临时文件。

（5）查看DNS记录：为了让活动目录正常工作，需要DNS服务器的支持。活动目录安装完成后，重新启动DC-2008-1时会向指定的DNS服务器上注册SRV记录。一个注册了SRV记录的DNS 服务器如下图所示：(在「服务器管理器」中查询DNS角色)。
//有时由于网络连接或者DNS配置的问题，造成未能正常注册SRV记录的情况。对于这种情况，可以先维护DNS服务器，并将域控制器的DNS设置指向正确的DNS服务器，然后重新启动NETLOGON服务。具体操作可以使用命令：

net stop netlogon
net start netlogon

3.将Database-2008-1加入到demo1.com域

一旦加入到了域，就成为了成员服务器或成员PC机，但是还是可以通过本地用户登录到本地计算机，这是和域控的一个区别

（1）分配域用户账户： 在把客户端Database-2008-1计算机加入到域的时候，DC域控需要先分配一个域用户账户专门用来登录该加入到了域中的计算机管理上面的服务，这里我们先去DC-2008-1域控计算机上面，给客户端分配一个用户：database1/1q2w3e4r.
//域用户帐户：建立在域控制器的AD数据库内,用户可以利用域用户帐户登录域，并利用它来访问网络上的资源。当用户帐户建立在某台域控制器内后,该帐户会自动复制到同一域内的其他所有域控制器中；
//本地用户帐户：建立在自己的Windows Server 2008独立服务器上，而不是域控制器内，用户可以利用本地用户帐户来登录本地计算机。

（2）单击「开始」→「控制面板」→「系统和安全」→「系统」→「高级系统设置」，弹出「系统属性」对话框，选择「计算机名」选项卡，单击「更改」按钮;弹出「计算机名/域更改」对话框，在「隶属于」选项区域中，选择「域」单选按钮，并输入要加入的域的名字demo1.com，单击「确定」按钮。

（3）输入有权限加入该域的账户的名称和密码（database1/1q2w3e4r.）（刚刚域控分配的用户账户），确定后重新启动计算机即可。

（4）Database-2008-1计算机重启后登录，验证Database-2008-1计算机是否加入到demo1域
//登录域格式：域名\用户账户
//登录本地计算机格式：计算机名\用户账户
//注意：域控不能再登录本地计算机了，然而域成员服务器可以登录！！！

（5）查看是否加入到了demo1.com域

（6）DC-2008-1计算机上，也通过Computers，发现Database-2008-1加入到了域

4.将WebServer-Win7加入到demo1.com域

一旦加入到了域，就成为了成员服务器或成员PC机，但是还是可以通过本地用户登录到本地计算机，这是和域控的一个区别

（1）分配域用户账户：在WebServer-Win7计算机加入到demo1.com域之前，需要先给其分配一个用户，这里我们就在DC-2008-1域控计算机上的Users域组里面创建一个web9527/1q2w3e4r…域用户账户
//Win7的本地账户是web1，这里我们的DC分配域用户账户web9527

（2）把WebServer-Win7加入到demo1.com域，但是报出错误： Windows 7 计算机加入Active Directory 域

（3）重启WebServer-Win7后，使用格式DEMO1\web9527登录到域

（4）查看是否加入到了域

5.查看域内是否存在两台成员服务器

（1）打开域控计算机DC-2008-1，发现computers域组里面存在Database-2008-1和WebServer-Win7计算机，则说明加入成功！！！

14、总结

（1）安装活动目录的前提需要安装DNS服务器，因为其他计算器在加入域的时候是通过域控的域名来进行查找的，但是我们可以在安装活动目录的时候进行安装DNS服务器（本次搭建就是如此）；

（2）安装了活动目录之后的计算机就成为了域控，且不再可以通过本地账户登录到本地计算机，但是成员服务器或域PC机可以通过本地账户登录到自己的本地计算机，这是两者的区别之一；

（3）域控在安装完成后，默认会把本地计算机的Administrators组的Administrator用户加入Domain Admin域管理员组，且改域组的用户对域有完全控制权限！！！

（4）在某台计算机成为域控后，它可以在Users域组里面为一些准备要加入到域的成员服务器或域PC机提前分配域用户账户，因为在计算机加入到域的时候需要填写域用户账户。

（5）域用户账户和本地账户是隔离的，因为它们存储的位置都不一样，不可以混淆。

（6）域用户账户：用户使用域用户账户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络唯一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。

（7）安装完活动目录，就已经添加了一些内置域账户，它们位于Users容器中，如Administrator、Guest，这些内置账户是在创建域的时候自动创建的。每个内置账户都有各自的权限。Administrator账户具有对域的完全控制权，并可以为其他域用户指派权限。默认情况下，Administrator账户是以下组的成员:Administrators、Domain Admins、Enterprise Admins、GroupPolicy Creator Owners和Schema Admins。

（8）不能删除Administrator域账户，也不能从Administrators域组中删除它。但是可以重命名或禁用此账户，这么做通过是为了增加恶意用户尝试非法登录的难度。

15、认识常用的内置域组

参考书籍：《Windows 2008组网技术与实训第3版》杨云编著