域基础知识
域中常见名词
AD
活动目录,是微软对通用目录服务数据库的实现。活动目录使用LDAP作为其主要访问协议,他存储者有关网络中各种对象的信息,如用户账户、计算机账户、组和kerberos使用的所有相关凭证等,以便管理员和用户能够轻松的查找和使用这些信息
ADDS
活动目录域服务,是windows server 2000操作系统的中心组件之一,活动目录可以作为活动目录域服务或活动目录轻型目录服务(ADLDS)部署。
LDAP
参见前文
X.500标准定义
工作组和域
工作组
工作组是局域网中的一个概念,他是最常见、最简单的资源管理模式
默认情况下,所有计算机都处在名为workgroup的工作组中,工作组资源管理模式适用于网络中计算机不多、对管理要求不严格的的情况。
相同组或不同组中的用户可以通过对方主机的用户名和密码都可以查看对方共享的文件夹,工作组并不存在真正的集中管理作用,工作组里的计算机都是对等的,也就是没有服务器和客户机之分。
它既可以是许多同一物理地点且被相同的局域网连接起来的计算机组成的小组,也可以是由遍布多个物理地点但被同一网络连接的计算机构成的逻辑小组。
域
与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。
实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。
在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
一般情况下,域控制器集成了DNS服务,可以解析域内的计算机名称(基于TCP/IP),解决了工作组环境不同网段计算机不能使用计算机名互访的问题。
域的分类
单域
即所有的计算机都加入一个域中
域树
指若干个域通过建立信任关系组成的集合
域林
指若干个域树通过建立信任关系组成的集合
域信任
是为了解决多域环境下的跨域资源共享问题而诞生的。域信任利用DNS服务器定位两个不同子域的域控。
单向信任、双向信任和快捷信任
单向信任
指在两个域之间创建单向的信任路径,即在一个方向上是信任流,另一个方向上是访问流。
即A信任B与C,B与C就可以访问A,但是A不可以访问B与C。
双向信任
是指两个单向信任的组合,信任域与受信任域彼此信任,在两个方向上都有信任流和访问流。活动目录中的所有域信任关系都是双向可信任的。
快捷信任
快捷信任实际上属于双向信任,是指两个子域之间的信任。
内部信任、外部信任和林信任
内部信任
外部信任
林信任
跨域资源访问
域内资源访问:
跨域资源访问:
inter-realm key(跨域间密钥):不同域间的域控共享一个inter-realm key,这些域之间就可以相互信任了。这个密钥默认每隔30天重置一次。
每个域内都有一个信任账户,以$结尾,其hash值即为inter-realm key
本地账户和活动目录账户
本地账户
Administrator
SID:S-1-5-21-XX-500
在Windows安装中创建的第一个用户,默认的本地管理员账户,在本地管理员组Administrator中。
为了安全性的考虑,在高版本的Windows中,默认禁用该用户,并创建一个存在于Administrator组中的另一个本地用户。
若需要激活administrator用户:
Guest
SID:S-1-5-21-XX-501
默认禁用,默认密码为空。是本地Guest组中的唯一成员。
DefalutAccount
SID:S-1-5-21-XX-503
也被称为默认系统管理员账户DSMA
DSMA是一个著名的用户账户类型,是一个用户中立的账户,可以用于运行多用户感知或于用户无关的进程。DSMA在桌面SKU和Windows server 2016中默认被禁用
WDAGUtilityAccount
SID:S-1-5-21-XX-504
是Windows系统为Windows defender应用程序防护方案管理和使用的用户账户。当启用应用程序防护,其将会启用。
活动目录账户
是指活动目录中的用户,可分为用户账户、服务账户和机器账户。活动目录账户存储在活动目录数据库中。
用户账户
服务器在升级为域控后,其本地账户在活动目录中有对应的账户,存储在User容器中。如本地的Guest账户将提升为域的Guest账户。
其本地普通用户将变为域普通用户,其本地管理员组内的用户将升级为域管理员组(Domain Admins)内的用户,默认本地管理员Administrator将升级为域管理员。
Administrator账户
SID:S-1-5--500
由本地账户administrator升级而来。
是活动目录中的administrator、domain admins、enterprise admins、组策略创建者和schema admins groups的默认成员
Guest账户
SID:S-1-5--501
由本地Guest账户升级而来
此账户不需要密码,默认被禁用。
krbtgt账户
SID:S-1-5--502
密钥发行中心服务账户
是krbtgt安全主体的实体。任何情况下无法删除该账户,无法更改该账户的名称,也无法在活动目录中启用krbtgt账户
用户账户的属性
详见p91
用户账户选项
详见p92
服务账户
是一种特殊的用户账户。服务帐户是显式创建的用户帐户,用于为 Windows Server 操作系统上运行的服务提供安全上下文。 安全上下文决定了服务访问本地和网络资源的能力。 Windows 操作系统依靠服务来运行各种功能。 可通过应用程序、服务管理单元或任务管理器,或者使用 Windows PowerShell 来配置这些服务。
用户账户可以是服务账户,机器账户也可以是服务账户。它们是否属于服务账户取决于该账户是否在域内注册了SPN。
机器账户
也是一种特殊的用户账户,他不能用于登录。其可以代表一个物理实体。
在域内,机器账户和域用户一样,也是域内的成员,其用户名是:机器账户名+$。
机器账户的密码是随机生成的,密码强度是120个字符。
本地system账户对应域内的机器账户。当我们拥有域内主机的system权限,就拥有了一个域内机器账户的权限,也就相当于拥有了一个域内用户的权限了
本地组和域组
本地组
一些常见的本地组:
Administrators
对服务器具有完全的控制权,并可以根据需要向用户分配用户权限和访问控制权限
Users
可以执行公共任务,例如运行应用程序、使用本地打印机等
Guests
临时访问账户
Backup Operators
可以备份和恢复服务器上的文件,而不考虑保护这些文件的任何权限。该组中默认没有任何成员
Remote Desktop Users
可以远程登录到服务器,该组中默认没有成员
Power Users
可以创建用户账户,修改和删除已创建的账户,也可以添加本地组。该组中默认没有任何成员
Network Configuration Operators
可以更改TCP/IP设置。该组中默认没有任何成员
域组
域组用于将用户账户、计算机账户和其他组收集到可管理的单元中
域组的分类
安全组
通信组
域组的作用域
活动目录中内置的组
目录分区
服务主体名称(SPN)
服务主体名称 (SPN) 是服务实例的唯一标识符。 Kerberos 身份验证 使用 SPN 将服务实例与服务登录帐户相关联。 这样做允许客户端应用程序请求帐户的服务身份验证,即使客户端没有帐户名称。 如果在计算机的整个目录林上安装多个服务实例,那么每个实例都必须有自己的 SPN。
每台服务器都需要注册用于kerberos身份验证服务的SPN,这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐秘的方法。
详见:P123
域中的组策略
组策略是Windows环境下用户管理对象的一种手段。组策略分为本地组策略和组策略。本地组策略适合于管理独立的未加入域的工作组的机器。而域组策略则是用于管理域环境中的对象。
域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。
其安全问题主要有:
组策略首选项提权
滥用组策略委派属性实现权限维持
利用组策略创建定时任务实现批量命令执行
域中的访问控制列表(ACL)
懒得写。详见P137
最后更新于
这有帮助吗?