AD架构

Active Directory (AD)是适用于 Windows 网络环境的目录服务。它是一种分布式分层结构,允许集中管理组织的资源,包括用户、计算机、组、网络设备和文件共享、组策略、服务器和工作站以及信任。 AD 在 Windows 域环境中提供身份验证和授权功能。目录服务(例如Active Directory Domain Services (AD DS))为组织提供了存储目录数据并使其可供同一网络上的标准用户和管理员使用的方法。AD DS 存储用户名和密码等信息,并管理授权用户访问此信息所需的权限。它最初是随 Windows Server 2000 一起提供的;近年来,它受到越来越多的攻击。它被设计为向后兼容,并且许多功能可以说不是“默认安全”。很难正确管理,尤其是在容易配置错误的大型环境中。
Active Directory 缺陷和错误配置通常可用于获得立足点(内部访问)、在网络中横向和纵向移动以及未经授权访问受保护的资源,例如数据库、文件共享、源代码等。AD 本质上是一个大型数据库,域内的所有用户都可以访问,无论他们的权限级别如何。没有附加额外权限的基本 AD 用户帐户可用于枚举 AD 中包含的大多数对象,包括但不限于:

Domain Computers Domain Users
Domain Group Information Organizational Units (OUs)
Default Domain Policy Functional Domain Levels
Password Policy Group Policy Objects (GPOs)
Domain Trusts Access Control Lists (ACLs) 
  1. 因此,在尝试攻击它之前,我们必须了解 Active Directory 的设置方式和管理基础知识。如果我们已经知道如何构建它们,那么“破坏”它们总是更容易。

Active Directory 以分层树结构排列,顶部有一个森林,包含一个或多个域,这些域本身可以具有嵌套的子域。林是所有对象都处于管理控制之下的安全边界。一个森林可能包含多个域,并且一个域可能包含更多的子域或子域。域是一个结构,其中包含的对象(用户、计算机和组)是可访问的。它具有许多内置的组织单元(OU),例如域控制器、用户、计算机,并且可以根据需要创建新的 OU。 OU 可能包含对象和子 OU,允许分配不同的组策略。

在一个非常(简单)的高层次上,AD 结构可能如下所示:

  1. INLANEFREIGHT.LOCAL/
  2. ├── ADMIN.INLANEFREIGHT.LOCAL
  3.    ├── GPOs
  4.    └── OU
  5.        └── EMPLOYEES
  6.            ├── COMPUTERS
  7.               └── FILE01
  8.            ├── GROUPS
  9.               └── HQ Staff
  10.            └── USERS
  11.                └── barbara.jones
  12. ├── CORP.INLANEFREIGHT.LOCAL
  13. └── DEV.INLANEFREIGHT.LOCAL

在这里,我们可以说 INLANEFREIGHT.LOCAL 是根域并包含子域(子域或树根域)ADMIN.INLANEFREIGHT.LOCAL、CORP.INLANEFREIGHT.LOCAL 和 DEV.INLANEFREIGHT.LOCAL 以及其他object构成建立一个域,如用户、组、计算机等,我们将在下面详细介绍。
在很多的组织中,通常会看到多个域(或林)通过信任关系链接在一起。
在另一个域/林创建信任关系通常比在当前域中重新创建所有新用户更快、更容易。正如我们将在后面的模块中看到的,如果管理不当,域信任可能会引入大量安全问题。
image.png

下图显示了两个森林,INLANEFREIGHT.LOCAL 和 FREIGHTLOGISTICS.LOCAL。
双向箭头表示两个林之间的双向信任,这意味着 INLANEFREIGHT.LOCAL 中的用户可以访问 FREIGHTLOGISTICS.LOCAL 中的资源,反之亦然。
我们还可以在每个根域下看到多个子域。在此示例中,我们可以看到根域信任每个子域,但林 A 中的子域不一定与林 B 中的子域建立信任。
这意味着默认情况下,属于 admin.dev.freightlogistics.local 的用户将无法对 wh.corp.inlanefreight.local 域中的机器进行身份验证,即使顶级 inlanefreight.local 之间存在双向信任也是如此和 cargologistics.local 域。要允许来自 admin.dev.freightlogistics.local 和 wh.corp.inlanefreight.local 的直接通信,需要设置另一个信任。

image.png

question

Q: 什么 Active Directory 结构可以包含一个或多个域? A:forest
Q:对或错;多个域通过信任关系链接在一起是很常见的吗? A:true
Q:Active Directory 在 Windows 域环境中提供身份验证和 <____>。 A:authorization (授权)