0x01 基础知识


工作

定义:具有不同名称的计算机可以具有相同的工作组名称,从而可以利用工作组名称进行快速筛选

问题:没有办法统一管理(比如统一安装软件);没办法集中身份验证(工作组中的计算机相互独立,相互访问时需要输入密码的)

用户在登录时,计算机为用户构造令牌(sid)以及用户所在工作组的令牌(sid),计算机将依据工作组的sid来判断当前用户的权限

镜像账户问题:在winserver访问fileserver的时候,如果两台计算机存在相同的账户和密码,将可以在winserver直接访问fileserver。

Server的核心单位

注:

活动目录和域的关系:

1.域是逻辑上的服务器以及PC的逻辑分组,在一个域里面的用户都使用公共的安全机制和账户信息。

2.活动目录将域中的资源组织在一起,存放这些资源的各种信息。

域控( Controller),:安装了AD的服务器就是域控制器,即有AD的计算机就是DC

活动目录( ),:活动目录是Windows Server在网络环境中提供的“资源目录”。活动目录是储存着域中相关资源信息的目录,例如计算机,用户组,数据库,服务器,打印机,用户属性(权限等),就像一个数据库。

《域基础知识解析》

活动目录目录服务( Directory Services),ADDS
“The directory service is a distributed database that stores and manages information network resources, as well as application-specific data from directory-enabled applications. Active Directory allows administrators to organize objects of a network (such as users, computers, and devices) into a hierarchical collection of containers known as the logical structure. The top-level logical container in this hierarchy is the forest. Within a forest are containers, and within domains are organizational units.”

首先大家都知道目录,目录提供了文档内容的概览,可以使我们迅速找到一本书,字典中特定的章节。那么将这个概念应用于网络管理员管理服务器中。假设一个公司中有一千台服务器,管理员想要找到特定的服务器的话,一台一台的登陆,显然是极其低效率的方法。所以目录的理念同样适用在解决这种情况。

ADDS提供给域管理一个集中管理的机制和架构。假设一个公司中有一千台服务器,管理员想要找到特定的服务器的话,一台一台的登陆,显然是极其低效率的方法。ADDS可以让域管理员对网络中的所有资源进行访问(登陆,读写等操作)我们可以将其理解为单点登录。

活动目录目录服务提供的功能

(1)提供单点登录访问服务器、服务器上指定的资源与应用程序。

(2)多播复制(Replicatiion)//暂时不关心

(3)基于属性搜索 eg:基于文件名搜索

(4)基于分类搜索 eg:基于分类搜索

信任密钥:计算机在加入域的时候需要由域用户进行“介绍”,之后计算机和DC之间会建立信任关系–即生成只有两方知道的信任密钥

注:除域管理员外的域用户,默认可以加入域的计算机数目为10台

信任丢失:计算机在被还原卡还原之后,其中保存的信任密钥与DC中的信任密钥不一致导致的问题。

注:如果域中计算机的SID均为一样的,那么DC将认为这些计算机都是一样的,最终建立的信任密钥只会有最后一台。这种情况,常见于多台计算机使用ghost进行一键还原安装

统一管理的实现:在DC上可以制定组策略或者用户策略,那么域内所有的计算机都将应用DC制定的策略。

注:这种会传递的信任关系,容易导致共享内容的泄露,详情参考《活动目录以及域安全》

域树(Tree):一个域下还可能会有子域,从而构成域树

注:树是有父和子之分的,父域和子域的名称之间是有沿用关系的;树与树之间是没有这种延用关系的;新域就是一个林,只不过这个林只有一棵树。

域林(Forest):多个域树整体将构成域林

集中身份验证的实现:

域用户账号是可以在域中的多台计算机进行登录的。因为域用户的账号密码不能直接在传输,因为不安全,所以就有了Netlogon服务,Netlogon会使用被登录计算机与DC的信任密钥对域用户的账号密码进行加密,之后传递给DC进行解密验证;验证通过之后,DC会将对应账户的sid与账户密码一起加密传输给被登录计算机。

域用户只要在域中的一台计算机进行了登录,就可以通过此计算机访问同域下的所有计算机。当然,如果DC坏了,就无法进行同域访问了;但是还是可以用缓存过得身份进行登录。

同一工作组中的计算机A要访问域中的计算机B上的共享资源的时候,牵涉到账号归属问题,即账号归属域还是归属工作组,这个归属问题牵涉到账号的验证问题,因而为了区分必须加上前缀,比如:ASERVERZEROYU和WORKGROUPZEROYU

0x02 DNS定位域控制器


DNS负责将域名解析成IP地址

内网的DNS则可以定位DC,域会有名称,比如zeros。域会向DNS注册这个名称,即SRV记录。域中的计算机访问SRV来进而访问DC

通常DNS和DC会安装在同一计算机上,因而此计算的本地连接DNS要指向自身

0x03 AD的安装


环境:

VMware Workstation Pro
网络工作在NAT模式

step 1:配置静态IP和名称

给每台计算机设置静态IP(其实只要DC是静态IP就可以了),这里我们给每台计算机都设置静态IP,为了方便起见,我把计算机的名称也进行了修改。

2012 R2 – 名称:DCServer – IP:192.168.11.129

7 – 名称:win7 – IP:192.168.11.128

《域基础知识解析》

注:在此处我将DCServer既作为DC又作为DNS,所以DCServer的DNS要指向他自身。显然win7的DNS要指向DC。

step 2:安装Domain Controller和DNS服务

当登录我们的Windows 2012 R2之后,我们可以看到仪表盘,单击添加角色和功能来安装DC和DNS服务

《域基础知识解析》

注:windows server 2003中可以使用dcpromo来安装DC,但是在2012及以后此命令就被废除了。

服务器角色之前的几项,一直点下一步就好了。直到选择服务器角色这个栏目中需要选择以下两项。

《域基础知识解析》

之后继续默认点下一步即可,直达最后勾选需要重启就重启选项就好。

《域基础知识解析》

《域基础知识解析》

因为我们这是此域中的第一台DC,所以在此我们选择“添加新林”

《域基础知识解析》

此处的域功能级别和林功能级别只是为了保证与域中其它DC的兼容而已,此处不用计较,填写好密码点击下一步就好
《域基础知识解析》

因为我们还没有配置好DNS,所以会显示警告,不用管,直接点击下一步,它会自动地为我们配置好DNS
《域基础知识解析》

名称默认,继续点击下一步
《域基础知识解析》

在此处可以设置数据库、日志、sysvol文件的位置,我们采用默认,继续下一步

注:组策略是放置在sysvol目录下的,这个目录需要当前分区的格式为NTFS

《域基础知识解析》

《域基础知识解析》

《域基础知识解析》

可以看到在配置成功以后,本账号就不存在了,取而代之的是域账号
《域基础知识解析》

0x04 AD安装后的检查


1.修改DNS地址,指向自己的地址(最好不要是127.0.0.1)

2.DNS的SRV记录不全,可以通过重新服务来解决,重启服务的命令如下:


net stop netlogonnet start netlogon

注:如果记录少的话,下面的计算机可以能找不到域控制器

完整的DNS SRV记录如下所示
《域基础知识解析》

3.查看DC的完整名称

可以看到其名称后面加上了域的名称
《域基础知识解析》

4.活动目录和计算机管理工具

0x05 DNS中SRV记录注册


1.参照4.2,强制域控制器向DNS注册SRV记录

2人工进行创建,如果创建之后还不全,直接重启Netlogon即可。

注:其中有一个不变的记录–“_msdcs.域名”

3.委派

0x06 将计算机加入域


step 1:

在客户端计算机上,我们首先要确保我们可以ping通zeroyu.lab

注:如果ping不通的话,检测一下客户端计算机的DNS值是否设置为了DC的IP值(因为在这个内网环境中,我们的DC还有DNS的角色)

《域基础知识解析》

step 2:

在修改计算机名称的地方,将隶属于工作组修改为隶属于域并写上我们的域名。之后,如果没有问题的话,就会让你输入一个域账户,域账户验证通过之后计算机就成功加入了域。

《域基础知识解析》

《域基础知识解析》

step 3:

我们可以创建域账户来登录已经加入域的计算机

《域基础知识解析》

《域基础知识解析》

《域基础知识解析》

《域基础知识解析》

注:
集中身份验证,其实就是一次性对一个组的成员进行共享授权

把域用户添加到本地管理员组

域管理员默认是本地管理员组内成员

0x07 使用组策略集中管理用户和计算机


强制更新组策略


gpupdate /force

计算机开机首先会到DC查看计算机所在组的组策略

用户登录时,计算机会向DC查看用户所属组的组策略

使用组策略部署软件时,只能部署msi结尾的文件

使用组策略管理器可以设置使普通域账户也可以登录DC

域中可以部署多台DC实现容错,但要注意DNS也要实现容错并且在域中的计算机上要设置多个DNS

活动目录站点可以控制站点之间的复制,进而优化两个使用VPN链接的域之间的用户登录等问题

0x08 域中主控


PDC:防止站点名的重复;加快密码同步

RID主控:RID块,限制一次创建用户的数量

基础架构主控:负责更新其它域中对某个对象的引用

注:一个域中的第一个DC默认负责以上三个功能

强制某个DC成为域中的PDC/RID/基础架构主控


ntdsutil命令的使用

注:前提是此域林中的PDC域控坏掉了或者链接不上了

0x09 附录

推荐:

基础视频课程

域渗透基础简单信息收集(基础篇)