安全 --- 内网基础知识(01)

news2024/11/15 21:36:51

内网基础知识

(1)概念

内网也称局域网(Local Area Network,LAN)是指在某一工作区域内由多台计算机互联形成的计算机组,一般是方圆几千米内。局域网可实现文件管理、应用软件共享、打印机共享、工作内的历程安排、电子邮件和传真通信服务等功能。

内网为封闭性网络,一定程度上能够防止信息泄露和外部网络攻击,具有较高安全性。

(2)工作组(WorkGroup)

一个大的单位内,可能有成百上千台电脑相连形成局域网,它们都会列在“网络”内。如果不分组,就会相当混乱。为了解决这个问题,就有了工作组的概念。

工作组:对局域网中计算机进行分类,使得网络有序。计算机之间的管理依然是各自为政,所有计算机是对等的,可随意加入和退出,且不同工作组之间的共享资源可以互相访问。

(3)域

域(Domain)是一个有安全边界的计算机集合,可以吧域理解成为升级版的“工作组”。相比工作组,它有更严格的安全管理控制机制,若想访问域内资源,必须要有合法身份登录到域中,并且这个合法身份的用户身份,决定着在该域内所拥有的权限。

域管理员只能管理域内部的关系,除非其他的域显示赋予管理权限,才可访问其他域,每个域都有自己的安全策略,以及与其他域之间的安全信任关系。

<1> 域控制器

域控制器(Domain Controller --- DC)是一个域中类似管理服务器的计算机,负责每一台联入的电脑和用户的验证工作,域内电脑相互访问首先经过它的审核。

<2> 安全域

目的:将一组安全等级相同的计算机划分到同一网段内,这一网段内的计算机有相同的网络边界,网络边界上采用防火墙部署来实现其他安全域的NACL(网络访问控制策略),允许哪些IP访问,哪些不能IP访问;允许此域可访问哪个IP/网段,不允许访问哪个IP/网段

<3> 域的分类

分为:单域、父子域、域树、域森林、DNS域名服务器

【1】单域:只有一个域的网络环境,一般需要两台DC,一台常用,一台备用

【2】父子域:类比公司总部和公司分部的关系,总部的域称为父域,各分部的域称为该域的子域。

  • 好处:减少了域之间信息交互的压力(域内信息交互不会压缩,域间信息交互可压缩);不同子域之间可以指定特定的安全策略

【3】域树(tree):多个域通过建立信任关系组成的集合,若两个域之间需要互相访问,则需建立信任关系(trust relation),通过信任关系可将父子域连接为树状结构

【4】域森林(forest):若干个树通过信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源,从而又保持了域自身原有的特性。

【5】DNS域名服务器:DNS域名服务器是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务器。

(一般情况下,在内网渗透时通过寻找DNS服务器来定位域控制器,通常DNS服务器和域控制器处于同一台机器

<4> 域中计算机分类

  • 域控制器
  • 成员服务器
  • 客户机
  • 独立服务器


域和工作组的区别:

[1] 适用环境不同

域一般是在比较大的网络中,工作组较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他计算机需互相访问都得经过域控服务器;工作组则不同,一个工作组中所有计算机都是对等的,没有服务器和客户机之分,与域相同,若一台计算机访问其他计算机首先也要找到组中的一台类似组控服务器,而组控服务器是不固定的,以选举方式实现,它存储这个组的相关信息,找到这台计算机得到组信息然后进行访问。

[2] 分类

工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理,需访问一台计算机,还是要到被访问的计算机上实现用户验证;域是一个有安全边界的计算机集合,在同一个域中的计算机上已经建立了信任关系,域内访问其他机器不需被访问机器的许可了

[3] 拓展

  • 域是windows网络中运行的独立单位,域之间相互访问需要建立信任关系(trust relation),信任关系是在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需相互管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享管理。
  • 工作组是局域网中的一个概念,是最常见最普通的资源管理模式,将不同电脑按所需执行的功能划分到不同组中,以方便管理。


(4)活动目录(Activity Directory -- AD)

活动目录是域环境中提供目录服务的组件。

若将内网中的资源看做字典,则AD就是这个字典的索引。活动目录存储的是内网中所有资源的快捷方式,用户通过寻找快捷方式来定位资源。

(5)AD和DC的区别

  1. 网络规模较大,会考虑将网络中的众多对象:计算机、用户、用户组、打印机、共享文件等,分类放在仓库中,做好检索信息,便于查找、管理和使用。这个有层次结构的数据库,就是活动目录数据库,简称AD库;
  2. 我们将存放AD库的计算机称为DC。实现域环境,就是安装AD(当内网中其中一台计算机安装AD后,它就变成了DC)。
  3. DC的本质是一台计算机,AD的本质是提供目录服务的组件

(6)域内权限

分类:域本地组、全局组、通用组、AGDLP

【1】域本地组:多域用户访问单域资源(访问同一个域)。可从任何域添加用户账户、通用组和全局组,只能在其所在域内分配权限。域本地组不能嵌套于其他组中。主要是用于授予位于本域资源的访问权限

【2】全局组:单域用户访问多域资源。只能在创建该全局组的域上进行添加用户的全局组,可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中。一般不用来直接分配权限。

【3】通用组:来自域林中任何域中的用户账户、全局组和其他通用组。可在域林中的任何域中指派权限,可嵌套于其他域组中。适合域林中的跨域访问。

记忆方法:

  • 域本地组:来自全林,作用于本域
  • 全局组:来自本域,作用域全林
  • 通用组:来自全林作用于全林

【4】A-G-DL-P策略

  • A(account),表示用户账号

  • G(Global group),表示全局组

  • U(Universal group),表示通用组

  • DL(Domain local group),表示域本地组

  • P(Permission 许可),表示资源权限。

A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/642744.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

新一代绿色智慧数据中心电气规划设计与常识(一)

绿色智慧数据中心 随着大数据、云计算、人工智能、区块链、ChatGPT等技术加速创新&#xff0c;数字文化产业发展动力强劲&#xff0c;不断解锁新兴业态。近年来&#xff0c;各级政府重要会议中也多次强调“新基建”今后一段时期驱动新一轮产业革命的战略性新兴产业&#xff0c…

软件测试06:软件测试原则和黑盒测试用例设计方法

软件测试原则 所有测试的标准都是建立在用户需求之上软件测试必须基于"质量第一"的思想去开展各项工作&#xff0c;当时间和质量冲突时&#xff0c;时间要服从质量事先定义好产品的质量标准&#xff0c;只有有了质量标准&#xff0c;才嫩如果根据测试的结果&#xf…

今年找工作真的好难啊,一秒泪崩

在入行前端开发之前&#xff0c;我看过了很多从学校毕业之后一事无成的人&#xff0c;而我心气比较高&#xff0c;接受不了自己也一样浑浑噩噩地过。偶然机会接触到了前端开发&#xff0c;觉得很有意思&#xff0c;思考再三之后&#xff0c;决定去做这件自己喜欢又能有所成就的…

散热差、设计古板,因循守旧的联想Thinkpad还能获得忠粉的青睐吗?

拥有航天梦想的联想ThinkPad&#xff0c;在5月18日的新品发布会上&#xff0c;再次与中国航天太空创想达成了合作&#xff0c;将整场发布会的格调提升到了没有“边际”的高度。 发布会上&#xff0c;联想ThinkPad宣布了几款新品的面世&#xff0c;产品性能的升级和优化必不可少…

ICASSP 2023 | 深度窄带网络消除实时语音通信中的干扰音

来源&#xff1a;ICASSP 2023 作者&#xff1a;Feifei Xiong, Jinwei Feng等 论文题目&#xff1a;Deep Subband Network for Joint Suppression of Echo, Noise and Reverberation in Real-Time Fullband Speech Communication 本文由阿里巴巴钉钉蜂鸣鸟音频实验室&#xff08…

使用vuex记住当前页面页码信息,以便从详情页返回列表页时能还原到上一次页面

文章目录 一、在vuex中需要完成的工作二、在需要记住页面信息的列表页组件中添加如下代码&#xff0c;比如list.vue:三、在详情页添加返回按钮&#xff08;可选&#xff09;四、顺便来总结下&#xff0c;能返回上一级页面的方法有2类5种&#xff1a;五、总结&#xff0c;记住当…

移动设备管理:自带设备办公(BYOD)管理

什么是自带设备办公&#xff08;BYOD&#xff09; 自带设备办公&#xff08;BYOD&#xff09;指一些企业允许员工携带自己的笔记本电脑、平板电脑、智能手机等移动终端设备到办公场所&#xff0c;并可以用这些设备获取公司内部信息、使用企业特许应用的一种政策&#xff0c;企…

支持AUTOSAR Classic以及Adaptive平台的DEXT诊断数据库

一 DEXT、DCM、DEM和FIM的概述 DEXT&#xff08;Diagnostic Extract Template&#xff09;是AUTOSAR定义的诊断提取模板&#xff0c;用于DCM&#xff08;Diagnostics Communication Manager&#xff09;、DEM&#xff08;Diagnostics Event Manager&#xff09;和FIM&#xff…

【数据库原理与应用 - 第六章】T-SQL 在SQL Server的使用

目录 一、数据库定义语言DDL 1、数据库的定义 &#xff08;1&#xff09;创建数据库 &#xff08;2&#xff09;管理数据库 2、基本表的定义 &#xff08;1&#xff09;创建基本表 &#xff08;2&#xff09;修改基本表 3、索引的定义 &#xff08;1&#xff09;创建索…

东北小胖丫华夏受邀拍摄“沈水之阳,我心向往,寻美沈阳”宣传片

6月1日-4日&#xff0c;东北小胖丫华夏带领华夏星闪闪爱心公益服务队的小志愿者们&#xff0c;在沈阳的地标性建筑——沈阳故宫、中街、五里河公园等地&#xff0c;拍摄了“寻美沈阳”宣传片。 宣传片以“沈水之阳&#xff0c;我心向往&#xff0c;我爱沈阳&#xff0c;我爱家乡…

希尔贝壳邀您参加2023深圳国际人工智能展览会

2023深圳国际人工智能展览会“AIE”将于2023年5月16-18日在深圳国际会展中心 (宝安)举办&#xff0c;希尔贝壳受邀参加&#xff0c;展位号&#xff1a;A331。 伴随着智能行业的快速发展&#xff0c;展会已被越来越多的企业列入每年必选展会&#xff0c;也成为各采购商选购的理…

互联网 Java 高级工程师面试 1000 题 + 答案汇总(社招最新版)

作为一个 Java 程序员&#xff0c;你平时总是陷在业务开发里&#xff0c;每天噼里啪啦忙敲着代码&#xff0c;上到系统开发&#xff0c;下到 Bug 修改&#xff0c;你感觉自己无所不能。然而偶尔的一次聚会&#xff0c;你听说和自己一起出道的同学早已经年薪 50 万&#xff0c;而…

web期末大作业--网页设计 HTML+CSS+JS(附源码)

目录 一&#xff0c;作品介绍 二.运用知识 三.作品详情 四.部分作品效果图 我的&#xff1a;​编辑 五.部分源代码 六.文件目录 七.源码 一&#xff0c;作品介绍 作品介绍&#xff1a;该作品是一个是一个关于影视作品的网页&#xff0c;一共有五个页面&#xff0c;主页&a…

安全狗(云)工作负载安全保护解决方案护航电信运营商多云环境下的数字安全

随着互联网技术的发展&#xff0c;云计算、大数据、物联网、微服务、容器等新技术的尝试和应用&#xff0c;基础设施架构呈现出更加“混合化”的趋势&#xff0c;虚拟化、微服务、容器等工作负载成为了新的业务载体。 一 保护&#xff08;云&#xff09;工作负载安全迫在眉睫…

迪赛智慧数——柱状图(极坐标扇图):我国民众普遍面临的睡眠问题

效果图 常见的睡眠问题&#xff0c;你占了哪一样? 在网络科技发达的今天&#xff0c;伴随着高压快节奏的生活状态&#xff0c;各阶层各年龄段的睡眠问题接踵而至&#xff0c;甚至只增不减&#xff0c;一觉到天亮的好睡眠变得无价。据最新睡眠报告数据显示&#xff0c;75%的受…

华为OD机试真题 JavaScript 实现【最多提取子串数目】【2023Q1 100分】

一、题目描述 给定由[a-z] 26 个英文小写字母组成的字符串 A和 B&#xff0c;其中A中可能存在重复字母&#xff0c;B 中不会存在重复字母&#xff0c;现从字符串 A 中按规则挑选一些字母&#xff0c;可以组成字符串 B。 挑选规则如下: 同一个位置的字母只能被挑选一次&#…

快速上手Opencv:HighGUI图形用户界面

HighGUI图形用户界面 1.图像的载入、显示和输出到文件 1.1 图像的载入&#xff1a;imread()函数 Mat imread(const string &filename,int flags1) 第一个参数&#xff1a;图片路径第二个参数&#xff1a;载入标识&#xff0c;指定一个加载图像的颜色类型。可以看到它自…

解决@Transactional事务不回滚问题

1、事务不回滚情况 - 演示 1.1 情况说明&#xff1a; service层加了事务管理器Transactional &#xff0c;报错后&#xff0c;事务并没有同时回滚&#xff1b; service层调用了两个dao层的方法&#xff0c;执行第一个dao层方法&#xff0c;正常往数据库插入数据。执行第二个d…

selenium4-获取页面元素相关信息

引言 现在&#xff0c;越来越多的公司和企业开始将业务转移到线上平台。而对于网站或者应用的测试、开发人员来说&#xff0c;获取页面元素相关信息是解决很多问题的关键之一。 如果您正为此而苦恼&#xff0c;那么恭喜您&#xff0c;因为这篇文章将会为您揭秘Selenium4获取页…

HAProxy概述、搭建Web群集

HAProxy概述、搭建Web群集 一、HAProxy概述1、HAProxy的主要特性2、常见的Web集群调度器3、Haproxy应用分析4、Haproxy调度算法原理 二、LVS、Nginx、HAproxy的区别三、LVS、Nginx、HAproxy的优缺点1、Nginx的优点&#xff1a;2、Nginx的缺点&#xff1a;3、LVS的优点&#xff…