集权系列科普 | 想了解AD&攻击面?独家干货放送(上)

Active Directory(AD)是由微软开发的一种目录服务系统,自 1999 年发布以来,它已成为许多企业 IT 基础设施的核心组件。AD 提供了集中化的用户管理、身份验证、访问控制以及各种安全功能,为企业网络的管理和保护提供了强大的支持。


本文将介绍 AD 的基本概念、架构、特点及其使用的关键协议,并探讨其在企业环境中的应用。


集权系列科普 | 想了解AD&攻击面?独家干货放送(上)


集权设施AD的定义与功能


Active Directory 是一个目录服务,旨在用于管理计算机网络中的用户和资源。目录服务是一种可以存储关于用户、计算机、应用程序和其他资源的信息,并允许管理员和用户轻松地查找和访问这些信息的系统。



功能

集中身份验证和授权:

通过域控制器(Domain Controller, DC)进行集中身份验证,确保用户和计算机的安全访问。


目录服务:

存储和组织关于域内资源的信息,方便查找和管理。


组策略管理:

允许管理员配置和管理用户和计算机的设置。



基本概念

域(Domain):

域是 AD 的基本单位,代表一个逻辑组的用户、计算机和其他资源。每个域都有一个唯一的 DNS 名称,例如netstar.com。域中的所有对象都存储在域控制器上,并且通过目录服务进行管理。域提供了一种集中化的管理方式,使得域管理员可以统一管理域内所有资源。


域树(Domain Tree):

域树是 Active Directory 中多个具有信任关系的域的集合,这些域共享一个公共的 DNS 命名空间。每个域都有一个唯一的 DNS 名称,形成层次化的结构,例如 netstar.com 下的 it.netstar.com 和 hr.netstar.com。域树通过自动信任关系,实现了跨域的资源访问和管理。


域森林(Domain Forest):

域森林是 Active Directory 的最高层次结构,它包含一个或多个域树,这些域树共享一个全局目录、架构和配置。森林中的所有域默认通过双向传递信任关系连接,允许跨域资源访问和身份验证。这些信任关系可以根据企业的安全策略进行调整,以限制或允许特定域之间的访问。森林提供了统一的管理框架,支持复杂的企业网络结构。


组织单位 (Organizational Unit, OU):

OU 是域中的容器,用于组织和管理对象。域管理员可以使用 OU 来分组用户、计算机和其他资源,并应用组策略。OU 结构允许灵活的管理权限委派和分层次的管理。


7大核心组件



用户和组

用户是Active Directory中最基本的对象之一,代表网络中的个体,可以是人或服务账户。每个用户对象包含以下关键信息:

用户名:用户的唯一标识。

密码:用于身份验证。

个人信息:如姓名、职务、联系电话等。

组成员身份:用户所属的组,用于权限管理。


是用户的集合,用于简化权限管理。组分为两种类型:

安全组:用于分配权限和访问控制。通过将用户添加到安全组,可以简化权限管理过程。

分发组:主要用于电子邮件分发,不具备安全功能。



域名系统(DNS)

DNS(Domain Name System)在Active Directory中扮演了重要角色。它用于将域名转换为IP地址,帮助客户端找到域控制器和其他网络资源。主要功能如下:


服务定位(SRV)记录:AD使用SRV记录帮助客户端定位域控制器、全局编录服务器等。

命名解析:提供域名到IP地址的转换,确保网络通信的顺利进行。

域层次结构:支持AD的域命名空间,使网络资源和服务的访问更加方便。



组策略(Group Policy)

组策略是一种集中管理用户和计算机设置的功能。通过组策略,管理员可以控制各种配置和安全设置。主要功能如下:


策略设置:配置安全设置、软件安装、脚本等。

继承和覆盖:组策略可以应用于域、OU(组织单位)和本地计算机,并且支持继承和覆盖机制。

管理模板:提供预定义的策略设置模板,简化配置过程。

组策略对象(GPO):组策略对象是组策略的具体实现。每个GPO包含多个策略设置,可以链接到域、OU或站点。



轻量级目录访问协议(LDAP)

LDAP(Lightweight Directory Access Protocol)是用于访问和管理目录服务的协议。它是AD的核心通信协议,支持目录数据的查询和修改。主要功能如下:


目录查询:允许客户端查询目录服务中的数据,如用户信息、组成员身份等。

数据操作:支持对目录对象的添加、删除、修改等操作。

目录同步:用于在不同目录服务之间同步数据。



域控制器(DC)

域控制器DC是运行Active Directory服务的服务器,负责处理身份验证请求和目录服务的所有操作。它是存储AD数据库的地方,包含关于域中的用户、计算机、组及其他对象的所有信息。主要功能如下:


身份验证:DC负责对用户和计算机进行身份验证,确保只有经过验证的实体才能访问网络资源。它支持Kerberos和NTLM等身份验证协议。

授权:根据用户或计算机的身份及其在AD中的权限,DC授予或拒绝对资源的访问。

目录服务操作:DC处理所有目录服务的操作,包括对象的创建、删除、修改和查询。

复制:在拥有多个DC的环境中,AD通过多主复制(Multi-Master Replication)在各DC之间同步数据,确保一致性和冗余性。



全局目录服务器(GCS)

全局目录服务器是一个特殊的域控制器,它包含域内所有对象的部分属性,并提供跨域查询服务。GCS在多域环境中尤为重要,因为它能提供快速、全面的目录查询。主要功能如下:


跨域查询:GCS包含所有域中对象的部分属性,可以响应来自任何域的查询请求,提供全局目录服务。

登录验证:在用户登录时,GCS提供快速验证用户在其他域中的群组成员身份。

部分属性集(PAS):GCS存储每个对象的一部分属性,而不是全部属性,这些属性通常用于查询操作。



证书服务(ADCS)

ADCS是一个扩展组件,提供数字证书的创建、管理和分发功能,增强网络安全。主要功能如下:

证书颁发机构(CA):管理和颁发数字证书。

证书注册点:帮助用户和设备请求和获得证书。

证书吊销列表(CRL):管理和发布证书吊销信息。


集权系列科普 | 想了解AD&攻击面?独家干货放送(上)


6大关键协议


LDAP


LDAP(Lightweight Directory Access Protocol) 是 AD 访问和查询目录信息的主要协议。它提供了一种标准化的方式来访问和操作目录服务,使得 AD 可以与其他 LDAP 兼容的系统和应用程序集成。

Kerberos


Kerberos 是 AD 的主要身份验证协议,提供强大的安全性和单点登录(SSO)功能。Kerberos 使用票据授予机制,确保用户身份验证的安全性和有效性。

DNS


DNS 是 AD 命名空间的重要组成部分,用于解析域名和 IP 地址。AD 依赖 DNS 来定位域控制器和其他目录服务组件。

SMB


SMB(Server Message Block) 协议用于文件共享和打印服务。AD 使用 SMB 协议来支持文件访问和共享,以及其他网络服务。

RPC


RPC(Remote Procedure Call) 是 AD 进行远程管理和服务调用的基础协议。它允许客户端和服务器之间进行远程调用,支持分布式计算环境中的交互。

NTLM


NTLM(NT LAN Manager) 是一种较旧的身份验证协议,尽管 Kerberos 已经成为主流,但 NTLM 仍然在某些情况下使用,特别是与非 Windows 系统的兼容性方面。

MORE


AD在企业中的应用优势



用户管理流程,化繁为简

集中管理用户帐户:

管理员可以通过AD轻松地在一个中心位置创建、修改和删除用户帐户,而不需要逐个访问每台计算机进行操作。


组管理:

AD允许管理员将用户分组,这样可以通过一次操作来分配或更改多个用户的权限。例如,可以为一个部门创建一个组,然后分配该组的访问权限。


策略实施:

通过组策略对象(GPO),管理员可以配置并强制执行用户和计算机的设置,如密码策略、桌面配置和软件安装,从而保持一致性和合规性。



多重BUFF加持,安全感满满

身份验证和授权:

AD使用Kerberos协议进行安全的身份验证,确保只有经过验证的用户和设备才能访问网络资源。通过分配权限,管理员可以精确控制用户对文件、应用程序和系统的访问。


组策略:

管理员可以使用组策略来定义安全设置,如密码复杂性要求、账户锁定策略和防火墙配置。这些策略可以自动应用到所有用户和计算机上,确保整个网络的一致安全性。


审计和日志记录:

AD可以记录所有用户的登录、注销和其他活动,提供详细的审计跟踪,有助于检测和防止安全威胁。



自动化管理,作业效率轻松翻倍

自动化任务:

通过脚本和自动化工具,许多常见的管理任务可以自动执行,如用户帐户创建、密码重置和资源分配。这减少了手动操作的需求,降低了错误率。


集中管理控制台:

使用Active Directory管理工具(如AD用户和计算机管理控制台),管理员可以在一个界面中管理整个网络资源,提高了管理效率。


资源共享:

AD允许管理员集中管理共享资源(如打印机、文件夹和应用程序),简化了用户的访问和使用。



支持本地和云环境

本地和云集成:

AD可以与Azure Active Directory(Azure AD)无缝集成,使企业能够扩展其本地目录服务到云端。这种混合模式允许用户使用单一身份在本地和云资源之间切换,提供了更大的灵活性。


Azure AD的功能:

通过Azure AD,企业可以实现更多的云服务集成,如Office 365、Dynamics 365和其他SaaS应用程序。Azure AD还提供高级功能,如多重身份验证(MFA)、条件访问和应用程序代理。


统一身份管理:

企业可以通过Azure AD Connect工具将本地AD与Azure AD同步,实现统一的身份管理和用户登录体验,简化了跨平台的身份验证过程。


集权系列科普 | 想了解AD&攻击面?独家干货放送(上)


AD安全在高效率、高安全性、高精确性、支持本地与云集成等多重BUFF加持下,突破了一系列安全赛道的难题,随着技术的不断发展和企业需求的不断变化,Active Directory也将积极适应这些变化并不断完善其功能和服务。





原文始发于微信公众号(网星安全):集权系列科普 | 想了解AD&攻击面?独家干货放送(上)

版权声明:admin 发表于 2024年9月2日 下午5:47。
转载请注明:集权系列科普 | 想了解AD&攻击面?独家干货放送(上) | CTF导航

相关文章