当前位置：首页 > news >正文

tryhackme——Active Directory Basics

news 来源：原创 2025/8/5 4:29:45

文章目录

一、Windows Domains
二、活动目录AD
- 2.1 Active Directory Users and Computers
- 2.2 安全组和组织单位OU
三、管理AD中的用户
- 3.1 删除额外的OUs和用户
- 3.2 委托
四、管理AD中的计算机
五、组策略
- 5.1 查看GPO
- 5.2 GPO分发
- 5.3 新建GPO
六、认证方式
- 6.1 Kerberos认证
- 6.2 NetNTLM认证

一、Windows Domains

在大型计算机系统中，通常使用windows域（windows domain）对计算机系统进行管理，而不是将每台计算机当做实体。域的核心思想是将计算机网络的公共组件的管理集中到一个名为Active Directory（AD）的单一存储库中。运行Active Directory服务的服务器被称为域控制器（DC）。
在这里插入图片描述

举个栗子：在学校网络中，你通常会获得一个用户名和密码，可以在校园内任何一台电脑上使用。你的凭据在所有机器上都有效，因为当你在一台机器上输入它们时，机器会将身份验证过程转发回Active Directory，在那里检查你的凭据。因此，你的凭据不需要存在于每台机器上，而是在整个网络中可用。

二、活动目录AD

任何Windows域的核心都是活动目录域服务（AD DS），该服务充当目录，存储网络中所有“对象”的信息。AD支持多种对象，包括用户、组、计算机、打印机、共享资源等。

用户
用户是AD中最常见的对象类型之一，属于安全主体，可以被域认证，并可被授予对文件或打印机等资源的权限。用户对象通常代表两类实体：
- 人员：通常是组织中需要访问网络的用户。
- 服务：某些服务（如IIS或MSSQL）也需要用户账户来运行，但这类用户账户的权限仅限于运行特定服务。
机器
每台加入AD域的计算机都会创建一个计算机对象。在域内识别机器相对容易，其名称是计算机名后加一个美元符号，例如，名为DC01的计算机，其计算机账户名为DC01$。
安全组
在Windows中可以定义用户组，将文件或其他资源的访问权限分配给整个组，而不仅仅是单个用户。可以将用户添加到现有组中，他们将自动继承该组的所有权限。安全组也被视为安全主体，因此可以拥有对网络资源的权限。组可以包含用户和计算机作为成员。如果需要，组也可以包含其他组。

2.1 Active Directory Users and Computers

为了配置活动目录的用户、组或计算机，我们需要登录域控且运行Active Directory Users and Computers：
在这里插入图片描述
这将打开一个窗口，我们可以在其中查看域中存在的用户、计算机和组的层级结构。这些对象被组织在组织单位（ Organizational Units，OUs）中，组织单位是容器对象，主要用于定义具有相似策略要求的用户集合。例如，您组织中的销售部门人员可能应用的策略集与IT部门人员不同。注意：用户一次只能属于一个组织单位。

检查我们的计算机，我们可以看到已经有一个名为THM的组织单位，它有四个子组织单位，分别用于IT、管理、营销和销售部门。注意：管理员可以任意定义组织单位。可以对组织单位中包含的用户进行一些操作，如重命名、重置密码等。

在这里插入图片描述
除了THM组织单位外，还有其他默认的容器。这些容器是Windows自动创建的，包含以下内容：

Builtin：包含任何Windows主机上可用的默认组。
Computers：任何加入网络的机器默认会被放置在这里。如果需要，你可以移动它们。
Domain Controllers：默认的组织单位，包含网络中的域控制器。
Users：适用于整个域上下文的默认用户和组。
Managed Service Accounts：包含用于Windows域中服务的账户。

2.2 安全组和组织单位OU

组织单位便于将策略应用于用户和计算机，其中包括与用户集相关的特定配置，具体取决于用户在企业中的特定角色。注意：用户一次只能是单个OU的成员。
安全组用于对资源授予权限。例如，如果您希望允许某些用户访问共享文件夹或网络打印机，则可以使用组。用户可以是多个组的一部分，这是授予对多个资源的访问权限所必需的。

三、管理AD中的用户

假如当前的组织架构如下图所示，你需要进行一些改变。
在这里插入图片描述

3.1 删除额外的OUs和用户

删除Research and Development部门，会报错：没有权限。
请添加图片描述
默认情况下：组织单位OU被保护以防止意外删除。view->Advanced Feature

对Research and Development右键properties，取消protect object from accidentail deletion。
在这里插入图片描述
之后即可正常删除。

3.2 委托

委托：允许您授予用户在ou上执行高级任务的特定权限，而无需域管理员介入。例如，授予IT支持重置其他低权限用户密码的权限，把重置销售、营销和管理ou的密码的控制权委托给Phillip。
在这里插入图片描述

在thm attackBox中使用xfreerdp连接靶机：

xfreerdp /v:10.10.71.204 /u:phillip /p:Claire2008

# 重置密码Set-ADAccountPassword sophie -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose
# Set-ADAccountPassword：修改Active Directory账户的密码；
# -Reset：这个参数表示要重置密码。当使用这个参数时，不需要提供旧密码。
# -NewPassword：这个参数用于指定新的密码。这里通过Read-Host -AsSecureString -Prompt 'New Password'来提示用户输入新的密码，并将其作为安全字符串传递。
# -Verbose：这个参数用于输出详细的执行信息

在这里插入图片描述

# 下次登录强制重置密码
Set-ADUser -ChangePasswordAtLogon $true -Identity sophie -Verbose
# Set-ADUser：用于修改Active Directory用户账户的属性。
# -ChangePasswordAtLogon $true：这个参数表示设置用户在下次登录时必须更改密码。$true是一个布尔值，表示启用这个功能。
# -Identity sophie：这个参数指定要修改的用户账户，这里是sophie。
# -Verbose：这个参数用于输出详细的执行信息，

登录时会强制重置密码：
在这里插入图片描述

四、管理AD中的计算机

默认情况下，所有加入域的机器（域控除外）都将放在名为“Computers”的容器中，如下：
在这里插入图片描述
为了给服务器和普通机器设置不同的策略，通常将设备分为三类：

工作站
工作站是Active Directory域中最常见的设备之一。域中的每个用户都可能登录到一个工作站。这是他们用来完成工作或正常浏览活动的设备。就是常见的普通PC
服务器
服务器是Active Directory域中第二常见的设备。服务器一般用于向用户或其他服务器提供服务，如web服务器。
域控制器
域控制器是Active Directory域中第三种最常见的设备。域控制器允许您管理Active Directory域，域控制器中包含环境中所有用户帐户的散列密码。

新建workstation和servers这两个独立的组织单元OU：
在这里插入图片描述

五、组策略

我们将用户和计算机组织在OU中，但这背后的主要思想是能够为每个OU单独部署不同的策略。这样，我们就可以根据用户所在的部门向他们推送不同的配置和安全基线。
Windows通过组策略对象（Group Policy Objects， GPO）管理这些策略。gpo只是一组可以应用于ou的设置，gpo可以包含针对用户或计算机的策略，允许您在特定的机器和身份上设置基线。

5.1 查看GPO

要配置gpo，可以使用开始菜单中的组策略管理工具：
在这里插入图片描述
要配置组策略，首先在组策略对象下创建一个GPO，然后将其链接到要应用策略的OU。

在上图中，已经创建了3个gpo，如“默认域控制器策略”只链接到“域控制器”OU。需要注意的重要一点是，任何GPO将适用于链接的OU及其下的任何子OU。例如，Sales OU仍然会受到默认域策略的影响。

检查默认域策略，scope表示该组策略被连接到哪个AD中，默认域策略的scope为thm.local。Security Filtering表示应用对象，默认情况下，它们将应用于Authenticated Users，该组包括所有用户/ pc。
在这里插入图片描述

setting选项卡包含GPO的具体配置。每个GPO都有仅适用于计算机的配置和仅适用于用户的配置。在这种情况下，默认域策略只包含计算机配置：
在这里插入图片描述
默认域策略表示应该应用于大多数域的基本配置，包括密码和帐户锁定策略。

由于默认域策略适用于整个域，因此对它的任何更改都会影响所有计算机。让我们更改最小密码长度策略，要求用户的密码中至少有10个字符。要做到这一点，右键单击GPO并选择编辑：
在这里插入图片描述
修改密码策略：Computer Configurations -> Policies -> Windows Setting -> Security Settings -> Account Policies -> Password Policy

5.2 GPO分发

gpo通过一个名为SYSVOL的网络共享分发到网络中，该网络共享存储在DC中。一个域中的所有用户通常都应该能够通过网络访问该共享，以便定期同步其gpo。默认情况下，SYSVOL共享指向网络中每个dc的C:\Windows\SYSVOL\sysvol\目录。

一旦对任何gpo进行了更改，计算机可能需要长达2个小时才能赶上。如果你想强制任何一台特定的计算机立即同步它的gpo，你可以在需要的计算机上运行以下命令：

# 强制同步gpo
gpupdate /force

在这里插入图片描述

5.3 新建GPO

新建一个GPO，为实现：

阻止非it用户访问控制面板。
让工作站和服务器在用户不活动5分钟后自动锁定屏幕，以避免人们离开他们的会话。

限制对控制面板的访问

创建一个名为Restrict Control Panel Access的新GPO，并打开它进行编辑。由于我们希望此GPO应用于特定用户，因此我们将在用户配置中查看以下策略：
在这里插入图片描述

注意，我们已经启用了禁止访问控制面板和PC设置策略。

一旦配置了GPO，需要将其链接到与不应该访问其pc的控制面板的用户对应的所有ou。在本例中，我们将通过将GPO拖动到每个ou来链接营销、管理和销售ou：
在这里插入图片描述
自动锁定屏幕GPO

第一个方案：可以直接将新的GPO应用于工作站、服务器和域控制器ou。

另一种方法是简单地将GPO应用到根域，因为我们希望GPO影响所有计算机。由于工作站、服务器和域控制器ou都是根域的子ou，因此它们将继承根域的策略。

注意：如果GPO应用到根域，它也将被其他ou（如Sales或Marketing）继承。由于这些ou只包含用户，因此GPO中的任何计算机配置都将被它们忽略。也就是说针对计算机的配置，用户OU是会自动忽略的

新建一个GPOAuto Lock Screen，设置相关策略：
在这里插入图片描述
我们将设置不活动限制为5分钟，这样，如果任何用户离开他们的会话打开计算机自动锁定。关闭GPO编辑器后，通过将GPO拖拽到根域，将GPO链接到根域：

六、认证方式

当使用Windows域时，所有凭据都存储在域控制器中。每当用户尝试使用域凭据对服务进行身份验证时，该服务将需要请求域控制器验证它们是否正确。windows域下的网络认证有两种协议：

Kerberos：任何最新版本的Windows都可以使用，windows域中默认协议。
NetNTLM：出于兼容性目的而保留的遗留身份验证协议。

6.1 Kerberos认证

Kerberos身份验证是任何最新版本Windows的默认身份验证协议。使用Kerberos登录到服务的用户将被分配票证，可以将票据视为先前身份验证的证明。拥有票据的用户可以将票据提交给服务，以证明他们之前已经通过了网络身份验证。Kerberos认证步骤如下：

用户将其用户名和时间戳发送到密钥分发中心（KDC），该服务通常安装在域控制器上，负责在网络上创建Kerberos票据。
KDC将创建并发送一个Ticket Granting Ticket (TGT，金票)，这将允许用户请求额外的Ticket来访问特定的服务。除了TGT之外，还会向用户提供一个会话密钥，用户将需要该密钥来生成以下请求。

注意：TGT是使用krbtgt帐户的密码散列进行加密的，因此用户无法访问其内容。同时，加密的TGT包含会话密钥的副本作为其内容的一部分，并且KDC不需要存储会话密钥，因为如果需要，它可以通过解密TGT来恢复副本。

在这里插入图片描述

当用户想要连接到网络上的服务，如共享、网站或数据库时，他们将使用TGT向KDC请求票证授予服务（TGS）。为了请求TGS，用户将发送他们的用户名和使用会话密钥加密的时间戳，以及TGT和服务主体名称（SPN）， SPN表示我们打算访问的服务和服务器名称。
KDC将向我们发送一个TGS（银票）和一个服务会话密钥，以通过目标服务的身份验证。TGS使用服务所有者的密码hash对TGS进行加密，服务所有者是运行服务的用户或机器帐户。TGS在其加密内容上包含服务会话密钥的副本，以便服务所有者可以通过解密TGS来访问它。
然后将TGS发送到所需的服务以进行身份验证并建立连接，服务将使用其配置的帐户的密码hash来解密TGS并验证服务会话密钥。

6.2 NetNTLM认证

NetNTLM使用challenge-response机制工作。整个过程如下：
在这里插入图片描述

客户端向服务器发送身份验证请求。
服务器生成一个随机数，并将其作为challenge发送给客户端。
客户端将它们的NTLM hash与challenge结合起来，生成对challenge的响应，并将其发送回服务器进行验证。
服务器将challenge和response转发给域控制器以进行验证。
域控制器使用challenge重新计算response，并将其与客户端发送的原始响应进行比较。如果两者都匹配，则客户端通过身份验证；否则，将拒绝访问。身份验证结果被发送回服务器。
服务器将认证结果转发给客户端。

注意：

出于安全考虑，用户的密码（或散列）永远不会通过网络传输。
上述过程适用于使用域帐号的情况。如果使用本地帐户，则服务器可以验证对挑战本身的响应，而不需要与域控制器进行交互，因为它将密码散列本地存储在其SAM上。

文章目录

一、Windows Domains

二、活动目录AD

2.1 Active Directory Users and Computers

2.2 安全组和组织单位OU

三、管理AD中的用户

3.1 删除额外的OUs和用户

3.2 委托

四、管理AD中的计算机

五、组策略

5.1 查看GPO

5.2 GPO分发

5.3 新建GPO

六、认证方式

6.1 Kerberos认证

6.2 NetNTLM认证

相关文章：