蓝队基础3 -- 身份与数据管理

声明：
本文的学习内容来源于B站up主“泷羽sec”视频“蓝队基础之网络七层杀伤链”的公开分享，所有内容仅限于网络安全技术的交流学习，不涉及任何侵犯版权或其他侵权意图。如有任何侵权问题，请联系本人，我将立即删除相关内容。
本文旨在帮助网络安全爱好者提升自身安全技能，并严格遵守国家法律法规。任何人利用本文中的信息从事违法活动，均与本文作者和“泷羽sec”无关。请读者自觉遵纪守法，合理合法使用相关知识。

1 身份管理

身份管理是确保企业信息安全的关键环节，它涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具：

1.1 识别Windows典型应用

在Windows环境中，常见的应用和服务包括Microsoft Exchange（邮件服务器）、SharePoint（文档协作平台）和Active Directory（目录服务）。要识别这些应用和服务，可以使用网络扫描工具，如sudo nmap -PS -sV somesystem.com，来探测目标系统上开放的服务和端口。

1.2 识别Linux典型应用

在Linux环境中，OpenSSH（安全壳协议）用于远程登录和管理，Samba则用于文件和打印共享。同样，可以使用网络扫描工具来识别这些服务。

1.3 识别WEB服务

企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb http://someweb.org等工具来识别WEB服务的类型、版本和配置信息。

1.4 识别客户端设备

在内网环境中，客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当，终端设备可能会暴露在网络中。因此，需要定期扫描和识别内网中的客户端设备，以确保它们符合企业的安全策略。

1.5 身份和访问管理

身份以及特权和访问权限管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储，包含用户账号和服务账号。为了确保系统的安全性，普通用户不能执行系统级配置管理命令，而需要使用sudo权限或以管理员身份运行。

1.6 目录服务

LDAP（轻量级目录访问协议）是一种用于访问目录信息的协议，它广泛应用于AD（Active Directory）和OpenLDAP等目录服务中。通过域集中管理，可以实现资源的集中存储和集中管理，包括组策略的应用和更新。

2 企业数据存储：选择合适的架构以满足增长需求

在大数据和严格监管的背景下，企业对数据存储和管理提出了更高要求。数据存储方案通常分为SAN（存储区域网络）和NAS（网络附加存储），两者各具特色：

• SAN（存储区域网络）
  SAN通过高速网络连接多个存储设备，为数据提供高效的存储和快速的访问能力，适合需要极高性能的企业应用场景。它通过专用网络连接存储设备，确保数据传输的稳定性和低延迟。

• NAS（网络附加存储）
  NAS是一个独立的存储设备，允许服务器和工作站通过本地网络访问数据。它为企业的文件存储提供了经济高效的解决方案，易于管理并适合需要共享文件的协作场景。

此外，企业可以采用串行局域网（SoL）协议，将串行数据在HTTPS上进行传输，从而增强数据传输的安全性和可靠性。

3 企业虚拟化平台：资源管理的关键利器

虚拟化平台作为企业IT基础设施的核心技术，帮助企业优化资源利用，提高灵活性。常见的虚拟化平台包括：

• VMware vSphere和vCenter
  VMware提供了强大的虚拟化管理功能，能够实现资源的动态分配和负载优化，使企业能够更灵活地应对业务需求的变化。

• Proxmox
  Proxmox是一款开源虚拟化平台，支持KVM和LXC两种虚拟化方式，能够灵活管理服务器资源，且以其开放性和社区支持备受中小企业青睐。

这些虚拟化平台不仅提高了系统的可扩展性，还降低了硬件资源的浪费，为企业带来更高的性价比。

4 数据湖：释放多源数据的潜在价值

数据湖是企业保存多种数据的大型存储库。借助数据湖，企业能够有效管理结构化和非结构化数据，并结合分析手段挖掘数据价值。常见的解决方案包括：

• Hadoop
  作为数据湖的代表性技术，Hadoop因其大数据处理能力广泛应用于企业级数据管理。

• DataBricks
  DataBricks提供了一体化的数据分析和管理平台，适合本地环境的数据湖构建。

• 基于云的解决方案
  例如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR和Azure Data Lake Storage等，为企业提供可扩展的大数据存储和分析能力，尤其适合云原生企业。

虽然数据湖带来了数据管理的便捷性，但其安全风险也不容忽视。例如，Hadoop的YARN服务配置错误可能被利用，导致恶意HTTP请求获取系统shell权限。因此，企业在利用数据湖时需强化安全监控和管理，避免潜在的安全隐患。

通过合理选择数据存储架构、虚拟化平台和数据湖技术，企业可以构建高效、灵活和安全的数据管理体系，充分利用数据带来的商业价值。

5 企业数据库：支持业务数据的多样化存储

企业数据库是用于管理和存储业务数据的核心工具，为不同类型的数据提供高效的查询与存储支持。根据数据结构和需求，数据库可以分为SQL和非SQL两大类：

• SQL数据库
  传统SQL数据库，如Oracle SQL、Microsoft SQL Server和MySQL，是企业级应用的常见选择。它们擅长处理结构化数据，提供强大的事务管理和数据一致性，适合需要复杂查询和高稳定性的业务。

• 嵌入式SQL数据库
  如MariaDB、PostgreSQL和SQLite等数据库，通常用作嵌入式系统或轻量级应用的数据存储。它们兼具轻便性和灵活性，适合小型业务或对资源要求较低的场景。

• 非SQL数据库
  对于需要处理半结构化或非结构化数据的场景，非SQL数据库（如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB）提供了灵活的解决方案。它们支持多样化的数据查询方式，以适应业务多样化的需求，特别是在大数据和实时分析方面表现出色。

通过灵活选择数据库类型，企业可以根据业务特性进行数据管理，确保数据高效存储和易于访问。

6 传统存储形式：共享驱动器与系统管理

传统存储形式中的共享驱动器是一种基础且实用的资源共享方式，广泛用于文件和文件夹的网络共享。常见的协议如SMB/CIFS（服务器消息块）支持跨设备访问资源，适合多用户协同办公环境。

• 使用smbclient工具访问共享资源
  在Linux系统中，smbclient命令行工具可以方便地列出和访问远程服务器上的共享资源。例如，命令smbclient -L server -U user用于列出服务器上的共享资源，而smbclient \\\\someserver\\test -U user则可以连接到特定共享资源，并使用get命令下载文件。

• Windows系统的默认共享资源
  Windows操作系统中还存在一些默认共享资源，用于系统管理和维护。例如，C$表示每个驱动器的默认共享，ADMIN$用于管理操作，而IPC$作为管道共享，允许与其他计算机进行特殊连接。这些共享资源在系统管理中扮演重要角色，便于管理员进行远程管理和维护任务。

通过了解和合理利用共享驱动器和默认共享资源，企业可以更高效地进行文件共享和系统管理，提升IT基础设施的便捷性和可控性。