Active Directory攻防實驗室環境搭建教程(一)

這篇文章不是為了描述如何搭建配置非常完美的實驗室。相反,本文的重點是實驗室的具體環境,可以讓你作為學習的工具快速,輕鬆地搞起來。了解計算機網路和安全的最佳方法是自己搭建家庭實驗室。值得高興的事情是,搭建家庭實驗室不再像以前那樣需要多台物理計算機。虛擬化技術使得任何人都可以使用高配的處理器和足夠的內存來創建實驗室環境,而不會過於的複雜。此外,也可以以最低的成本來構建Windows環境進行網路安全測試。

實驗室託管

雲端:

Amazon AWS,Microsoft Azure等提供了在雲上面安裝和配置虛擬機的功能,當你外出旅行時,雲上面的實驗室可以保持隨時可訪問和可用(可能會節省家庭電力)。

伺服器:

我有朋友是從各種互聯網上(ebay等)購買較舊的伺服器,並以最大的優勢運行這些伺服器。這種方式最大的缺點是功耗較大(以及相關電費)。相關的一些組件購買時通常更昂貴,儘管它們運行的持續時間更長一些。

工作站:

這是我個人的首選 —— 使用Core i7處理器構建或購買一個高級的工作站級別的系統。我強烈建議你使用SSD作為主操作系統的驅動器。另外,強烈推薦使用單獨的SSD進行虛擬機文件。固態硬碟的速度比傳統的硬碟要快得多,而且在實驗室上運行時也很明顯。例如,我的實驗室計算機有2個SSD:驅動器C和驅動器D。我可以在大約7分鐘內就建立一個新的虛擬機。從驅動器C(SSD)上的ISO文件安裝新的Windows Server需要大約12分鐘。此外,伺服器虛擬機幾乎是立即啟動!這非常的快!

另外的一個關鍵點是為實驗室計算機配備儘可能多的RAM。我的建議是至少16GB,優先32GB,超過這個數量更好!

影響系統的幾個因素:

1、處理器:用於虛擬化主機以及所有虛擬機的工作。Core i7(或選擇更好的處理器)優先。

2、硬碟:一律使用SSD!推薦至少 128GB 的系統驅動器和至少256GB的驅動器存放VM文件(最好更多一些!)。我還使用傳統的硬碟驅動器1-3TBs的大小作為VM的備份。我特別喜歡三星的 EVO SSD,因為它的速度很快而且也很可靠。500GB的三星EVO SSD在線購買約300美元(當你在閱讀此文件時,可能會更便宜)。

3、內存:對於這塊你可能會想著投入一些Money。就我個人而言,我寧願花更多的時間並且有能力在64GB裡面(或更多)放入一個系統,然後電腦的最大功耗為16GB。你擁有的內存越多,那麼你可以運行的VM就越多,這意味著你可以運行更多的VM來實驗更多有趣場景。

我也附加了外部的傳統硬碟驅動器(1.5TB或更大)用於實驗室的VM備份,儘管我傾向於將SSD上的操作系統ISO文件和操作系統模板VM文件(Sysprep操作系統虛擬機)保留在SSD上以保證最高的安裝速度。

虛擬化

市場上有幾個常見的虛擬化平台。鑒於我個人涉及到Microsoft平台和生態系統的職業生涯,Hyper-V對我來說是顯而易見的選擇。VMWare是這個領域的佼佼者,所以如果你並不是專註於Windows,這可能是你最好的途選擇徑。請注意,Hyper-V和VMWare都具有免費的虛擬化產品:Hyper-V Server和VMWare vSphere Hypervisor(以前稱為VMWare ESXi)。還有其他的像VirtualBox,可以安裝在現有的操作系統之上。

Active Directory實驗室環境搭建選項

顯然,除了我在這裡所描述到的選項,應該還有更多,但是我想將這些選項稱為幫助那些試圖找出最適合他們的選項。

我在客戶端(工作站)上使用的是Windows 7,如果我不需要測試Windows 8或Windows 10的特定內容。我傾向於運行兩個域控制器(DC),一個運行Windows 2008 R2和另一個Windows 2012 R2來測試特定的操作系統的安全問題。Beta軟體在自身的環境中進行分段,以隔離測試版問題。

基本的Active Directory實驗室環境設置:

這是你的基本配置,支持大多數測試場景。我測試的大多數安全場景通常只需要一個DC和客戶端(工作站)。

1、VM 1:Windows 2012 R2 – 域控制器(1個林中的單個域的DC)

2、VM 2:Windows 7/8/10 -加入到Active Directory的Windows工作站(我通常使用 Windows 7,因為它在企業中很常見)

標準Active Directory實驗室環境設置:

這是我的標準實驗室配置,支持擴展的測試場景。在一台DC上運行Windows Server 2008 R2,在另一台上運行Windows Server 2012 R2,這種環境可以測試兩個不同的DC操作系統。通常把不需要測試的DC關機,等測試完畢再繼續啟動就行了。

1、VM 1:Windows 2008 R2 – 域控制器(1個域林中的DC#1)

2、VM 2:Windows 2012 R2 – 域控制器(1個域林中的DC#2)

3、VM 3:Windows 7/8/10 -加入到Active Directory的Windows工作站(我通常與Windows 7一起使用,因為它在企業中很常見)

擴展的Active Directory實驗室環境設置:

這是我的擴展實驗室配置,它支持多種更高級的測試場景。我運行了三個DC,支持兩個域AD林以及兩個不同的伺服器操作系統以及兩個不同的客戶端操作系統。

1、VM 1:Windows 2008 R2 – 域控制器(根/父域林的DC#1)

2、VM 2:Windows 2012 R2 – 域控制器(根/父域林的DC#2)

3、VM 3:Windows 2012 R2 – 域控制器(子域林的DC#1)

4、VM 4:Windows 7 -加入Active Directory 根/父域的Windows工作站

5、VM 5:Windows 7/10 -加入到Active Directory根/父域的Windows工作站(或子域這取決於測試場景)

6、VM 6:Windows Server 2008 R2 -連接到根/父域的「應用程序」伺服器。

7、VM 7:Windows Server 2012 R2 -加入到根/父域的「應用程序」伺服器。

實際上,你可以通過添加只讀域控制器(RODC),配置與不同站點關聯的不同子網中的DC,增加更多的操作系統,安裝常見的企業應用程序(如SCCM,SCOM,Exchange,SQL,SharePoint)等等

實驗室VM的操作系統

Microsoft曾經在「TechNet Plus」站點提供了所有的操作系統以及很多Microsoft應用程序的下載,第一年為350美元,續訂費用為250美元。幾年前,微軟將其作為一種選擇刪除了很多。後來。微軟終止了TechNet Plus,支持了微軟TechNet評估中心的雲計算。TechNet評估中心提供一站式測試Microsoft產品(使用預先構建的虛擬實驗室),並可以下載產品試用版(通常為180天)。如果你在MSDN選項上不能現金支付,這或許是最好的選擇。

MSDN的Visual Studio Premium是涵蓋所有內容的一個選擇,提供軟體的開發/測試版本,Visual Studio,Visual Studio Online,Windows Phone&Store開發人員帳戶,Microsoft Office Professional Plus 2013甚至Office 365 Developer Subscription。你還可以獲得Windows Azure的每月$100的信用額度。問題是這個訂閱費用為一年6,000美元,每年的更新費用也要2500美元。你幾乎可以得到這個選擇的一切,你應該在第一年就會超過6000美元。我聽說有更便宜的選擇,使用兩年大約2500美元(幾個朋友從他們那裡購買了MSDN,沒有什麼問題),但一如以往,買家還是要小心。

MSDN平台是一個縮小,便宜的選擇(約1200美刀 /年),包括操作系統和大多數伺服器產品(不包括Microsoft Office產品)。它還包括Visual Studio Online和Windows Azure每月$100的信用額度,因此這是Microsoft OS&Server開發/測試工作中最具成本效益的選項。如果你恰好是一個「慈善機構」,MSDN平台的價格已經下降到了每年342美元 。

MSDN操作系統每年運行需要800美刀,儘管如其名稱所述,它只是操作系統…

如果你有自己的公司,並且是Microsoft合作夥伴,並為Microsoft Action Pack Subscription(MAPS)支付約$500,則可以為客戶端應用程序(Office,Visio等),Windows工作站和伺服器操作系統以及伺服器獲得1-10個許可證(Exchange,SQL,SharePoint)。儘管大多數伺服器產品的許可證僅限於1次安裝。

如果你是學生,則有一個更好的Microsoft許可證選擇。查看DreamSpark,你可以免費獲得一堆Microsoft軟體。所有的計劃和價格都可能在變化。

注意:如果你進入了產品試用路線,試用版僅適用於180天。但是,作為管理員從命令行運行「 slmgr.vbs -rearm 」會在30天之前擴展試用版。你可以以這種方式「重新啟動」Windows兩次,這意味著試用期總共是240天,之後你將不得不重新再安裝一遍。

本文翻譯自Building an Effective Active Directory Lab Environment for Testing,如若轉載,請註明原文地址:tActive Directory攻防實驗室環境搭建教程(一) 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

mysql-unsha1:在未知密碼情況下,登錄任意MYSQL資料庫
用DLL文件黑掉遠程Windows PC
工具推薦:22款最流行的計算機取證工具【2017年更新版】
技術分析的流派及其核心內涵之一
Home Lab家庭實驗室搭建之網路配置篇

TAG:技术分析 | 信息安全 |