Ek het penetrasietoetsing gedoen met behulp van en het dit gebruik om gebruikersinligting van Active Directory (hierna na verwys as AD) te haal. Destyds was my klem daarop om inligting oor sekuriteitsgroeplidmaatskap in te samel en dan daardie inligting te gebruik om die netwerk te navigeer. Hoe dit ook al sy, AD bevat sensitiewe werknemerdata, waarvan sommige regtig nie vir almal in die organisasie toeganklik behoort te wees nie. Trouens, in Windows-lêerstelsels is daar 'n ekwivalent , wat ook deur beide interne en eksterne aanvallers gebruik kan word.
Maar voordat ons praat oor privaatheidskwessies en hoe om dit reg te stel, kom ons kyk na die data wat in AD gestoor is.
Active Directory is die korporatiewe Facebook
Maar in hierdie geval het jy reeds vriende gemaak met almal! Jy weet dalk nie van jou kollegas se gunsteling flieks, boeke of restaurante nie, maar AD bevat sensitiewe kontakinligting.
data en ander velde wat deur kuberkrakers en selfs insiders sonder spesiale tegniese vaardighede gebruik kan word.
Stelseladministrateurs is natuurlik vertroud met die skermkiekie hieronder. Dit is die Active Directory-gebruikers en rekenaars (ADUC)-koppelvlak waar hulle gebruikersinligting stel en redigeer en gebruikers aan toepaslike groepe toewys.
AD bevat velde vir werknemer se naam, adres en telefoonnommer, so dit is soortgelyk aan 'n telefoongids. Maar daar is soveel meer! Ander oortjies sluit ook e-pos en webadres, lynbestuurder en notas in.
Moet almal in die organisasie hierdie inligting sien, veral in 'n era , wanneer elke nuwe detail die soektog na meer inligting selfs makliker maak?
Natuurlik nie! Die probleem word vererger wanneer data van die topbestuur van 'n maatskappy vir alle werknemers beskikbaar is.
PowerView vir almal
Dit is waar PowerView ter sprake kom. Dit bied 'n baie gebruikersvriendelike PowerShell-koppelvlak aan die onderliggende (en verwarrende) Win32-funksies wat toegang tot AD verkry. In kort:
dit maak die herwinning van AD-velde so maklik soos om 'n baie kort cmdlet te tik.
Kom ons neem 'n voorbeeld van die insameling van inligting oor 'n werknemer van Cruella Deville, wat een van die maatskappy se leiers is. Om dit te doen, gebruik die PowerView get-NetUser cmdlet:
Die installering van PowerView is nie 'n ernstige probleem nie - kyk self op die bladsy . En nog belangriker, jy het nie verhoogde voorregte nodig om baie PowerView-opdragte uit te voer nie, soos get-NetUser. Op hierdie manier kan 'n gemotiveerde maar nie baie tegnologie-vaardige werknemer sonder veel moeite met AD begin peuter nie.
Uit die skermkiekie hierbo kan jy sien dat 'n insider vinnig baie oor Cruella kan leer. Het jy ook opgemerk dat die "inligting"-veld inligting oor die gebruiker se persoonlike gewoontes en wagwoord openbaar?
Dit is nie 'n teoretiese moontlikheid nie. Van Ek het geleer dat hulle AD skandeer om gewone teks wagwoorde te vind, en dikwels is hierdie pogings ongelukkig suksesvol. Hulle weet dat maatskappye onverskillig is met inligting in AD, en hulle is geneig om onbewus te wees van die volgende onderwerp: AD-toestemmings.
Active Directory het sy eie ACL's
Die AD-gebruikers en rekenaars-koppelvlak laat jou toe om toestemmings op AD-voorwerpe in te stel. AD het ACL's en administrateurs kan toegang daardeur verleen of weier. Jy moet "Advanced" in die ADUC View-kieslys klik en dan wanneer jy die gebruiker oopmaak, sal jy die "Security"-oortjie sien waar jy die ACL stel.
In my Cruella-scenario wou ek nie hê dat alle geverifieerde gebruikers haar persoonlike inligting moet sien nie, so ek het hulle leestoegang geweier:
En nou sal 'n normale gebruiker dit sien as hulle Get-NetUser in PowerView probeer:
Ek het daarin geslaag om klaarblyklik nuttige inligting vir gierige oë weg te steek. Om dit toeganklik te hou vir relevante gebruikers, het ek 'n ander ACL geskep om lede van die BBP-groep (Cruella en haar ander hooggeplaaste kollegas) toe te laat om toegang tot hierdie sensitiewe data te kry. Met ander woorde, ek het AD-toestemmings geïmplementeer gebaseer op 'n rolmodel, wat sensitiewe data ontoeganklik gemaak het vir die meeste werknemers, insluitend Insiders.
U kan egter groeplidmaatskap vir gebruikers onsigbaar maak deur die ACL op die groepobjek in AD dienooreenkomstig te stel. Dit sal help in terme van privaatheid en sekuriteit.
In sy Ek het gewys hoe jy deur die stelsel kan navigeer deur groeplidmaatskap te ondersoek met behulp van PowerViews Get-NetGroupMember. In my draaiboek het ek leestoegang beperk tot lidmaatskap van 'n spesifieke groep. U kan die resultaat sien van die uitvoer van die opdrag voor en na die veranderinge:
Ek kon Cruella en Monty Burns se lidmaatskap in die BBP-groep wegsteek, wat dit vir kuberkrakers en insiders moeilik gemaak het om die infrastruktuur te ondersoek.
Hierdie plasing was bedoel om jou te motiveer om die velde van nader te bekyk
AD en verwante toestemmings. AD is 'n wonderlike hulpbron, maar dink aan hoe jy sou
wou veral vertroulike inligting en persoonlike data deel
wanneer dit kom by die topamptenare van jou organisasie.
Bron: will.com