Ek het penetrasietoetsing gedoen met behulp van
Maar voordat ons praat oor privaatheidskwessies en hoe om dit reg te stel, kom ons kyk na die data wat in AD gestoor is.
Active Directory is die korporatiewe Facebook
Maar in hierdie geval het jy reeds vriende gemaak met almal! Jy weet dalk nie van jou kollegas se gunsteling flieks, boeke of restaurante nie, maar AD bevat sensitiewe kontakinligting.
data en ander velde wat deur kuberkrakers en selfs insiders sonder spesiale tegniese vaardighede gebruik kan word.
Stelseladministrateurs is natuurlik vertroud met die skermkiekie hieronder. Dit is die Active Directory-gebruikers en rekenaars (ADUC)-koppelvlak waar hulle gebruikersinligting stel en redigeer en gebruikers aan toepaslike groepe toewys.
AD bevat velde vir werknemer se naam, adres en telefoonnommer, so dit is soortgelyk aan 'n telefoongids. Maar daar is soveel meer! Ander oortjies sluit ook e-pos en webadres, lynbestuurder en notas in.
Moet almal in die organisasie hierdie inligting sien, veral in 'n era
Natuurlik nie! Die probleem word vererger wanneer data van die topbestuur van 'n maatskappy vir alle werknemers beskikbaar is.
PowerView vir almal
Dit is waar PowerView ter sprake kom. Dit bied 'n baie gebruikersvriendelike PowerShell-koppelvlak aan die onderliggende (en verwarrende) Win32-funksies wat toegang tot AD verkry. In kort:
dit maak die herwinning van AD-velde so maklik soos om 'n baie kort cmdlet te tik.
Kom ons neem 'n voorbeeld van die insameling van inligting oor 'n werknemer van Cruella Deville, wat een van die maatskappy se leiers is. Om dit te doen, gebruik die PowerView get-NetUser cmdlet:
Die installering van PowerView is nie 'n ernstige probleem nie - kyk self op die bladsy
Uit die skermkiekie hierbo kan jy sien dat 'n insider vinnig baie oor Cruella kan leer. Het jy ook opgemerk dat die "inligting"-veld inligting oor die gebruiker se persoonlike gewoontes en wagwoord openbaar?
Dit is nie 'n teoretiese moontlikheid nie. Van
Active Directory het sy eie ACL's
Die AD-gebruikers en rekenaars-koppelvlak laat jou toe om toestemmings op AD-voorwerpe in te stel. AD het ACL's en administrateurs kan toegang daardeur verleen of weier. Jy moet "Advanced" in die ADUC View-kieslys klik en dan wanneer jy die gebruiker oopmaak, sal jy die "Security"-oortjie sien waar jy die ACL stel.
In my Cruella-scenario wou ek nie hê dat alle geverifieerde gebruikers haar persoonlike inligting moet sien nie, so ek het hulle leestoegang geweier:
En nou sal 'n normale gebruiker dit sien as hulle Get-NetUser in PowerView probeer:
Ek het daarin geslaag om klaarblyklik nuttige inligting vir gierige oë weg te steek. Om dit toeganklik te hou vir relevante gebruikers, het ek 'n ander ACL geskep om lede van die BBP-groep (Cruella en haar ander hooggeplaaste kollegas) toe te laat om toegang tot hierdie sensitiewe data te kry. Met ander woorde, ek het AD-toestemmings geïmplementeer gebaseer op 'n rolmodel, wat sensitiewe data ontoeganklik gemaak het vir die meeste werknemers, insluitend Insiders.
U kan egter groeplidmaatskap vir gebruikers onsigbaar maak deur die ACL op die groepobjek in AD dienooreenkomstig te stel. Dit sal help in terme van privaatheid en sekuriteit.
In sy
Ek kon Cruella en Monty Burns se lidmaatskap in die BBP-groep wegsteek, wat dit vir kuberkrakers en insiders moeilik gemaak het om die infrastruktuur te ondersoek.
Hierdie plasing was bedoel om jou te motiveer om die velde van nader te bekyk
AD en verwante toestemmings. AD is 'n wonderlike hulpbron, maar dink aan hoe jy sou
wou veral vertroulike inligting en persoonlike data deel
wanneer dit kom by die topamptenare van jou organisasie.
Bron: will.com