ልዩ መብትን ማሳደግ አጥቂው ተጨማሪ፣ አብዛኛውን ጊዜ ከፍተኛ የስርዓቱን መዳረሻ ለማግኘት የመለያ መብቶችን መጠቀም ነው። የልዩ መብት መስፋፋት የዜሮ ቀን ተጋላጭነቶችን በመጠቀም ወይም የአንደኛ ደረጃ ጠላፊዎች ኢላማ የተደረገ ጥቃት ወይም በደንብ የተሸሸገ ማልዌር ስራ ውጤት ሊሆን ቢችልም አብዛኛው ጊዜ በኮምፒዩተር ወይም አካውንቱ የተሳሳተ ውቅር ምክንያት ነው። ጥቃቱን የበለጠ በማዳበር, አጥቂዎች በርካታ የግለሰብ ተጋላጭነቶችን ይጠቀማሉ, ይህም አንድ ላይ ወደ አስከፊ የውሂብ ፍሰት ሊመራ ይችላል.
ለምን ተጠቃሚዎች የአካባቢ አስተዳዳሪ መብቶች ሊኖራቸው አይገባም?
የደህንነት ባለሙያ ከሆኑ ተጠቃሚዎች የአካባቢ አስተዳዳሪ መብቶች ሊኖራቸው እንደማይገባ ግልጽ ሊመስል ይችላል፡-
- መለያዎቻቸውን ለተለያዩ ጥቃቶች የበለጠ ተጋላጭ ያደርገዋል
- እነዚያን ተመሳሳይ ጥቃቶች የበለጠ ከባድ ያደርገዋል
እንደ አለመታደል ሆኖ፣ ለብዙ ድርጅቶች ይህ ጉዳይ አሁንም በጣም አከራካሪ ነው እና አንዳንድ ጊዜ በጦፈ ውይይት የታጀበ ነው (ለምሳሌ ፣ ይመልከቱ) ). ወደዚህ ውይይት ዝርዝር ውስጥ ሳንገባ አጥቂው በምርመራ ላይ ባለው ስርዓት ላይ የአካባቢ አስተዳዳሪ መብቶችን ያገኘው በብዝበዛ ወይም ማሽኖቹ በአግባቡ ስላልተጠበቁ እንደሆነ እናምናለን።
ደረጃ 1 የዲ ኤን ኤስ ጥራትን በPowerShell ገልብጥ
በነባሪ፣ PowerShell በብዙ የሀገር ውስጥ የስራ ጣቢያዎች እና በአብዛኛዎቹ የዊንዶውስ አገልጋዮች ላይ ተጭኗል። እና እጅግ በጣም ጠቃሚ የሆነ አውቶሜሽን እና መቆጣጠሪያ መሳሪያ ተደርጎ መወሰዱ ያለ ማጋነን ባይሆንም፣ በተመሳሳይ መልኩ እራሱን ወደማይታይ ቅርብ ወደሆነ የመቀየር አቅም አለው። (የጥቃቱን ምልክቶች የማይተው የጠለፋ ፕሮግራም).
በእኛ ሁኔታ, አጥቂው የአውታረ መረብ ማሰስን የ PowerShell ስክሪፕት በመጠቀም, በቅደም ተከተል በኔትወርኩ የአይፒ አድራሻ ቦታ ላይ በመድገም, የተሰጠው አይፒ ለአንድ አስተናጋጅ መፍትሄ እንደሚሰጥ ለማወቅ በመሞከር, እና ከሆነ, የዚህ አስተናጋጅ አውታረ መረብ ስም ማን ይባላል.
ይህንን ተግባር ለማከናወን ብዙ መንገዶች አሉ, ግን cmdlet ን በመጠቀም ADComputer ስለ እያንዳንዱ መስቀለኛ መንገድ በጣም የበለጸገ የውሂብ ስብስብ ስለሚመልስ ጠንካራ አማራጭ ነው።
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}በትልልቅ አውታረ መረቦች ላይ ያለው ፍጥነት ችግር ከሆነ፣ የዲ ኤን ኤስ መልሶ ጥሪ መጠቀም ይቻላል፡-
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
ይህ በአውታረ መረብ ላይ ያሉ አስተናጋጆችን የመዘርዘር ዘዴ በጣም ተወዳጅ ነው፣ ምክንያቱም አብዛኛዎቹ አውታረ መረቦች የዜሮ መተማመን የደህንነት ሞዴል ስለማይጠቀሙ እና አጠራጣሪ የእንቅስቃሴ ፍንዳታዎችን የውስጥ ዲ ኤን ኤስ ጥያቄዎችን አይከታተሉም።
ደረጃ 2፡ ኢላማ ምረጥ
የዚህ እርምጃ የመጨረሻ ውጤት ጥቃቱን ለመቀጠል የሚያገለግሉ የአገልጋይ እና የስራ ቦታ አስተናጋጅ ስም ዝርዝር ማግኘት ነው።
ከስሙ ጀምሮ የ'HUB-FILER' አገልጋይ ተገቢ ኢላማ ይመስላል ከጊዜ በኋላ የፋይል አገልጋዮች እንደ አንድ ደንብ ብዙ ቁጥር ያላቸውን የአውታረ መረብ አቃፊዎች ያከማቻሉ እና በጣም ብዙ ሰዎች ወደ እነርሱ ከመጠን በላይ መድረስ።
በዊንዶውስ ኤክስፕሎረር ማሰስ ክፍት የተጋራ አቃፊ መኖሩን እንድናውቅ ያስችለናል, ነገር ግን የአሁኑ መለያችን ሊደርስበት አይችልም (ምናልባትም የዝርዝር መብቶች ብቻ ነው ያለን).
ደረጃ 3፡ ኤሲኤሎችን ይማሩ
አሁን፣ በእኛ HUB-FILER አስተናጋጅ እና ዒላማ ድርሻ ላይ፣ ACLን ለማግኘት የPowerShell ስክሪፕት ማሄድ እንችላለን። የአካባቢ አስተዳዳሪ መብቶች ስላሉን ይህንን ከአካባቢው ማሽን ልንሰራው እንችላለን፡-
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoየማስፈጸሚያ ውጤት፡-
ከእሱ የምንመለከተው የጎራ ተጠቃሚዎች ቡድን የዝርዝሩን መዳረሻ ብቻ ነው፣ ነገር ግን የ Helpdesk ቡድን የመቀየር መብትም አለው።
ደረጃ 4፡ መለያ መለያ
መሮጥ ሁሉንም የዚህ ቡድን አባላት ማግኘት እንችላለን፡-
Get-ADGroupMember -identity Helpdesk
በዚህ ዝርዝር ውስጥ አስቀድመን ለይተን የገባነውን የኮምፒዩተር አካውንት እናያለን፡-
ደረጃ 5፡ እንደ ኮምፒውተር መለያ ለማሄድ PSExecን ተጠቀም
ከ Microsoft Sysinternals በSYSTEM@HUB-SHAREPOINT ስርዓት መለያ አውድ ውስጥ ትዕዛዞችን እንዲፈጽሙ ይፈቅድልዎታል፣ ይህም እኛ የምናውቀው የ Helpdesk ኢላማ ቡድን አባል ነው። ማለትም፣ ማድረግ ያለብን፡-
PsExec.exe -s -i cmd.exeእንግዲህ፣ በHUB-SHAREPOINT ኮምፒዩተር መለያ አውድ ውስጥ እየሰሩ ስለሆነ ወደ ዒላማው አቃፊ HUB-FILERshareHR ሙሉ መዳረሻ አለዎት። እና በዚህ መዳረሻ, ውሂቡ ወደ ተንቀሳቃሽ ማከማቻ መሳሪያ ሊገለበጥ ወይም በሌላ መንገድ በአውታረ መረቡ ላይ ሊሰራጭ እና ሊተላለፍ ይችላል.
ደረጃ 6፡ ይህን ጥቃት ማወቅ
ይህ ልዩ የመለያ ልዩ መብት የማስተካከል ተጋላጭነት (ከተጠቃሚ መለያዎች ወይም የአገልግሎት መለያዎች ይልቅ የአውታረ መረብ ማጋራቶችን የሚደርሱ የኮምፒውተር መለያዎች) ሊገኙ ይችላሉ። ነገር ግን, ትክክለኛዎቹ መሳሪያዎች ከሌሉ, ይህን ለማድረግ በጣም ከባድ ነው.
ይህንን የጥቃቶች ምድብ ለማግኘት እና ለመከላከል ልንጠቀምበት እንችላለን በውስጣቸው የኮምፒዩተር መለያ ያላቸው ቡድኖችን ለመለየት እና ከዚያ ወደ እነርሱ መዳረሻን ለመከልከል። ወደ ፊት ይሄዳል እና ለእንደዚህ አይነቱ ሁኔታ ማሳወቂያ እንዲፈጥሩ ይፈቅድልዎታል።
ከታች ያለው ቅጽበታዊ ገጽ እይታ የኮምፒዩተር መለያ ክትትል በሚደረግበት አገልጋይ ላይ መረጃ በደረሰ ቁጥር የሚቀጣጠል ብጁ ማሳወቂያ ያሳያል።
ቀጣይ እርምጃዎች ከPowerShell ጋር
የበለጠ ማወቅ ይፈልጋሉ? ሙሉ በሙሉ ለማግኘት የ"ብሎግ" መክፈቻ ኮድ ይጠቀሙ .
ምንጭ: hab.com