لقد قمت بإجراء اختبار الاختراق باستخدام واستخدمته لاسترداد معلومات المستخدم من Active Directory (المشار إليه فيما بعد باسم AD). في ذلك الوقت، كان تركيزي منصبًا على جمع معلومات عضوية مجموعة الأمان ثم استخدام تلك المعلومات للتنقل عبر الشبكة. وفي كلتا الحالتين، يحتوي AD على بيانات حساسة للموظفين، والتي لا ينبغي حقًا أن يكون بعضها متاحًا للجميع في المؤسسة. في الواقع، يوجد ما يعادله في أنظمة ملفات Windows والتي يمكن استخدامها أيضًا من قبل المهاجمين الداخليين والخارجيين.
ولكن قبل أن نتحدث عن مشكلات الخصوصية وكيفية حلها، دعونا نلقي نظرة على البيانات المخزنة في AD.
Active Directory هو شركة الفيسبوك
ولكن في هذه الحالة، لقد قمت بالفعل بتكوين صداقات مع الجميع! قد لا تعرف شيئًا عن الأفلام أو الكتب أو المطاعم المفضلة لدى زملائك في العمل، ولكن الإعلان يحتوي على معلومات اتصال حساسة.
البيانات والمجالات الأخرى التي يمكن استخدامها من قبل المتسللين وحتى المطلعين على بواطن الأمور دون مهارات تقنية خاصة.
بطبيعة الحال، فإن مسؤولي النظام على دراية بلقطة الشاشة أدناه. هذه هي واجهة مستخدمي Active Directory وأجهزة الكمبيوتر (ADUC) حيث يقومون بتعيين معلومات المستخدم وتحريرها وتعيين المستخدمين إلى المجموعات المناسبة.
يحتوي AD على حقول لاسم الموظف وعنوانه ورقم هاتفه، لذا فهو يشبه دليل الهاتف. ولكن هناك الكثير! تتضمن علامات التبويب الأخرى أيضًا البريد الإلكتروني وعنوان الويب والمدير المباشر والملاحظات.
هل يحتاج كل فرد في المؤسسة إلى رؤية هذه المعلومات، خاصة في عصر ما ، عندما تجعل كل التفاصيل الجديدة البحث عن مزيد من المعلومات أسهل؟
بالطبع لا! وتتفاقم المشكلة عندما تكون البيانات الواردة من الإدارة العليا للشركة متاحة لجميع الموظفين.
PowerView للجميع
هذا هو المكان الذي يأتي فيه دور PowerView. فهو يوفر واجهة PowerShell سهلة الاستخدام للغاية لوظائف Win32 الأساسية (والمربكة) التي تصل إلى AD. باختصار:
وهذا يجعل استرداد حقول AD أمرًا سهلاً مثل كتابة أمر cmdlet قصير جدًا.
لنأخذ مثالاً على جمع المعلومات عن أحد موظفي شركة Cruella Deville، وهو أحد قادة الشركة. للقيام بذلك، استخدم PowerView get-NetUser cmdlet:
لا يعد تثبيت PowerView مشكلة خطيرة - راجع بنفسك على الصفحة . والأهم من ذلك، أنك لا تحتاج إلى امتيازات مرتفعة لتشغيل العديد من أوامر PowerView، مثل get-NetUser. بهذه الطريقة، يمكن للموظف المتحمّس ولكن الذي لا يتمتع بالخبرة التقنية العالية أن يبدأ في تعديل AD دون بذل الكثير من الجهد.
من لقطة الشاشة أعلاه، يمكنك أن ترى أنه يمكن لأي شخص مطلع أن يتعلم الكثير عن Cruella بسرعة. هل لاحظت أيضًا أن حقل "المعلومات" يكشف معلومات حول العادات الشخصية للمستخدم وكلمة المرور؟
وهذا ليس احتمالا نظريا. من علمت أنهم يقومون بمسح الإعلانات للعثور على كلمات مرور نصية عادية، وغالبًا ما تكون هذه المحاولات ناجحة للأسف. إنهم يعلمون أن الشركات لا تهتم بالمعلومات الموجودة في AD، ويميلون إلى عدم الوعي بالموضوع التالي: أذونات AD.
يحتوي Active Directory على قوائم ACL الخاصة به
تسمح لك واجهة AD Users and Computers بتعيين الأذونات على كائنات AD. يحتوي AD على قوائم ACL ويمكن للمسؤولين منح أو رفض الوصول من خلالها. تحتاج إلى النقر فوق "خيارات متقدمة" في قائمة عرض ADUC، وبعد ذلك عندما تفتح المستخدم، سترى علامة التبويب "الأمان" حيث تقوم بتعيين قائمة التحكم بالوصول (ACL).
في سيناريو Cruella الخاص بي، لم أكن أريد أن يتمكن جميع المستخدمين المصادقين من رؤية معلوماتها الشخصية، لذلك رفضت السماح لهم بالقراءة:
والآن سوف يرى المستخدم العادي هذا إذا حاول Get-NetUser في PowerView:
تمكنت من إخفاء معلومات مفيدة بشكل واضح عن أعين المتطفلين. لإبقائها في متناول المستخدمين المعنيين، قمت بإنشاء قائمة تحكم بالوصول (ACL) أخرى للسماح لأعضاء مجموعة VIP (Cruella وزملائها الآخرين رفيعي المستوى) بالوصول إلى هذه البيانات الحساسة. بمعنى آخر، قمت بتنفيذ أذونات الإعلانات بناءً على نموذج يحتذى به، مما جعل الوصول إلى البيانات الحساسة غير متاح لمعظم الموظفين، بما في ذلك المطلعون.
ومع ذلك، يمكنك جعل عضوية المجموعة غير مرئية للمستخدمين عن طريق تعيين قائمة التحكم بالوصول (ACL) على كائن المجموعة في AD وفقًا لذلك. وهذا سوف يساعد من حيث الخصوصية والأمن.
في كتابه لقد أوضحت كيف يمكنك التنقل في النظام من خلال فحص عضوية المجموعة باستخدام PowerViews Get-NetGroupMember. في البرنامج النصي الخاص بي، قمت بتقييد الوصول للقراءة إلى العضوية في مجموعة معينة. يمكنك رؤية نتيجة تشغيل الأمر قبل وبعد التغييرات:
لقد تمكنت من إخفاء عضوية Cruella وMonty Burns في مجموعة VIP، مما يجعل من الصعب على المتسللين والمطلعين استكشاف البنية التحتية.
كان الهدف من هذه المشاركة هو تحفيزك على إلقاء نظرة فاحصة على الحقول
م والأذونات ذات الصلة. يعد AD موردًا رائعًا، ولكن فكر في كيفية القيام بذلك
أراد مشاركة المعلومات السرية والبيانات الشخصية، على وجه الخصوص
عندما يتعلق الأمر بكبار المسؤولين في مؤسستك.
المصدر: www.habr.com