لقد قمت بإجراء اختبار الاختراق باستخدام
ولكن قبل أن نتحدث عن مشكلات الخصوصية وكيفية حلها، دعونا نلقي نظرة على البيانات المخزنة في AD.
Active Directory هو شركة الفيسبوك
ولكن في هذه الحالة، لقد قمت بالفعل بتكوين صداقات مع الجميع! قد لا تعرف شيئًا عن الأفلام أو الكتب أو المطاعم المفضلة لدى زملائك في العمل، ولكن الإعلان يحتوي على معلومات اتصال حساسة.
البيانات والمجالات الأخرى التي يمكن استخدامها من قبل المتسللين وحتى المطلعين على بواطن الأمور دون مهارات تقنية خاصة.
بطبيعة الحال، فإن مسؤولي النظام على دراية بلقطة الشاشة أدناه. هذه هي واجهة مستخدمي Active Directory وأجهزة الكمبيوتر (ADUC) حيث يقومون بتعيين معلومات المستخدم وتحريرها وتعيين المستخدمين إلى المجموعات المناسبة.
يحتوي AD على حقول لاسم الموظف وعنوانه ورقم هاتفه، لذا فهو يشبه دليل الهاتف. ولكن هناك الكثير! تتضمن علامات التبويب الأخرى أيضًا البريد الإلكتروني وعنوان الويب والمدير المباشر والملاحظات.
هل يحتاج كل فرد في المؤسسة إلى رؤية هذه المعلومات، خاصة في عصر ما
بالطبع لا! وتتفاقم المشكلة عندما تكون البيانات الواردة من الإدارة العليا للشركة متاحة لجميع الموظفين.
PowerView للجميع
هذا هو المكان الذي يأتي فيه دور PowerView. فهو يوفر واجهة PowerShell سهلة الاستخدام للغاية لوظائف Win32 الأساسية (والمربكة) التي تصل إلى AD. باختصار:
وهذا يجعل استرداد حقول AD أمرًا سهلاً مثل كتابة أمر cmdlet قصير جدًا.
لنأخذ مثالاً على جمع المعلومات عن أحد موظفي شركة Cruella Deville، وهو أحد قادة الشركة. للقيام بذلك، استخدم PowerView get-NetUser cmdlet:
لا يعد تثبيت PowerView مشكلة خطيرة - راجع بنفسك على الصفحة
من لقطة الشاشة أعلاه، يمكنك أن ترى أنه يمكن لأي شخص مطلع أن يتعلم الكثير عن Cruella بسرعة. هل لاحظت أيضًا أن حقل "المعلومات" يكشف معلومات حول العادات الشخصية للمستخدم وكلمة المرور؟
وهذا ليس احتمالا نظريا. من
يحتوي Active Directory على قوائم ACL الخاصة به
تسمح لك واجهة AD Users and Computers بتعيين الأذونات على كائنات AD. يحتوي AD على قوائم ACL ويمكن للمسؤولين منح أو رفض الوصول من خلالها. تحتاج إلى النقر فوق "خيارات متقدمة" في قائمة عرض ADUC، وبعد ذلك عندما تفتح المستخدم، سترى علامة التبويب "الأمان" حيث تقوم بتعيين قائمة التحكم بالوصول (ACL).
في سيناريو Cruella الخاص بي، لم أكن أريد أن يتمكن جميع المستخدمين المصادقين من رؤية معلوماتها الشخصية، لذلك رفضت السماح لهم بالقراءة:
والآن سوف يرى المستخدم العادي هذا إذا حاول Get-NetUser في PowerView:
تمكنت من إخفاء معلومات مفيدة بشكل واضح عن أعين المتطفلين. لإبقائها في متناول المستخدمين المعنيين، قمت بإنشاء قائمة تحكم بالوصول (ACL) أخرى للسماح لأعضاء مجموعة VIP (Cruella وزملائها الآخرين رفيعي المستوى) بالوصول إلى هذه البيانات الحساسة. بمعنى آخر، قمت بتنفيذ أذونات الإعلانات بناءً على نموذج يحتذى به، مما جعل الوصول إلى البيانات الحساسة غير متاح لمعظم الموظفين، بما في ذلك المطلعون.
ومع ذلك، يمكنك جعل عضوية المجموعة غير مرئية للمستخدمين عن طريق تعيين قائمة التحكم بالوصول (ACL) على كائن المجموعة في AD وفقًا لذلك. وهذا سوف يساعد من حيث الخصوصية والأمن.
في كتابه
لقد تمكنت من إخفاء عضوية Cruella وMonty Burns في مجموعة VIP، مما يجعل من الصعب على المتسللين والمطلعين استكشاف البنية التحتية.
كان الهدف من هذه المشاركة هو تحفيزك على إلقاء نظرة فاحصة على الحقول
م والأذونات ذات الصلة. يعد AD موردًا رائعًا، ولكن فكر في كيفية القيام بذلك
أراد مشاركة المعلومات السرية والبيانات الشخصية، على وجه الخصوص
عندما يتعلق الأمر بكبار المسؤولين في مؤسستك.
المصدر: www.habr.com