Mən istifadə edərək nüfuz testi etmişəm və ondan Active Directory-dən (bundan sonra AD adlandırılacaq) istifadəçi məlumatını əldə etmək üçün istifadə etmişdir. O zaman mənim diqqətim təhlükəsizlik qrupuna üzvlük məlumatlarının toplanması və sonra şəbəkədə naviqasiya üçün bu məlumatdan istifadə edilməsi idi. İstənilən halda, AD həssas işçi məlumatlarını ehtiva edir, bəziləri həqiqətən təşkilatdakı hər kəs üçün əlçatan olmamalıdır. Əslində, Windows fayl sistemlərində bir ekvivalent var , həm daxili, həm də xarici təcavüzkarlar tərəfindən istifadə edilə bilər.
Lakin məxfilik problemləri və onların həlli yolları haqqında danışmazdan əvvəl gəlin AD-də saxlanılan məlumatlara nəzər salaq.
Active Directory korporativ Facebook-dur
Amma bu halda siz artıq hamı ilə dostluq etmisiniz! Siz həmkarlarınızın sevimli filmləri, kitabları və ya restoranları haqqında bilmirsiniz, lakin AD həssas əlaqə məlumatlarını ehtiva edir.
xüsusi texniki bacarıqları olmayan hakerlər və hətta insayderlər tərəfindən istifadə edilə bilən məlumatlar və digər sahələr.
Sistem administratorları əlbəttə ki, aşağıdakı ekran görüntüsü ilə tanışdırlar. Bu, Active Directory İstifadəçiləri və Kompüterləri (ADUC) interfeysidir, burada onlar istifadəçi məlumatlarını təyin edir və redaktə edir və istifadəçiləri müvafiq qruplara təyin edir.
AD işçilərin adı, ünvanı və telefon nömrəsi üçün sahələri ehtiva edir, buna görə də telefon kataloquna bənzəyir. Ancaq daha çox şey var! Digər nişanlara həmçinin e-poçt və veb ünvanı, xətt meneceri və qeydlər daxildir.
Xüsusilə bir dövrdə təşkilatdakı hər kəsin bu məlumatı görməsi lazımdırmı , hər yeni detal daha çox məlumat axtarışını daha da asanlaşdırdıqda?
Əlbəttə yox! Bir şirkətin yüksək rəhbərliyindən alınan məlumatlar bütün işçilər üçün əlçatan olduqda problem daha da çətinləşir.
Hər kəs üçün PowerView
PowerView-in işə girdiyi yer budur. O, AD-yə daxil olan əsas (və çaşdırıcı) Win32 funksiyalarına çox istifadəçi dostu PowerShell interfeysi təqdim edir. Qısa:
bu, AD sahələrini əldə etməyi çox qısa bir cmdlet yazmaq qədər asanlaşdırır.
Şirkətin liderlərindən biri olan Cruella Deville-nin əməkdaşı haqqında məlumat toplamaqdan bir nümunə götürək. Bunu etmək üçün PowerView get-NetUser cmdletindən istifadə edin:
PowerView quraşdırmaq ciddi problem deyil - səhifədə özünüz baxın . Və daha da əhəmiyyətlisi, get-NetUser kimi bir çox PowerView əmrlərini yerinə yetirmək üçün yüksək imtiyazlara ehtiyacınız yoxdur. Bu yolla, motivasiya edilmiş, lakin texnologiyadan çox məlumatlı olmayan bir işçi çox səy göstərmədən AD ilə məşğul olmağa başlaya bilər.
Yuxarıdakı ekran görüntüsündən görə bilərsiniz ki, insayder tez bir zamanda Cruella haqqında çox şey öyrənə bilər. “Məlumat” sahəsinin istifadəçinin şəxsi vərdişləri və parolu haqqında məlumatı aşkar etdiyini də görmüsünüzmü?
Bu nəzəri bir ehtimal deyil. From Mən öyrəndim ki, onlar açıq mətn parollarını tapmaq üçün AD-ni skan edirlər və çox vaxt bu cəhdlər təəssüf ki, uğurlu olur. Onlar bilirlər ki, şirkətlər AD-də məlumatlara diqqətsiz yanaşırlar və onlar növbəti mövzudan xəbərsiz olurlar: AD icazələri.
Active Directory-nin öz ACL-ləri var
AD İstifadəçiləri və Kompüterləri interfeysi sizə AD obyektlərinə icazələr təyin etməyə imkan verir. AD-nin ACL-ləri var və idarəçilər onlar vasitəsilə giriş icazəsi verə və ya rədd edə bilərlər. Siz ADUC View menyusunda "Qabaqcıl" düyməsini sıxmalısınız və sonra istifadəçini açdığınız zaman ACL-ni təyin etdiyiniz "Təhlükəsizlik" sekmesini görəcəksiniz.
Cruella ssenarimdə mən bütün Doğrulanmış İstifadəçilərin onun şəxsi məlumatlarını görə bilməsini istəmədim, ona görə də onlara oxumağa icazə vermədim:
İndi normal istifadəçi PowerView-də Get-NetUser-i sınasa, bunu görəcək:
Açıq-aydın faydalı məlumatları maraqlı gözlərdən gizlədə bildim. Onu müvafiq istifadəçilər üçün əlçatan saxlamaq üçün VIP qrupun üzvlərinə (Cruella və onun digər yüksək vəzifəli həmkarları) bu həssas məlumatlara daxil olmaq imkanı vermək üçün başqa bir ACL yaratdım. Başqa sözlə, mən bir rol modeli əsasında AD icazələrini tətbiq etdim və bu, həssas məlumatları əksər işçilər, o cümlədən İnsayderlər üçün əlçatmaz etdi.
Bununla belə, AD-də qrup obyektində ACL-ni müvafiq olaraq təyin etməklə qrup üzvlüyünü istifadəçilər üçün görünməz edə bilərsiniz. Bu məxfilik və təhlükəsizlik baxımından kömək edəcəkdir.
Onun içində PowerViews Get-NetGroupMember istifadə edərək qrup üzvlüyünü araşdıraraq sistemdə necə hərəkət edə biləcəyinizi göstərdim. Skriptimdə mən müəyyən qrupa üzv olmaq üçün oxuma girişini məhdudlaşdırdım. Dəyişikliklərdən əvvəl və sonra əmrin icrasının nəticəsini görə bilərsiniz:
Mən Cruella və Monty Burnsun VIP qrupa üzvlüyünü gizlədə bildim ki, bu da hakerlərin və insayderlərin infrastrukturun kəşfiyyatını çətinləşdirdi.
Bu yazı sizi sahələrə daha yaxından baxmağa həvəsləndirmək məqsədi daşıyırdı
AD və əlaqəli icazələr. AD əla resursdur, amma necə edəcəyinizi düşünün
Xüsusilə məxfi məlumatları və şəxsi məlumatları paylaşmaq istədi
təşkilatınızın yüksək vəzifəli şəxslərinə gəldikdə.
Mənbə: www.habr.com