Mən istifadə edərək nüfuz testi etmişəm
Lakin məxfilik problemləri və onların həlli yolları haqqında danışmazdan əvvəl gəlin AD-də saxlanılan məlumatlara nəzər salaq.
Active Directory korporativ Facebook-dur
Amma bu halda siz artıq hamı ilə dostluq etmisiniz! Siz həmkarlarınızın sevimli filmləri, kitabları və ya restoranları haqqında bilmirsiniz, lakin AD həssas əlaqə məlumatlarını ehtiva edir.
xüsusi texniki bacarıqları olmayan hakerlər və hətta insayderlər tərəfindən istifadə edilə bilən məlumatlar və digər sahələr.
Sistem administratorları əlbəttə ki, aşağıdakı ekran görüntüsü ilə tanışdırlar. Bu, Active Directory İstifadəçiləri və Kompüterləri (ADUC) interfeysidir, burada onlar istifadəçi məlumatlarını təyin edir və redaktə edir və istifadəçiləri müvafiq qruplara təyin edir.
AD işçilərin adı, ünvanı və telefon nömrəsi üçün sahələri ehtiva edir, buna görə də telefon kataloquna bənzəyir. Ancaq daha çox şey var! Digər nişanlara həmçinin e-poçt və veb ünvanı, xətt meneceri və qeydlər daxildir.
Xüsusilə bir dövrdə təşkilatdakı hər kəsin bu məlumatı görməsi lazımdırmı
Əlbəttə yox! Bir şirkətin yüksək rəhbərliyindən alınan məlumatlar bütün işçilər üçün əlçatan olduqda problem daha da çətinləşir.
Hər kəs üçün PowerView
PowerView-in işə girdiyi yer budur. O, AD-yə daxil olan əsas (və çaşdırıcı) Win32 funksiyalarına çox istifadəçi dostu PowerShell interfeysi təqdim edir. Qısa:
bu, AD sahələrini əldə etməyi çox qısa bir cmdlet yazmaq qədər asanlaşdırır.
Şirkətin liderlərindən biri olan Cruella Deville-nin əməkdaşı haqqında məlumat toplamaqdan bir nümunə götürək. Bunu etmək üçün PowerView get-NetUser cmdletindən istifadə edin:
PowerView quraşdırmaq ciddi problem deyil - səhifədə özünüz baxın
Yuxarıdakı ekran görüntüsündən görə bilərsiniz ki, insayder tez bir zamanda Cruella haqqında çox şey öyrənə bilər. “Məlumat” sahəsinin istifadəçinin şəxsi vərdişləri və parolu haqqında məlumatı aşkar etdiyini də görmüsünüzmü?
Bu nəzəri bir ehtimal deyil. From
Active Directory-nin öz ACL-ləri var
AD İstifadəçiləri və Kompüterləri interfeysi sizə AD obyektlərinə icazələr təyin etməyə imkan verir. AD-nin ACL-ləri var və idarəçilər onlar vasitəsilə giriş icazəsi verə və ya rədd edə bilərlər. Siz ADUC View menyusunda "Qabaqcıl" düyməsini sıxmalısınız və sonra istifadəçini açdığınız zaman ACL-ni təyin etdiyiniz "Təhlükəsizlik" sekmesini görəcəksiniz.
Cruella ssenarimdə mən bütün Doğrulanmış İstifadəçilərin onun şəxsi məlumatlarını görə bilməsini istəmədim, ona görə də onlara oxumağa icazə vermədim:
İndi normal istifadəçi PowerView-də Get-NetUser-i sınasa, bunu görəcək:
Açıq-aydın faydalı məlumatları maraqlı gözlərdən gizlədə bildim. Onu müvafiq istifadəçilər üçün əlçatan saxlamaq üçün VIP qrupun üzvlərinə (Cruella və onun digər yüksək vəzifəli həmkarları) bu həssas məlumatlara daxil olmaq imkanı vermək üçün başqa bir ACL yaratdım. Başqa sözlə, mən bir rol modeli əsasında AD icazələrini tətbiq etdim və bu, həssas məlumatları əksər işçilər, o cümlədən İnsayderlər üçün əlçatmaz etdi.
Bununla belə, AD-də qrup obyektində ACL-ni müvafiq olaraq təyin etməklə qrup üzvlüyünü istifadəçilər üçün görünməz edə bilərsiniz. Bu məxfilik və təhlükəsizlik baxımından kömək edəcəkdir.
Onun içində
Mən Cruella və Monty Burnsun VIP qrupa üzvlüyünü gizlədə bildim ki, bu da hakerlərin və insayderlərin infrastrukturun kəşfiyyatını çətinləşdirdi.
Bu yazı sizi sahələrə daha yaxından baxmağa həvəsləndirmək məqsədi daşıyırdı
AD və əlaqəli icazələr. AD əla resursdur, amma necə edəcəyinizi düşünün
Xüsusilə məxfi məlumatları və şəxsi məlumatları paylaşmaq istədi
təşkilatınızın yüksək vəzifəli şəxslərinə gəldikdə.
Mənbə: www.habr.com