Naghimo kog penetration testing gamit ang ug gigamit kini aron pagkuha sa impormasyon sa tiggamit gikan sa Active Directory (dinhi tawgon nga AD). Niadtong panahona, nag-focus ko sa pagkolekta sa impormasyon sa pagkamiyembro sa security group ug dayon paggamit niana nga impormasyon aron mag-navigate sa network. Ang AD adunay sensitibo nga datos sa empleyado, nga ang uban niini dili gyud angay nga ma-access sa tanan sa organisasyon. Sa panguna, ang mga file system Windows adunay katumbas , nga magamit usab sa internal ug external nga mga tig-atake.
Apan sa dili pa kita maghisgot bahin sa mga isyu sa pribasiya ug unsaon kini pagsulbad, atong tan-awon ang datos nga gitipigan sa AD.
Ang Active Directory mao ang korporasyon nga Facebook
Apan niining kasoha, nakighigala ka na sa tanan! Mahimong dili ka mahibalo bahin sa paborito nga mga salida, libro, ug restawran sa imong mga kauban sa trabaho, apan ang AD adunay sensitibo nga impormasyon sa pagkontak.
datos ug uban pang mga natad nga magamit sa mga hacker ug bisan sa mga insider nga walay espesyal nga teknikal nga kahanas.
Siguradong pamilyar ang mga system administrator sa screenshot sa ubos. Kini ang Active Directory Users and Computers (ADUC) interface, diin ilang gi-set up ug gi-edit ang impormasyon sa user ug gi-assign ang mga user sa angay nga mga grupo.
Ang AD adunay mga field para sa ngalan, adres, ug numero sa telepono sa empleyado, mao nga kini susama sa usa ka direktoryo sa telepono. Apan daghan pa kaayo! Ang ubang mga tab naglakip usab sa mga adres sa email ug website, mga direktang superbisor, ug mga nota.
Kinahanglan ba nga makita sa tanan sa organisasyon kini nga impormasyon, labi na niining panahona? , kung ang matag bag-ong detalye makapahimo sa pagpangita og dugang nga impormasyon nga mas sayon?
Siyempre dili! Mosamot ang problema kon ang datos sa senior management ma-access sa tanang empleyado.
PowerView para sa tanan
Dinhi na mosulod ang PowerView. Naghatag kini og sayon kaayong PowerShell interface para sa nagpahiping (ug makalibog) nga mga function sa Win32 nga nag-access sa AD. Sa laktod nga pagkasulti:
Kini makapahimo sa pagkuha sa mga AD field nga sama kasayon sa pagsulod sa usa ka mubo kaayo nga cmdlet.
Atong kuhaon ang ehemplo sa pagkolekta og impormasyon bahin sa usa ka empleyado nga ginganlag Cruella Deville, kinsa usa sa mga ehekutibo sa kompanya. Aron mahimo kini, atong gamiton ang PowerView get-NetUser cmdlet:
Ang pag-instalar sa PowerView dili usa ka dakong problema - tan-awa mismo sa panid Ug mas importante, dili nimo kinahanglan ang taas nga mga pribilehiyo aron modagan ang daghang mga sugo sa PowerView, sama sa get-NetUser. Busa, ang usa ka empleyado nga madasigon apan dili kaayo hanas sa teknikal nga paagi makasugod sa pagpangita og mga solusyon sa AD nga walay daghang paningkamot.
Ang screenshot sa ibabaw nagpakita nga ang usa ka insider dali nga makakat-on og daghan bahin kang Cruella. Nakabantay ka ba nga ang "info" field nagpadayag og impormasyon bahin sa personal nga mga batasan ug password sa user?
Dili kini usa ka teoretikal nga posibilidad. Akong nasayran nga ilang gi-scan ang AD para sa mga wala ma-encrypt nga password, ug kini nga mga pagsulay kasagaran, subo lang, malampuson. Nahibal-an nila nga ang mga kompanya walay pagtagad sa impormasyon sa AD ug, kasagaran, wala mahibalo sa sunod nga hilisgutan: Mga permiso sa AD.
Ang Active Directory adunay kaugalingong mga ACL
Ang AD Users and Computers interface nagtugot kanimo sa pagtakda og mga permiso para sa mga AD object. Ang AD mogamit og mga ACL, nga magamit sa mga administrador aron paghatag o pagdumili sa pag-access. I-klik ang "Advanced" sa ADUC View menu, ug dayon, kung imong ablihan ang usa ka user, imong makita ang tab nga "Security", diin mahimo nimong itakda ang mga ACL.
Sa akong senaryo ni Cruella, dili nako gusto nga makita sa tanang Authenticated Users ang iyang personal nga impormasyon, mao nga gibalibaran nako sila sa read access:
Ug karon makita kini sa usa ka regular nga tiggamit kung sulayan nila ang Get-NetUser sa PowerView:
Nakatago ko sa klaro nga mapuslanong impormasyon gikan sa mga mausisahon. Aron mapreserbar ang access sa mga may kalabutan nga tiggamit, naghimo kog laing ACL aron tugotan ang mga miyembro sa VIP group (Cruella ug ang iyang uban pang taas nga ranggo nga mga kauban) nga maka-access niining sensitibo nga datos. Sa ato pa, nagpatuman kog role-based AD permissions, nga naghimo sa sensitibo nga datos nga dili ma-access sa kadaghanan sa mga empleyado, lakip na ang mga insider.
Apan, mahimo nimong himuong dili makita sa mga tiggamit ang membership sa grupo pinaagi sa pag-set sa angay nga ACL sa group object sa AD. Makatabang kini sa pribasiya ug seguridad.
Sa iyang Akong gipakita kon unsaon pag-navigate sa sistema ug pagsusi sa membership sa grupo gamit ang sugo nga Get-NetGroupMember sa PowerViews. Sa akong senaryo, akong gipugngan ang read access sa membership sa usa ka piho nga grupo. Makita nimo ang output sa sugo sa dili pa ug pagkahuman sa mga pagbag-o:
Nakaya nako nga itago ang pagkamiyembro ni Cruella ug Monty Burns sa VIP group, nga nagpalisod sa mga hacker ug mga insider sa pag-reconnaissance sa imprastraktura.
Kini nga post gituyo aron madasig ka nga susihon pag-ayo ang mga natad
Ang AD ug ang mga kaubang permiso niini. Ang AD usa ka maayong kapanguhaan, apan hunahunaa kon unsaon nimo pagbuhat niini
gusto nga ipaambit ang kompidensyal nga impormasyon ug personal nga datos, labi na,
kon bahin sa mga taas nga opisyal sa inyong organisasyon.
Source: www.habr.com
