Rwyf wedi gwneud profion treiddiad gan ddefnyddio a'i ddefnyddio i adalw gwybodaeth defnyddwyr o Active Directory (y cyfeirir ati o hyn ymlaen fel AD). Ar y pryd, roedd fy mhwyslais ar gasglu gwybodaeth aelodaeth grŵp diogelwch ac yna defnyddio'r wybodaeth honno i lywio'r rhwydwaith. Y naill ffordd neu'r llall, mae AD yn cynnwys data gweithwyr sensitif, ac ni ddylai rhai ohonynt fod yn hygyrch i bawb yn y sefydliad. Mewn gwirionedd, mewn systemau ffeiliau Windows mae yna gyfwerth , y gellir ei ddefnyddio hefyd gan ymosodwyr mewnol ac allanol.
Ond cyn i ni siarad am faterion preifatrwydd a sut i'w trwsio, gadewch i ni edrych ar y data sydd wedi'i storio yn AD.
Active Directory yw'r Facebook corfforaethol
Ond yn yr achos hwn, rydych chi eisoes wedi gwneud ffrindiau gyda phawb! Efallai nad ydych chi'n gwybod am hoff ffilmiau, llyfrau neu fwytai eich cydweithwyr, ond mae AD yn cynnwys gwybodaeth gyswllt sensitif.
data a meysydd eraill y gellir eu defnyddio gan hacwyr a hyd yn oed mewnwyr heb sgiliau technegol arbennig.
Mae gweinyddwyr systemau wrth gwrs yn gyfarwydd â'r sgrinlun isod. Dyma ryngwyneb Defnyddwyr a Chyfrifiaduron Active Directory (ADUC) lle maent yn gosod ac yn golygu gwybodaeth defnyddwyr ac yn aseinio defnyddwyr i grwpiau priodol.
Mae AD yn cynnwys meysydd ar gyfer enw gweithiwr, cyfeiriad, a rhif ffôn, felly mae'n debyg i gyfeiriadur ffôn. Ond mae cymaint mwy! Mae tabiau eraill hefyd yn cynnwys cyfeiriad e-bost a gwe, rheolwr llinell, a nodiadau.
A oes angen i bawb yn y sefydliad weld y wybodaeth hon, yn enwedig mewn oes , pan fydd pob manylyn newydd yn gwneud chwilio am ragor o wybodaeth hyd yn oed yn haws?
Wrth gwrs ddim! Gwaethygir y broblem pan fo data o brif reolwyr cwmni ar gael i bob gweithiwr.
PowerView i bawb
Dyma lle mae PowerView yn dod i rym. Mae'n darparu rhyngwyneb PowerShell hawdd ei ddefnyddio i'r swyddogaethau Win32 sylfaenol (a dryslyd) sy'n cyrchu AD. Yn fyr:
mae hyn yn ei gwneud hi mor hawdd adalw meysydd AD â theipio cmdlet byr iawn.
Gadewch i ni gymryd enghraifft o gasglu gwybodaeth am un o weithwyr Cruella Deville, sy'n un o arweinwyr y cwmni. I wneud hyn, defnyddiwch y cmdlet get-NetUser PowerView:
Nid yw gosod PowerView yn broblem ddifrifol - gwelwch drosoch eich hun ar y dudalen . Ac yn bwysicach fyth, nid oes angen breintiau uchel arnoch i redeg llawer o orchmynion PowerView, megis get-NetUser. Fel hyn, gall gweithiwr sy'n llawn cymhelliant ond nad yw'n gyfarwydd iawn â thechnoleg ddechrau tincian gydag AD heb lawer o ymdrech.
O'r llun uchod, gallwch weld y gall rhywun mewnol ddysgu llawer am Cruella yn gyflym. Ydych chi hefyd wedi sylwi bod y maes “gwybodaeth” yn datgelu gwybodaeth am arferion personol a chyfrinair y defnyddiwr?
Nid yw hyn yn bosibilrwydd damcaniaethol. Oddiwrth Dysgais eu bod yn sganio AD i ddod o hyd i gyfrineiriau testun plaen, ac yn aml mae'r ymdrechion hyn yn anffodus yn llwyddiannus. Maent yn gwybod bod cwmnïau'n ddiofal gyda gwybodaeth mewn AD, ac yn gyffredinol nid ydynt yn ymwybodol o'r pwnc nesaf: caniatadau AD.
Mae gan Active Directory ei ACLs ei hun
Mae rhyngwyneb AD Defnyddwyr a Chyfrifiaduron yn caniatáu ichi osod caniatâd ar wrthrychau AD. Mae gan AD ACLs a gall gweinyddwyr ganiatáu neu wrthod mynediad trwyddynt. Mae angen i chi glicio "Advanced" yn newislen ADUC View ac yna pan fyddwch chi'n agor y defnyddiwr fe welwch y tab "Security" lle rydych chi'n gosod yr ACL.
Yn fy senario Cruella, nid oeddwn am i bob Defnyddiwr Dilysu allu gweld ei gwybodaeth bersonol, felly gwadais iddynt fynediad darllen:
Ac yn awr bydd defnyddiwr arferol yn gweld hyn os yw'n ceisio Get-NetUser yn PowerView:
Llwyddais i guddio gwybodaeth amlwg ddefnyddiol rhag llygaid busneslyd. Er mwyn ei gadw'n hygyrch i ddefnyddwyr perthnasol, creais ACL arall i ganiatáu i aelodau'r grŵp VIP (Cruella a'i chydweithwyr uchel eu statws) gael mynediad at y data sensitif hwn. Mewn geiriau eraill, rhoddais ganiatâd AD yn seiliedig ar fodel rôl, a oedd yn gwneud data sensitif yn anhygyrch i'r rhan fwyaf o weithwyr, gan gynnwys Insiders.
Fodd bynnag, gallwch wneud aelodaeth grŵp yn anweledig i ddefnyddwyr trwy osod yr ACL ar y gwrthrych grŵp yn AD yn unol â hynny. Bydd hyn yn helpu o ran preifatrwydd a diogelwch.
Yn ei Dangosais sut y gallwch lywio'r system trwy archwilio aelodaeth grŵp gan ddefnyddio PowerViews Get-NetGroupMember. Yn fy sgript, rwy'n cyfyngu mynediad darllen i aelodaeth mewn grŵp penodol. Gallwch weld canlyniad rhedeg y gorchymyn cyn ac ar ôl y newidiadau:
Llwyddais i guddio aelodaeth Cruella a Monty Burns yn y grŵp VIP, gan ei gwneud hi'n anodd i hacwyr a mewnwyr sgowtio'r seilwaith.
Bwriad y swydd hon oedd eich ysgogi i edrych yn agosach ar y meysydd
AD a chaniatadau cysylltiedig. Mae AD yn adnodd gwych, ond meddyliwch sut y byddech chi
eisiau rhannu gwybodaeth gyfrinachol a data personol, yn arbennig
pan ddaw at brif swyddogion eich sefydliad.
Ffynhonnell: hab.com