Rwyf wedi gwneud profion treiddiad gan ddefnyddio
Ond cyn i ni siarad am faterion preifatrwydd a sut i'w trwsio, gadewch i ni edrych ar y data sydd wedi'i storio yn AD.
Active Directory yw'r Facebook corfforaethol
Ond yn yr achos hwn, rydych chi eisoes wedi gwneud ffrindiau gyda phawb! Efallai nad ydych chi'n gwybod am hoff ffilmiau, llyfrau neu fwytai eich cydweithwyr, ond mae AD yn cynnwys gwybodaeth gyswllt sensitif.
data a meysydd eraill y gellir eu defnyddio gan hacwyr a hyd yn oed mewnwyr heb sgiliau technegol arbennig.
Mae gweinyddwyr systemau wrth gwrs yn gyfarwydd â'r sgrinlun isod. Dyma ryngwyneb Defnyddwyr a Chyfrifiaduron Active Directory (ADUC) lle maent yn gosod ac yn golygu gwybodaeth defnyddwyr ac yn aseinio defnyddwyr i grwpiau priodol.
Mae AD yn cynnwys meysydd ar gyfer enw gweithiwr, cyfeiriad, a rhif ffôn, felly mae'n debyg i gyfeiriadur ffôn. Ond mae cymaint mwy! Mae tabiau eraill hefyd yn cynnwys cyfeiriad e-bost a gwe, rheolwr llinell, a nodiadau.
A oes angen i bawb yn y sefydliad weld y wybodaeth hon, yn enwedig mewn oes
Wrth gwrs ddim! Gwaethygir y broblem pan fo data o brif reolwyr cwmni ar gael i bob gweithiwr.
PowerView i bawb
Dyma lle mae PowerView yn dod i rym. Mae'n darparu rhyngwyneb PowerShell hawdd ei ddefnyddio i'r swyddogaethau Win32 sylfaenol (a dryslyd) sy'n cyrchu AD. Yn fyr:
mae hyn yn ei gwneud hi mor hawdd adalw meysydd AD â theipio cmdlet byr iawn.
Gadewch i ni gymryd enghraifft o gasglu gwybodaeth am un o weithwyr Cruella Deville, sy'n un o arweinwyr y cwmni. I wneud hyn, defnyddiwch y cmdlet get-NetUser PowerView:
Nid yw gosod PowerView yn broblem ddifrifol - gwelwch drosoch eich hun ar y dudalen
O'r llun uchod, gallwch weld y gall rhywun mewnol ddysgu llawer am Cruella yn gyflym. Ydych chi hefyd wedi sylwi bod y maes “gwybodaeth” yn datgelu gwybodaeth am arferion personol a chyfrinair y defnyddiwr?
Nid yw hyn yn bosibilrwydd damcaniaethol. Oddiwrth
Mae gan Active Directory ei ACLs ei hun
Mae rhyngwyneb AD Defnyddwyr a Chyfrifiaduron yn caniatáu ichi osod caniatâd ar wrthrychau AD. Mae gan AD ACLs a gall gweinyddwyr ganiatáu neu wrthod mynediad trwyddynt. Mae angen i chi glicio "Advanced" yn newislen ADUC View ac yna pan fyddwch chi'n agor y defnyddiwr fe welwch y tab "Security" lle rydych chi'n gosod yr ACL.
Yn fy senario Cruella, nid oeddwn am i bob Defnyddiwr Dilysu allu gweld ei gwybodaeth bersonol, felly gwadais iddynt fynediad darllen:
Ac yn awr bydd defnyddiwr arferol yn gweld hyn os yw'n ceisio Get-NetUser yn PowerView:
Llwyddais i guddio gwybodaeth amlwg ddefnyddiol rhag llygaid busneslyd. Er mwyn ei gadw'n hygyrch i ddefnyddwyr perthnasol, creais ACL arall i ganiatáu i aelodau'r grŵp VIP (Cruella a'i chydweithwyr uchel eu statws) gael mynediad at y data sensitif hwn. Mewn geiriau eraill, rhoddais ganiatâd AD yn seiliedig ar fodel rôl, a oedd yn gwneud data sensitif yn anhygyrch i'r rhan fwyaf o weithwyr, gan gynnwys Insiders.
Fodd bynnag, gallwch wneud aelodaeth grŵp yn anweledig i ddefnyddwyr trwy osod yr ACL ar y gwrthrych grŵp yn AD yn unol â hynny. Bydd hyn yn helpu o ran preifatrwydd a diogelwch.
Yn ei
Llwyddais i guddio aelodaeth Cruella a Monty Burns yn y grŵp VIP, gan ei gwneud hi'n anodd i hacwyr a mewnwyr sgowtio'r seilwaith.
Bwriad y swydd hon oedd eich ysgogi i edrych yn agosach ar y meysydd
AD a chaniatadau cysylltiedig. Mae AD yn adnodd gwych, ond meddyliwch sut y byddech chi
eisiau rhannu gwybodaeth gyfrinachol a data personol, yn arbennig
pan ddaw at brif swyddogion eich sefydliad.
Ffynhonnell: hab.com