Έχω κάνει δοκιμές διείσδυσης χρησιμοποιώντας και το χρησιμοποίησε για την ανάκτηση πληροφοριών χρήστη από την υπηρεσία καταλόγου Active Directory (εφεξής AD). Εκείνη την εποχή, η έμφαση μου ήταν στη συλλογή πληροφοριών μέλους ομάδας ασφαλείας και στη συνέχεια στη χρήση αυτών των πληροφοριών για την πλοήγηση στο δίκτυο. Είτε έτσι είτε αλλιώς, το AD περιέχει ευαίσθητα δεδομένα εργαζομένων, μερικά από τα οποία πραγματικά δεν θα πρέπει να είναι προσβάσιμα σε όλους στον οργανισμό. Μάλιστα, στα συστήματα αρχείων των Windows υπάρχει ένα αντίστοιχο , το οποίο μπορεί επίσης να χρησιμοποιηθεί τόσο από εσωτερικούς όσο και από εξωτερικούς εισβολείς.
Αλλά προτού μιλήσουμε για ζητήματα απορρήτου και πώς να τα διορθώσουμε, ας ρίξουμε μια ματιά στα δεδομένα που είναι αποθηκευμένα στο AD.
Η Active Directory είναι το εταιρικό Facebook
Αλλά σε αυτή την περίπτωση, έχετε ήδη κάνει φίλους με όλους! Μπορεί να μην γνωρίζετε για τις αγαπημένες ταινίες, βιβλία ή εστιατόρια των συναδέλφων σας, αλλά το AD περιέχει ευαίσθητα στοιχεία επικοινωνίας.
δεδομένα και άλλα πεδία που μπορούν να χρησιμοποιηθούν από χάκερ, ακόμη και από κατόχους πληροφοριών χωρίς ειδικές τεχνικές δεξιότητες.
Οι διαχειριστές συστήματος είναι φυσικά εξοικειωμένοι με το παρακάτω στιγμιότυπο οθόνης. Αυτή είναι η διεπαφή Active Directory Users and Computers (ADUC) όπου ορίζουν και επεξεργάζονται πληροφορίες χρήστη και αναθέτουν τους χρήστες σε κατάλληλες ομάδες.
Το AD περιέχει πεδία για όνομα υπαλλήλου, διεύθυνση και αριθμό τηλεφώνου, επομένως είναι παρόμοιο με έναν τηλεφωνικό κατάλογο. Αλλά υπάρχουν πολλά περισσότερα! Άλλες καρτέλες περιλαμβάνουν επίσης email και διεύθυνση ιστού, διευθυντή γραμμής και σημειώσεις.
Πρέπει όλοι στον οργανισμό να δουν αυτές τις πληροφορίες, ειδικά σε μια εποχή; , όταν κάθε νέα λεπτομέρεια κάνει ακόμα πιο εύκολη την αναζήτηση περισσότερων πληροφοριών;
Φυσικά και όχι! Το πρόβλημα επιδεινώνεται όταν δεδομένα από την ανώτατη διοίκηση μιας εταιρείας είναι διαθέσιμα σε όλους τους εργαζόμενους.
PowerView για όλους
Εδώ μπαίνει στο παιχνίδι το PowerView. Παρέχει μια πολύ φιλική προς το χρήστη διεπαφή PowerShell στις υποκείμενες (και μπερδεμένες) λειτουργίες Win32 που έχουν πρόσβαση στο AD. Εν συντομία:
Αυτό καθιστά την ανάκτηση πεδίων AD τόσο εύκολη όσο η πληκτρολόγηση ενός πολύ σύντομου cmdlet.
Ας πάρουμε ένα παράδειγμα συλλογής πληροφοριών για έναν υπάλληλο της Cruella Deville, ο οποίος είναι ένας από τους διευθυντές της εταιρείας. Για να το κάνετε αυτό, χρησιμοποιήστε το PowerView get-NetUser cmdlet:
Η εγκατάσταση του PowerView δεν είναι σοβαρό πρόβλημα - δείτε μόνοι σας στη σελίδα . Και το πιο σημαντικό, δεν χρειάζεστε αυξημένα δικαιώματα για να εκτελέσετε πολλές εντολές PowerView, όπως το get-NetUser. Με αυτόν τον τρόπο, ένας εργαζόμενος με κίνητρα, αλλά όχι πολύ έμπειρος στην τεχνολογία, μπορεί να αρχίσει να ασχολείται με το AD χωρίς μεγάλη προσπάθεια.
Από το παραπάνω στιγμιότυπο οθόνης, μπορείτε να δείτε ότι ένας εσωτερικός χρήστης μπορεί γρήγορα να μάθει πολλά για την Cruella. Έχετε επίσης παρατηρήσει ότι το πεδίο «πληροφορίες» αποκαλύπτει πληροφορίες σχετικά με τις προσωπικές συνήθειες και τον κωδικό πρόσβασης του χρήστη;
Αυτό δεν είναι μια θεωρητική πιθανότητα. Από Έμαθα ότι σαρώνουν το AD για να βρουν κωδικούς πρόσβασης απλού κειμένου και συχνά αυτές οι προσπάθειες είναι δυστυχώς επιτυχείς. Γνωρίζουν ότι οι εταιρείες είναι απρόσεκτες με τις πληροφορίες στο AD και τείνουν να αγνοούν το επόμενο θέμα: τα δικαιώματα AD.
Η Active Directory έχει τα δικά της ACL
Η διεπαφή AD Users and Computers σάς επιτρέπει να ορίσετε δικαιώματα σε αντικείμενα AD. Το AD διαθέτει ACL και οι διαχειριστές μπορούν να παραχωρήσουν ή να αρνηθούν την πρόσβαση μέσω αυτών. Πρέπει να κάνετε κλικ στο "Για προχωρημένους" στο μενού Προβολή ADUC και, στη συνέχεια, όταν ανοίξετε τον χρήστη θα δείτε την καρτέλα "Ασφάλεια" όπου ορίζετε το ACL.
Στο σενάριο Cruella μου, δεν ήθελα όλοι οι Εξουσιοδοτημένοι χρήστες να μπορούν να δουν τα προσωπικά στοιχεία της, γι' αυτό τους αρνήθηκα την πρόσβαση ανάγνωσης:
Και τώρα ένας κανονικός χρήστης θα το δει αυτό αν δοκιμάσει το Get-NetUser στο PowerView:
Κατάφερα να κρύψω προφανώς χρήσιμες πληροφορίες από τα αδιάκριτα βλέμματα. Για να το διατηρήσω προσβάσιμο σε σχετικούς χρήστες, δημιούργησα ένα άλλο ACL για να επιτρέψω στα μέλη της ομάδας VIP (την Cruella και τους άλλους υψηλόβαθμους συναδέλφους της) να έχουν πρόσβαση σε αυτά τα ευαίσθητα δεδομένα. Με άλλα λόγια, εφάρμοσα τις άδειες AD με βάση ένα πρότυπο, το οποίο έκανε τα ευαίσθητα δεδομένα απρόσιτα στους περισσότερους υπαλλήλους, συμπεριλαμβανομένων των Insiders.
Ωστόσο, μπορείτε να κάνετε τη συμμετοχή σε ομάδα αόρατη στους χρήστες ορίζοντας το ACL στο αντικείμενο ομάδας στο AD ανάλογα. Αυτό θα βοηθήσει όσον αφορά το απόρρητο και την ασφάλεια.
στο έργο του Έδειξα πώς μπορείτε να πλοηγηθείτε στο σύστημα εξετάζοντας τη συμμετοχή σε ομάδα χρησιμοποιώντας το PowerViews Get-NetGroupMember. Στο σενάριό μου, περιόρισα την πρόσβαση ανάγνωσης στη συμμετοχή σε μια συγκεκριμένη ομάδα. Μπορείτε να δείτε το αποτέλεσμα της εκτέλεσης της εντολής πριν και μετά τις αλλαγές:
Κατάφερα να κρύψω τη συμμετοχή των Cruella και Monty Burns στην ομάδα VIP, δυσκολεύοντας τους χάκερ και τους μυημένους να εντοπίσουν την υποδομή.
Αυτή η ανάρτηση είχε σκοπό να σας παρακινήσει να ρίξετε μια πιο προσεκτική ματιά στα πεδία
AD και σχετικές άδειες. Το AD είναι ένας εξαιρετικός πόρος, αλλά σκεφτείτε πώς θα το κάνατε
ήθελε να μοιραστεί εμπιστευτικές πληροφορίες και προσωπικά δεδομένα, ειδικά
όταν πρόκειται για τα ανώτατα στελέχη του οργανισμού σας.
Πηγή: www.habr.com