Έχω κάνει δοκιμές διείσδυσης χρησιμοποιώντας
Αλλά προτού μιλήσουμε για ζητήματα απορρήτου και πώς να τα διορθώσουμε, ας ρίξουμε μια ματιά στα δεδομένα που είναι αποθηκευμένα στο AD.
Η Active Directory είναι το εταιρικό Facebook
Αλλά σε αυτή την περίπτωση, έχετε ήδη κάνει φίλους με όλους! Μπορεί να μην γνωρίζετε για τις αγαπημένες ταινίες, βιβλία ή εστιατόρια των συναδέλφων σας, αλλά το AD περιέχει ευαίσθητα στοιχεία επικοινωνίας.
δεδομένα και άλλα πεδία που μπορούν να χρησιμοποιηθούν από χάκερ, ακόμη και από κατόχους πληροφοριών χωρίς ειδικές τεχνικές δεξιότητες.
Οι διαχειριστές συστήματος είναι φυσικά εξοικειωμένοι με το παρακάτω στιγμιότυπο οθόνης. Αυτή είναι η διεπαφή Active Directory Users and Computers (ADUC) όπου ορίζουν και επεξεργάζονται πληροφορίες χρήστη και αναθέτουν τους χρήστες σε κατάλληλες ομάδες.
Το AD περιέχει πεδία για όνομα υπαλλήλου, διεύθυνση και αριθμό τηλεφώνου, επομένως είναι παρόμοιο με έναν τηλεφωνικό κατάλογο. Αλλά υπάρχουν πολλά περισσότερα! Άλλες καρτέλες περιλαμβάνουν επίσης email και διεύθυνση ιστού, διευθυντή γραμμής και σημειώσεις.
Πρέπει όλοι στον οργανισμό να δουν αυτές τις πληροφορίες, ειδικά σε μια εποχή;
Φυσικά και όχι! Το πρόβλημα επιδεινώνεται όταν δεδομένα από την ανώτατη διοίκηση μιας εταιρείας είναι διαθέσιμα σε όλους τους εργαζόμενους.
PowerView για όλους
Εδώ μπαίνει στο παιχνίδι το PowerView. Παρέχει μια πολύ φιλική προς το χρήστη διεπαφή PowerShell στις υποκείμενες (και μπερδεμένες) λειτουργίες Win32 που έχουν πρόσβαση στο AD. Εν συντομία:
Αυτό καθιστά την ανάκτηση πεδίων AD τόσο εύκολη όσο η πληκτρολόγηση ενός πολύ σύντομου cmdlet.
Ας πάρουμε ένα παράδειγμα συλλογής πληροφοριών για έναν υπάλληλο της Cruella Deville, ο οποίος είναι ένας από τους διευθυντές της εταιρείας. Για να το κάνετε αυτό, χρησιμοποιήστε το PowerView get-NetUser cmdlet:
Η εγκατάσταση του PowerView δεν είναι σοβαρό πρόβλημα - δείτε μόνοι σας στη σελίδα
Από το παραπάνω στιγμιότυπο οθόνης, μπορείτε να δείτε ότι ένας εσωτερικός χρήστης μπορεί γρήγορα να μάθει πολλά για την Cruella. Έχετε επίσης παρατηρήσει ότι το πεδίο «πληροφορίες» αποκαλύπτει πληροφορίες σχετικά με τις προσωπικές συνήθειες και τον κωδικό πρόσβασης του χρήστη;
Αυτό δεν είναι μια θεωρητική πιθανότητα. Από
Η Active Directory έχει τα δικά της ACL
Η διεπαφή AD Users and Computers σάς επιτρέπει να ορίσετε δικαιώματα σε αντικείμενα AD. Το AD διαθέτει ACL και οι διαχειριστές μπορούν να παραχωρήσουν ή να αρνηθούν την πρόσβαση μέσω αυτών. Πρέπει να κάνετε κλικ στο "Για προχωρημένους" στο μενού Προβολή ADUC και, στη συνέχεια, όταν ανοίξετε τον χρήστη θα δείτε την καρτέλα "Ασφάλεια" όπου ορίζετε το ACL.
Στο σενάριο Cruella μου, δεν ήθελα όλοι οι Εξουσιοδοτημένοι χρήστες να μπορούν να δουν τα προσωπικά στοιχεία της, γι' αυτό τους αρνήθηκα την πρόσβαση ανάγνωσης:
Και τώρα ένας κανονικός χρήστης θα το δει αυτό αν δοκιμάσει το Get-NetUser στο PowerView:
Κατάφερα να κρύψω προφανώς χρήσιμες πληροφορίες από τα αδιάκριτα βλέμματα. Για να το διατηρήσω προσβάσιμο σε σχετικούς χρήστες, δημιούργησα ένα άλλο ACL για να επιτρέψω στα μέλη της ομάδας VIP (την Cruella και τους άλλους υψηλόβαθμους συναδέλφους της) να έχουν πρόσβαση σε αυτά τα ευαίσθητα δεδομένα. Με άλλα λόγια, εφάρμοσα τις άδειες AD με βάση ένα πρότυπο, το οποίο έκανε τα ευαίσθητα δεδομένα απρόσιτα στους περισσότερους υπαλλήλους, συμπεριλαμβανομένων των Insiders.
Ωστόσο, μπορείτε να κάνετε τη συμμετοχή σε ομάδα αόρατη στους χρήστες ορίζοντας το ACL στο αντικείμενο ομάδας στο AD ανάλογα. Αυτό θα βοηθήσει όσον αφορά το απόρρητο και την ασφάλεια.
στο έργο του
Κατάφερα να κρύψω τη συμμετοχή των Cruella και Monty Burns στην ομάδα VIP, δυσκολεύοντας τους χάκερ και τους μυημένους να εντοπίσουν την υποδομή.
Αυτή η ανάρτηση είχε σκοπό να σας παρακινήσει να ρίξετε μια πιο προσεκτική ματιά στα πεδία
AD και σχετικές άδειες. Το AD είναι ένας εξαιρετικός πόρος, αλλά σκεφτείτε πώς θα το κάνατε
ήθελε να μοιραστεί εμπιστευτικές πληροφορίες και προσωπικά δεδομένα, ειδικά
όταν πρόκειται για τα ανώτατα στελέχη του οργανισμού σας.
Πηγή: www.habr.com