Mi faris penetrotestadon uzante kaj uzis ĝin por preni uzantinformojn de Active Directory (ĉi-poste nomata AD). Tiutempe, mia emfazo estis kolekti informojn pri sekureca grupo-membreco kaj poste uzi tiujn informojn por navigi la reton. Ĉiuokaze, AD enhavas sentemajn dungitajn datumojn, iuj el kiuj vere ne devus esti alireblaj por ĉiuj en la organizo. Fakte, en Vindozaj dosiersistemoj ekzistas ekvivalento , kiu ankaŭ povas esti uzata de kaj internaj kaj eksteraj atakantoj.
Sed antaŭ ol ni parolu pri privatecaj problemoj kaj kiel ripari ilin, ni rigardu la datumojn konservitajn en AD.
Active Directory estas la kompania Facebook
Sed ĉi-kaze vi jam amikiĝis kun ĉiuj! Vi eble ne scias pri plej ŝatataj filmoj, libroj aŭ restoracioj de viaj kunlaborantoj, sed AD enhavas sentemajn kontaktinformojn.
datumoj kaj aliaj kampoj, kiuj povas esti uzataj de retpiratoj kaj eĉ internuloj sen specialaj teknikaj kapabloj.
Sistemadministrantoj kompreneble konas la ekrankopion sube. Ĉi tio estas la interfaco de Aktivaj Uzantoj kaj Komputiloj (ADUC) kie ili fiksas kaj redaktas uzantinformojn kaj asignas uzantojn al taŭgaj grupoj.
AD enhavas kampojn por dungita nomo, adreso kaj telefonnumero, do ĝi similas al telefona adresaro. Sed estas multe pli! Aliaj langetoj ankaŭ inkluzivas retadreson kaj retadreson, linimanaĝeron kaj notojn.
Ĉu ĉiuj en la organizo bezonas vidi ĉi tiujn informojn, precipe en epoko , kiam ĉiu nova detalo eĉ pli facilas serĉi pliajn informojn?
Kompreneble ne! La problemo pliiĝas kiam datumoj de la supera administrado de kompanio estas disponeblaj por ĉiuj dungitoj.
PowerView por ĉiuj
Ĉi tie intervenas PowerView. Ĝi provizas tre afablan PowerShell-interfacon al la subaj (kaj konfuzaj) Win32-funkcioj, kiuj aliras AD. Mallonge:
ĉi tio faciligas reakiri AD-kampojn kiel tajpi tre mallongan cmdlet.
Ni prenu ekzemplon pri kolektado de informoj pri dungito de Cruella Deville, kiu estas unu el la gvidantoj de la kompanio. Por fari tion, uzu la cmdlet PowerView get-NetUser:
Instali PowerView ne estas grava problemo - vidu mem sur la paĝo . Kaj pli grave, vi ne bezonas altigitajn privilegiojn por ruli multajn PowerView-komandojn, kiel get-NetUser. Tiel, motivita sed ne tre teknika dungito povas komenci tuŝi AD sen multe da peno.
De la supra ekrankopio, vi povas vidi, ke enulo povas rapide lerni multon pri Cruella. Ĉu vi ankaŭ rimarkis, ke la kampo "informoj" malkaŝas informojn pri la personaj kutimoj kaj pasvorto de la uzanto?
Ĉi tio ne estas teoria ebleco. De Mi eksciis, ke ili skanas AD por trovi klartekstajn pasvortojn, kaj ofte ĉi tiuj provoj bedaŭrinde sukcesas. Ili scias, ke kompanioj estas senzorgaj pri informoj en AD, kaj ili tendencas ne konscii pri la sekva temo: AD-permesoj.
Active Directory havas siajn proprajn ACLojn
La interfaco de AD Uzantoj kaj Komputiloj permesas al vi agordi permesojn al AD-objektoj. AD havas ACLojn kaj administrantoj povas doni aŭ nei aliron per ili. Vi devas klaki "Altnivela" en la ADUC-Vido-menuo kaj tiam kiam vi malfermas la uzanton, vi vidos la langeton "Sekureco" kie vi starigas la ACL.
En mia Cruella scenaro, mi ne volis, ke ĉiuj Aŭtentikigitaj Uzantoj povu vidi ŝiajn personajn informojn, do mi rifuzis al ili legan aliron:
Kaj nun normala uzanto vidos ĉi tion se ili provas Get-NetUser en PowerView:
Mi sukcesis kaŝi evidente utilajn informojn de malklaraj okuloj. Por teni ĝin alirebla por koncernaj uzantoj, mi kreis alian ACL por permesi membrojn de la VIP-grupo (Cruella kaj ŝiaj aliaj altrangaj kolegoj) aliri ĉi tiujn sentemajn datumojn. Alivorte, mi efektivigis AD-permesojn bazitajn sur rolmodelo, kiu igis sentemajn datumojn nealireblaj por plej multaj dungitoj, inkluzive de Insiders.
Tamen, vi povas igi grupan membrecon nevidebla por uzantoj fiksante la ACL sur la grupobjekto en AD laŭe. Ĉi tio helpos pri privateco kaj sekureco.
En lia Mi montris kiel vi povas navigi la sistemon ekzamenante grupan membrecon uzante PowerViews Get-NetGroupMember. En mia skripto, mi limigis legan aliron al membreco en specifa grupo. Vi povas vidi la rezulton de rulado de la komando antaŭ kaj post la ŝanĝoj:
Mi povis kaŝi la membrecon de Cruella kaj Monty Burns en la VIP-grupo, malfaciligante al hakistoj kaj internuloj esplori la infrastrukturon.
Ĉi tiu afiŝo celis instigi vin pli detale rigardi la kampojn
AD kaj rilataj permesoj. AD estas bonega rimedo, sed pensu pri kiel vi farus
volis kunhavigi konfidencajn informojn kaj personajn datumojn, precipe
kiam temas pri la ĉefaj oficistoj de via organizo.
fonto: www.habr.com