Olen läbinud läbitungimistesti kasutades ja kasutas seda kasutajateabe toomiseks Active Directoryst (edaspidi AD). Sel ajal panin rõhku turvarühma liikmelisuse teabe kogumisele ja seejärel selle teabe kasutamisele võrgus navigeerimiseks. Mõlemal juhul sisaldab AD tundlikke töötajate andmeid, millest mõned ei peaks tõesti olema organisatsioonis kõigile kättesaadavad. Tegelikult on Windowsi failisüsteemides samaväärne , mida saavad kasutada ka nii sisemised kui ka välised ründajad.
Kuid enne kui hakkame rääkima privaatsusprobleemidest ja nende parandamisest, vaatame, millised andmed on AD-s salvestatud.
Active Directory on ettevõtte Facebook
Kuid sel juhul olete juba kõigiga sõbraks saanud! Te ei pruugi teada oma töökaaslaste lemmikfilmidest, -raamatutest või restoranidest, kuid AD sisaldab tundlikku kontaktteavet.
andmed ja muud väljad, mida saavad kasutada häkkerid ja isegi siseringid ilma eriliste tehniliste oskusteta.
Süsteemiadministraatorid on alloleva ekraanipildiga loomulikult tuttavad. See on Active Directory kasutajate ja arvutite (ADUC) liides, kus nad määravad ja redigeerivad kasutajateavet ning määravad kasutajad sobivatesse rühmadesse.
AD sisaldab välju töötaja nime, aadressi ja telefoninumbri jaoks, seega sarnaneb see telefonikataloogiga. Kuid seal on veel palju muud! Muud vahekaardid sisaldavad ka meiliaadressi ja veebiaadressi, liinihaldurit ja märkmeid.
Kas kõik organisatsiooni liikmed peavad seda teavet nägema, eriti ajastul , kui iga uus detail muudab lisateabe otsimise veelgi lihtsamaks?
Muidugi mitte! Probleem süveneb, kui ettevõtte tippjuhtkonna andmed on kõigile töötajatele kättesaadavad.
PowerView kõigile
Siin tuleb mängu PowerView. See pakub väga kasutajasõbralikku PowerShelli liidest põhilistele (ja segadusttekitavatele) Win32 funktsioonidele, mis pääsevad juurde AD-le. Lühidalt:
see muudab AD-väljade hankimise sama lihtsaks kui väga lühikese cmdleti tippimise.
Võtame näiteks teabe kogumise Cruella Deville'i töötaja kohta, kes on üks ettevõtte juhte. Selleks kasutage PowerView get-NetUser cmdleti:
PowerView'i installimine pole tõsine probleem – vaadake lehelt ise . Ja mis veelgi olulisem, paljude PowerView käskude (nt get-NetUser) käivitamiseks ei ole teil vaja kõrgendatud õigusi. Nii saab motiveeritud, kuid mitte väga tehnikatundlik töötaja ilma suurema vaevata AD kallal nokitsema.
Ülaltoodud ekraanipildilt näete, et siseringis saab Cruella kohta kiiresti palju õppida. Kas olete ka märganud, et väljal "info" kuvatakse teave kasutaja isiklike harjumuste ja parooli kohta?
See ei ole teoreetiline võimalus. Alates Sain teada, et nad skannivad AD, et leida lihtteksti paroole, ja sageli on need katsed kahjuks edukad. Nad teavad, et ettevõtted suhtuvad AD-ga seotud teabesse hooletult, ja nad ei ole tavaliselt teadlikud järgmisest teemast: AD load.
Active Directoryl on oma ACL-id
AD-kasutajate ja arvutite liides võimaldab määrata AD-objektidele õigusi. AD-l on ACL-id ja administraatorid saavad nende kaudu juurdepääsu lubada või keelata. Peate ADUC View menüüs klõpsama "Advanced" ja seejärel kasutaja avamisel näete vahekaarti "Turvalisus", kus määrate ACL-i.
Oma Cruella stsenaariumi puhul ei tahtnud ma, et kõik autentitud kasutajad näeksid tema isiklikku teavet, mistõttu keelasin neil lugemisõiguse:
Ja nüüd näeb seda tavaline kasutaja, kui ta proovib PowerView's Get-NetUserit:
Mul õnnestus ilmselgelt kasulikku teavet võõraste silmade eest varjata. Asjakohastele kasutajatele juurdepääsetava hoidmiseks lõin teise ACL-i, et võimaldada VIP-rühma liikmetel (Cruellal ja tema teistel kõrgetel kolleegidel) neile tundlikele andmetele juurde pääseda. Teisisõnu rakendasin eeskujul põhinevad AD-õigused, mis muutis tundlikud andmed enamikule töötajatele kättesaamatuks, sealhulgas Insideritele.
Saate aga muuta grupi liikmelisuse kasutajatele nähtamatuks, määrates AD-s rühmaobjekti ACL-i vastavalt. See aitab kaitsta privaatsust ja turvalisust.
oma Näitasin, kuidas saate süsteemis navigeerida, uurides grupi liikmelisust PowerViews Get-NetGroupMember abil. Oma skriptis piirasin lugemisjuurdepääsu teatud grupi liikmelisusele. Näete käsu käivitamise tulemust enne ja pärast muudatusi:
Suutsin varjata Cruella ja Monty Burnsi kuulumist VIP-gruppi, muutes häkkeritel ja siseringi isikutel infrastruktuuri luuramise keeruliseks.
Selle postituse eesmärk oli motiveerida teid põldudega lähemalt tutvuma
AD ja sellega seotud load. AD on suurepärane ressurss, kuid mõelge, kuidas te seda teeksite
soovis jagada eelkõige konfidentsiaalset teavet ja isikuandmeid
kui tegemist on teie organisatsiooni tippametnikega.
Allikas: www.habr.com