Olen läbinud läbitungimistesti kasutades
Kuid enne kui hakkame rääkima privaatsusprobleemidest ja nende parandamisest, vaatame, millised andmed on AD-s salvestatud.
Active Directory on ettevõtte Facebook
Kuid sel juhul olete juba kõigiga sõbraks saanud! Te ei pruugi teada oma töökaaslaste lemmikfilmidest, -raamatutest või restoranidest, kuid AD sisaldab tundlikku kontaktteavet.
andmed ja muud väljad, mida saavad kasutada häkkerid ja isegi siseringid ilma eriliste tehniliste oskusteta.
Süsteemiadministraatorid on alloleva ekraanipildiga loomulikult tuttavad. See on Active Directory kasutajate ja arvutite (ADUC) liides, kus nad määravad ja redigeerivad kasutajateavet ning määravad kasutajad sobivatesse rühmadesse.
AD sisaldab välju töötaja nime, aadressi ja telefoninumbri jaoks, seega sarnaneb see telefonikataloogiga. Kuid seal on veel palju muud! Muud vahekaardid sisaldavad ka meiliaadressi ja veebiaadressi, liinihaldurit ja märkmeid.
Kas kõik organisatsiooni liikmed peavad seda teavet nägema, eriti ajastul
Muidugi mitte! Probleem süveneb, kui ettevõtte tippjuhtkonna andmed on kõigile töötajatele kättesaadavad.
PowerView kõigile
Siin tuleb mängu PowerView. See pakub väga kasutajasõbralikku PowerShelli liidest põhilistele (ja segadusttekitavatele) Win32 funktsioonidele, mis pääsevad juurde AD-le. Lühidalt:
see muudab AD-väljade hankimise sama lihtsaks kui väga lühikese cmdleti tippimise.
Võtame näiteks teabe kogumise Cruella Deville'i töötaja kohta, kes on üks ettevõtte juhte. Selleks kasutage PowerView get-NetUser cmdleti:
PowerView'i installimine pole tõsine probleem – vaadake lehelt ise
Ülaltoodud ekraanipildilt näete, et siseringis saab Cruella kohta kiiresti palju õppida. Kas olete ka märganud, et väljal "info" kuvatakse teave kasutaja isiklike harjumuste ja parooli kohta?
See ei ole teoreetiline võimalus. Alates
Active Directoryl on oma ACL-id
AD-kasutajate ja arvutite liides võimaldab määrata AD-objektidele õigusi. AD-l on ACL-id ja administraatorid saavad nende kaudu juurdepääsu lubada või keelata. Peate ADUC View menüüs klõpsama "Advanced" ja seejärel kasutaja avamisel näete vahekaarti "Turvalisus", kus määrate ACL-i.
Oma Cruella stsenaariumi puhul ei tahtnud ma, et kõik autentitud kasutajad näeksid tema isiklikku teavet, mistõttu keelasin neil lugemisõiguse:
Ja nüüd näeb seda tavaline kasutaja, kui ta proovib PowerView's Get-NetUserit:
Mul õnnestus ilmselgelt kasulikku teavet võõraste silmade eest varjata. Asjakohastele kasutajatele juurdepääsetava hoidmiseks lõin teise ACL-i, et võimaldada VIP-rühma liikmetel (Cruellal ja tema teistel kõrgetel kolleegidel) neile tundlikele andmetele juurde pääseda. Teisisõnu rakendasin eeskujul põhinevad AD-õigused, mis muutis tundlikud andmed enamikule töötajatele kättesaamatuks, sealhulgas Insideritele.
Saate aga muuta grupi liikmelisuse kasutajatele nähtamatuks, määrates AD-s rühmaobjekti ACL-i vastavalt. See aitab kaitsta privaatsust ja turvalisust.
oma
Suutsin varjata Cruella ja Monty Burnsi kuulumist VIP-gruppi, muutes häkkeritel ja siseringi isikutel infrastruktuuri luuramise keeruliseks.
Selle postituse eesmärk oli motiveerida teid põldudega lähemalt tutvuma
AD ja sellega seotud load. AD on suurepärane ressurss, kuid mõelge, kuidas te seda teeksite
soovis jagada eelkõige konfidentsiaalset teavet ja isikuandmeid
kui tegemist on teie organisatsiooni tippametnikega.
Allikas: www.habr.com