Sartze probak erabiliz egin ditut eta Active Directory-tik (aurrerantzean AD) erabiltzailearen informazioa berreskuratzeko erabili zuen. Garai hartan, nire enfasia segurtasun taldeko kideen informazioa biltzea zen eta gero informazio hori sarean nabigatzeko erabiltzea. Edozein modutan, ADk langileen datu sentikorrak ditu, eta horietako batzuk benetan ez lirateke erakundeko guztientzako eskuragarri egon behar. Izan ere, Windows fitxategi-sistemetan baliokide bat dago , barneko zein kanpoko erasotzaileek ere erabil dezaketena.
Baina pribatutasun-arazoei buruz eta horiek konpontzeko moduari buruz hitz egin baino lehen, ikus ditzagun AD-n gordetako datuak.
Active Directory Facebook korporatiboa da
Baina kasu honetan, dagoeneko denekin lagun egin duzu! Baliteke lankideen film, liburu edo jatetxe gogokoenen berri ez izatea, baina AD-k harremanetarako informazio sentikorra du.
hackerrek eta baita barnekoek ere trebetasun tekniko berezirik gabe erabil ditzaketen datuak eta beste eremu batzuk.
Sistema-administratzaileek beheko pantaila-argazkia ezagutzen dute noski. Hau Active Directory Users and Computers (ADUC) interfazea da, non erabiltzailearen informazioa ezartzen eta editatzen duten eta erabiltzaileak talde egokiak esleitzen dituzten.
ADk langilearen izena, helbidea eta telefono-zenbakiaren eremuak ditu, beraz, telefono-liburutegi baten antzekoa da. Baina askoz gehiago dago! Beste fitxa batzuk, halaber, helbide elektronikoa eta web helbidea, lerro-kudeatzailea eta oharrak daude.
Erakundeko guztiek ikusi behar al dute informazio hori, batez ere garai batean , xehetasun berri bakoitzak informazio gehiago bilatzea are errazten duenean?
Noski ezetz! Arazoa areagotu egiten da enpresa bateko goi zuzendaritzaren datuak langile guztien eskura daudenean.
PowerView guztientzako
Hemen sartzen da PowerView jokoa. Oso erabilerraza den PowerShell interfazea eskaintzen du AD atzitzen duten Win32 funtzioen azpian (eta nahasgarrian). Laburbilduz:
honek AD eremuak berreskuratzea cmdlet oso laburra idaztea bezain erraza da.
Har dezagun adibide bat Cruella Deville-ko langile bati buruzko informazioa biltzearen adibidea, hau da, konpainiako buruzagietako bat dena. Horretarako, erabili PowerView get-NetUser cmdlet-a:
PowerView instalatzea ez da arazo larria - ikusi zuk zeuk orrialdean . Eta are garrantzitsuagoa dena, ez duzu pribilegio handirik behar PowerView komando asko exekutatzeko, hala nola get-NetUser. Modu honetan, langile motibatua baina ez oso teknologikoa trebatzen hasi daiteke ADrekin ahalegin handirik gabe.
Goiko pantaila-argazkitik, barruko batek Cruellari buruz asko ikas dezakeela ikus dezakezu. Konturatu al zara βinformazioaβ eremuak erabiltzailearen ohitura pertsonalei eta pasahitzei buruzko informazioa erakusten duela?
Hau ez da aukera teorikoa. Bertatik Testu arrunteko pasahitzak aurkitzeko AD eskaneatzen dutela jakin nuen, eta askotan saiakera hauek arrakastatsuak izaten dira, zoritxarrez. Badakite enpresek arduragabekeriaz egiten dutela ADn informazioa, eta hurrengo gaiaz ez dakite izaten: AD baimenak.
Active Directory-k bere ACL-ak ditu
AD Erabiltzaile eta Ordenagailuen interfazeak AD objektuen baimenak ezartzeko aukera ematen du. AD-k ACLak ditu eta administratzaileek sarbidea eman edo ukatu dezakete haien bidez. ADUC View menuan "Aurreratua" sakatu behar duzu eta, ondoren, erabiltzailea irekitzean "Segurtasuna" fitxa ikusiko duzu non ACL ezarri duzun.
Nire Cruella egoeran, ez nuen nahi autentifikatutako erabiltzaile guztiek bere informazio pertsonala ikusi ahal izan zezaten, beraz, irakurtzeko sarbidea ukatu nien:
Eta orain erabiltzaile arrunt batek hau ikusiko du Get-NetUser PowerView-n saiatzen bada:
Jakina, informazio baliagarria ezkutatzea lortu nuen begi zurrunetatik. Erabiltzaile garrantzitsuentzat eskuragarri egon dadin, beste ACL bat sortu nuen VIP taldeko kideei (Cruella eta bere goi mailako beste lankideei) datu sentikor horietara sartzeko. Beste era batera esanda, eredu batean oinarritutako AD baimenak inplementatu nituen, eta horrek datu sentikorrak eskuraezin bihurtu zituen langile gehienentzat, Insiders barne.
Hala ere, talde-kidetasuna erabiltzaileentzat ikusezin bihur dezakezu AD-n taldeko objektuan ACL ezarriz. Horrek pribatutasunari eta segurtasunari dagokionez lagunduko du.
Berean PowerViews Get-NetGroupMember erabiliz talde-kidetasuna aztertuz sisteman nola nabiga dezakezun erakutsi nuen. Nire gidoian, irakurtzeko sarbidea mugatu nuen talde zehatz bateko kide izateko. Komandoa aldaketen aurretik eta ondoren exekutatzearen emaitza ikus dezakezu:
Cruella eta Monty Burnsen VIP taldean duten kidetasuna ezkutatu ahal izan nuen, hackerrek eta barrukoek azpiegitura arakatzea zailduz.
Argitalpen honek eremuak hurbilagotik ikustera motibatzeko asmoa zuen
AD eta erlazionatutako baimenak. AD baliabide bikaina da, baina pentsatu nola egingo zenukeen
isilpeko informazioa eta datu pertsonalak partekatu nahi izan ditu, batez ere
zure erakundeko goi karguei dagokienez.
Iturria: www.habr.com