Sartze probak erabiliz egin ditut
Baina pribatutasun-arazoei buruz eta horiek konpontzeko moduari buruz hitz egin baino lehen, ikus ditzagun AD-n gordetako datuak.
Active Directory Facebook korporatiboa da
Baina kasu honetan, dagoeneko denekin lagun egin duzu! Baliteke lankideen film, liburu edo jatetxe gogokoenen berri ez izatea, baina AD-k harremanetarako informazio sentikorra du.
hackerrek eta baita barnekoek ere trebetasun tekniko berezirik gabe erabil ditzaketen datuak eta beste eremu batzuk.
Sistema-administratzaileek beheko pantaila-argazkia ezagutzen dute noski. Hau Active Directory Users and Computers (ADUC) interfazea da, non erabiltzailearen informazioa ezartzen eta editatzen duten eta erabiltzaileak talde egokiak esleitzen dituzten.
ADk langilearen izena, helbidea eta telefono-zenbakiaren eremuak ditu, beraz, telefono-liburutegi baten antzekoa da. Baina askoz gehiago dago! Beste fitxa batzuk, halaber, helbide elektronikoa eta web helbidea, lerro-kudeatzailea eta oharrak daude.
Erakundeko guztiek ikusi behar al dute informazio hori, batez ere garai batean
Noski ezetz! Arazoa areagotu egiten da enpresa bateko goi zuzendaritzaren datuak langile guztien eskura daudenean.
PowerView guztientzako
Hemen sartzen da PowerView jokoa. Oso erabilerraza den PowerShell interfazea eskaintzen du AD atzitzen duten Win32 funtzioen azpian (eta nahasgarrian). Laburbilduz:
honek AD eremuak berreskuratzea cmdlet oso laburra idaztea bezain erraza da.
Har dezagun adibide bat Cruella Deville-ko langile bati buruzko informazioa biltzearen adibidea, hau da, konpainiako buruzagietako bat dena. Horretarako, erabili PowerView get-NetUser cmdlet-a:
PowerView instalatzea ez da arazo larria - ikusi zuk zeuk orrialdean
Goiko pantaila-argazkitik, barruko batek Cruellari buruz asko ikas dezakeela ikus dezakezu. Konturatu al zara βinformazioaβ eremuak erabiltzailearen ohitura pertsonalei eta pasahitzei buruzko informazioa erakusten duela?
Hau ez da aukera teorikoa. Bertatik
Active Directory-k bere ACL-ak ditu
AD Erabiltzaile eta Ordenagailuen interfazeak AD objektuen baimenak ezartzeko aukera ematen du. AD-k ACLak ditu eta administratzaileek sarbidea eman edo ukatu dezakete haien bidez. ADUC View menuan "Aurreratua" sakatu behar duzu eta, ondoren, erabiltzailea irekitzean "Segurtasuna" fitxa ikusiko duzu non ACL ezarri duzun.
Nire Cruella egoeran, ez nuen nahi autentifikatutako erabiltzaile guztiek bere informazio pertsonala ikusi ahal izan zezaten, beraz, irakurtzeko sarbidea ukatu nien:
Eta orain erabiltzaile arrunt batek hau ikusiko du Get-NetUser PowerView-n saiatzen bada:
Jakina, informazio baliagarria ezkutatzea lortu nuen begi zurrunetatik. Erabiltzaile garrantzitsuentzat eskuragarri egon dadin, beste ACL bat sortu nuen VIP taldeko kideei (Cruella eta bere goi mailako beste lankideei) datu sentikor horietara sartzeko. Beste era batera esanda, eredu batean oinarritutako AD baimenak inplementatu nituen, eta horrek datu sentikorrak eskuraezin bihurtu zituen langile gehienentzat, Insiders barne.
Hala ere, talde-kidetasuna erabiltzaileentzat ikusezin bihur dezakezu AD-n taldeko objektuan ACL ezarriz. Horrek pribatutasunari eta segurtasunari dagokionez lagunduko du.
Berean
Cruella eta Monty Burnsen VIP taldean duten kidetasuna ezkutatu ahal izan nuen, hackerrek eta barrukoek azpiegitura arakatzea zailduz.
Argitalpen honek eremuak hurbilagotik ikustera motibatzeko asmoa zuen
AD eta erlazionatutako baimenak. AD baliabide bikaina da, baina pentsatu nola egingo zenukeen
isilpeko informazioa eta datu pertsonalak partekatu nahi izan ditu, batez ere
zure erakundeko goi karguei dagokienez.
Iturria: www.habr.com