من با استفاده از تست نفوذ انجام داده ام و از آن برای بازیابی اطلاعات کاربر از اکتیو دایرکتوری (که از این پس AD نامیده می شود) استفاده کرد. در آن زمان، تاکید من بر جمع آوری اطلاعات عضویت در گروه امنیتی و سپس استفاده از آن اطلاعات برای حرکت در شبکه بود. در هر صورت، AD حاوی داده های حساس کارکنان است که برخی از آنها واقعاً نباید برای همه افراد سازمان قابل دسترسی باشد. در واقع در فایل سیستم های ویندوز معادلی وجود دارد ، که همچنین می تواند توسط مهاجمان داخلی و خارجی استفاده شود.
اما قبل از اینکه در مورد مسائل مربوط به حریم خصوصی و نحوه رفع آنها صحبت کنیم، اجازه دهید نگاهی به داده های ذخیره شده در AD بیندازیم.
اکتیو دایرکتوری فیسبوک شرکتی است
اما در این مورد، شما قبلاً با همه دوست شده اید! ممکن است درباره فیلمها، کتابها یا رستورانهای مورد علاقه همکارانتان ندانید، اما AD حاوی اطلاعات تماس حساس است.
داده ها و سایر زمینه هایی که هکرها و حتی خودی ها بدون مهارت فنی خاص می توانند از آنها استفاده کنند.
البته مدیران سیستم با تصویر زیر آشنا هستند. این رابط Active Directory Users and Computers (ADUC) است که در آن اطلاعات کاربر را تنظیم و ویرایش می کنند و کاربران را به گروه های مناسب اختصاص می دهند.
AD حاوی فیلدهایی برای نام کارمند، آدرس و شماره تلفن است، بنابراین شبیه یک فهرست تلفن است. اما خیلی بیشتر وجود دارد! سایر برگهها نیز شامل آدرس ایمیل و وب، مدیر خط و یادداشتها هستند.
آیا همه افراد در سازمان نیاز به دیدن این اطلاعات دارند، به خصوص در یک دوره ، وقتی هر جزئیات جدید جستجوی اطلاعات بیشتر را آسان تر می کند؟
البته که نه! مشکل زمانی تشدید میشود که دادههای مدیریت ارشد یک شرکت در دسترس همه کارکنان باشد.
PowerView برای همه
اینجاست که PowerView وارد عمل می شود. این یک رابط کاربری بسیار کاربرپسند PowerShell برای توابع زیربنایی (و گیج کننده) Win32 که به AD دسترسی دارند، ارائه می دهد. به اختصار:
این کار بازیابی فیلدهای AD را به آسانی تایپ کردن یک cmdlet بسیار کوتاه می کند.
بیایید نمونه ای از جمع آوری اطلاعات در مورد یکی از کارمندان Cruella Deville که یکی از رهبران این شرکت است را در نظر بگیریم. برای این کار از PowerView get-NetUser cmdlet استفاده کنید:
نصب PowerView مشکل جدی نیست - خودتان در صفحه ببینید . و مهمتر از آن، برای اجرای بسیاری از دستورات PowerView، مانند get-NetUser، به امتیازات بالاتری نیاز ندارید. به این ترتیب، یک کارمند با انگیزه اما نه چندان با فن آوری می تواند بدون تلاش زیاد شروع به سرهم بندی با AD کند.
از اسکرین شات بالا، می توانید ببینید که یک خودی می تواند به سرعت چیزهای زیادی در مورد کرولا یاد بگیرد. آیا شما همچنین متوجه شده اید که فیلد "اطلاعات" اطلاعاتی در مورد عادات شخصی و رمز عبور کاربر نشان می دهد؟
این یک امکان نظری نیست. از جانب من یاد گرفتم که آنها AD را برای یافتن رمزهای عبور متن ساده اسکن می کنند، و اغلب این تلاش ها متأسفانه موفقیت آمیز هستند. آنها می دانند که شرکت ها نسبت به اطلاعات موجود در AD بی احتیاطی هستند و تمایل دارند از موضوع بعدی بی اطلاع باشند: مجوزهای AD.
اکتیو دایرکتوری ACL های خاص خود را دارد
رابط AD Users and Computers به شما این امکان را می دهد که مجوزها را روی اشیاء AD تنظیم کنید. AD دارای ACL است و مدیران می توانند از طریق آنها دسترسی را اعطا یا رد کنند. شما باید روی "Advanced" در منوی ADUC View کلیک کنید و سپس وقتی کاربر را باز می کنید، تب "Security" را می بینید که در آن ACL را تنظیم کرده اید.
در سناریوی کرولا، من نمیخواستم همه کاربران احراز هویت شده بتوانند اطلاعات شخصی او را ببینند، بنابراین دسترسی خواندن آنها را رد کردم:
و حالا یک کاربر عادی اگر Get-NetUser را در PowerView امتحان کند، این را می بیند:
من موفق شدم اطلاعات مفید آشکار را از چشمان کنجکاو پنهان کنم. برای در دسترس نگه داشتن آن برای کاربران مرتبط، ACL دیگری ایجاد کردم تا به اعضای گروه VIP (کرولا و سایر همکاران رده بالای او) اجازه دسترسی به این داده های حساس را بدهم. به عبارت دیگر، من مجوزهای AD را بر اساس یک الگوی نقش اجرا کردم، که باعث میشود اطلاعات حساس برای اکثر کارمندان، از جمله Insiders، غیرقابل دسترسی باشد.
با این حال، میتوانید با تنظیم ACL روی شی گروه در AD، عضویت گروه را برای کاربران نامرئی کنید. این از نظر حفظ حریم خصوصی و امنیت کمک خواهد کرد.
در او من نشان دادم که چگونه می توانید با بررسی عضویت در گروه با استفاده از PowerViews Get-NetGroupMember در سیستم حرکت کنید. در اسکریپت خود، دسترسی خواندن را برای عضویت در یک گروه خاص محدود کردم. می توانید نتیجه اجرای دستور را قبل و بعد از تغییرات مشاهده کنید:
من توانستم عضویت کرولا و مونتی برنز را در گروه VIP مخفی کنم و این کار را برای هکرها و خودی ها برای جستجوی زیرساخت ها دشوار می کند.
این پست برای انگیزه دادن به شما برای نگاه دقیق تر به زمینه ها بود
AD و مجوزهای مرتبط AD یک منبع عالی است، اما به این فکر کنید که چگونه می خواهید
می خواستم به خصوص اطلاعات محرمانه و داده های شخصی را به اشتراک بگذارم
وقتی نوبت به مقامات ارشد سازمان شما می رسد.
منبع: www.habr.com