J'ai fait des tests d'intrusion en utilisant
Mais avant de parler des problèmes de confidentialité et de la manière de les résoudre, examinons les données stockées dans AD.
Active Directory est le Facebook d'entreprise
Mais dans ce cas, vous êtes déjà devenu ami avec tout le monde ! Vous ne connaissez peut-être pas les films, livres ou restaurants préférés de vos collègues, mais AD contient des informations de contact sensibles.
données et autres champs qui peuvent être utilisés par des pirates informatiques et même par des initiés sans compétences techniques particulières.
Les administrateurs système connaissent bien sûr la capture d'écran ci-dessous. Il s'agit de l'interface Utilisateurs et ordinateurs Active Directory (ADUC) où ils définissent et modifient les informations utilisateur et attribuent les utilisateurs aux groupes appropriés.
AD contient des champs pour le nom, l'adresse et le numéro de téléphone de l'employé, il est donc similaire à un annuaire téléphonique. Mais il y a bien plus encore ! D'autres onglets incluent également l'adresse e-mail et Web, le supérieur hiérarchique et les notes.
Est-ce que tout le monde dans l'organisation a besoin de voir ces informations, surtout à une époque
Bien sûr que non! Le problème est aggravé lorsque les données de la haute direction d’une entreprise sont accessibles à tous les employés.
PowerView pour tous
C'est là que PowerView entre en jeu. Il fournit une interface PowerShell très conviviale aux fonctions Win32 sous-jacentes (et déroutantes) qui accèdent à AD. En bref:
cela rend la récupération des champs AD aussi simple que de taper une applet de commande très courte.
Prenons un exemple de collecte d'informations sur un employé de Cruella Deville, qui est l'un des dirigeants de l'entreprise. Pour ce faire, utilisez l'applet de commande PowerView get-NetUser :
L'installation de PowerView n'est pas un problème sérieux - voyez par vous-même sur la page
À partir de la capture d’écran ci-dessus, vous pouvez voir qu’un initié peut rapidement en apprendre beaucoup sur Cruella. Avez-vous également remarqué que le champ « info » révèle des informations sur les habitudes personnelles et le mot de passe de l’utilisateur ?
Ce n’est pas une possibilité théorique. Depuis
Active Directory possède ses propres ACL
L'interface Utilisateurs et ordinateurs AD vous permet de définir des autorisations sur les objets AD. AD dispose d'ACL et les administrateurs peuvent accorder ou refuser l'accès via celles-ci. Vous devez cliquer sur "Avancé" dans le menu Affichage ADUC, puis lorsque vous ouvrez l'utilisateur, vous verrez l'onglet "Sécurité" dans lequel vous définissez l'ACL.
Dans mon scénario Cruella, je ne voulais pas que tous les utilisateurs authentifiés puissent voir ses informations personnelles, je leur ai donc refusé l'accès en lecture :
Et maintenant, un utilisateur normal verra ceci s'il essaie Get-NetUser dans PowerView :
J'ai réussi à cacher des informations évidemment utiles aux regards indiscrets. Pour le garder accessible aux utilisateurs concernés, j'ai créé une autre ACL pour permettre aux membres du groupe VIP (Cruella et ses autres collègues de haut rang) d'accéder à ces données sensibles. En d’autres termes, j’ai mis en place des autorisations AD basées sur un modèle de rôle, qui rendaient les données sensibles inaccessibles à la plupart des employés, y compris les Insiders.
Cependant, vous pouvez rendre l'appartenance à un groupe invisible pour les utilisateurs en définissant en conséquence l'ACL sur l'objet de groupe dans AD. Cela aidera en termes de confidentialité et de sécurité.
Dans son
J'ai pu cacher l'appartenance de Cruella et Monty Burns au groupe VIP, ce qui a rendu difficile la reconnaissance de l'infrastructure par les pirates informatiques et les initiés.
Cet article avait pour but de vous motiver à regarder de plus près les champs
AD et autorisations associées. AD est une excellente ressource, mais réfléchissez à la façon dont vous le feriez
souhaitait partager des informations confidentielles et des données personnelles, notamment
lorsqu'il s'agit des hauts responsables de votre organisation.
Source: habr.com