J'ai fait des tests d'intrusion en utilisant et l'a utilisé pour récupérer les informations utilisateur d'Active Directory (ci-après dénommé AD). À l’époque, mon objectif était de collecter des informations sur les membres des groupes de sécurité, puis d’utiliser ces informations pour naviguer sur le réseau. Quoi qu’il en soit, AD contient des données sensibles sur les employés, dont certaines ne devraient pas être accessibles à tous les membres de l’organisation. En fait, dans les systèmes de fichiers Windows, il existe un équivalent , qui peut également être utilisé par des attaquants internes et externes.
Mais avant de parler des problèmes de confidentialité et de la manière de les résoudre, examinons les données stockées dans AD.
Active Directory est le Facebook d'entreprise
Mais dans ce cas, vous êtes déjà devenu ami avec tout le monde ! Vous ne connaissez peut-être pas les films, livres ou restaurants préférés de vos collègues, mais AD contient des informations de contact sensibles.
données et autres champs qui peuvent être utilisés par des pirates informatiques et même par des initiés sans compétences techniques particulières.
Les administrateurs système connaissent bien sûr la capture d'écran ci-dessous. Il s'agit de l'interface Utilisateurs et ordinateurs Active Directory (ADUC) où ils définissent et modifient les informations utilisateur et attribuent les utilisateurs aux groupes appropriés.
AD contient des champs pour le nom, l'adresse et le numéro de téléphone de l'employé, il est donc similaire à un annuaire téléphonique. Mais il y a bien plus encore ! D'autres onglets incluent également l'adresse e-mail et Web, le supérieur hiérarchique et les notes.
Est-ce que tout le monde dans l'organisation a besoin de voir ces informations, surtout à une époque , quand chaque nouveau détail rend la recherche d'informations encore plus facile ?
Bien sûr que non! Le problème est aggravé lorsque les données de la haute direction d’une entreprise sont accessibles à tous les employés.
PowerView pour tous
C'est là que PowerView entre en jeu. Il fournit une interface PowerShell très conviviale aux fonctions Win32 sous-jacentes (et déroutantes) qui accèdent à AD. En bref:
cela rend la récupération des champs AD aussi simple que de taper une applet de commande très courte.
Prenons un exemple de collecte d'informations sur un employé de Cruella Deville, qui est l'un des dirigeants de l'entreprise. Pour ce faire, utilisez l'applet de commande PowerView get-NetUser :
L'installation de PowerView n'est pas un problème sérieux - voyez par vous-même sur la page . Et plus important encore, vous n'avez pas besoin de privilèges élevés pour exécuter de nombreuses commandes PowerView, telles que get-NetUser. De cette façon, un employé motivé mais peu féru de technologie peut commencer à bricoler AD sans trop d’effort.
À partir de la capture d’écran ci-dessus, vous pouvez voir qu’un initié peut rapidement en apprendre beaucoup sur Cruella. Avez-vous également remarqué que le champ « info » révèle des informations sur les habitudes personnelles et le mot de passe de l’utilisateur ?
Ce n’est pas une possibilité théorique. Depuis J'ai appris qu'ils analysent AD pour trouver des mots de passe en clair, et souvent ces tentatives réussissent malheureusement. Ils savent que les entreprises sont négligentes avec les informations contenues dans AD et ont tendance à ignorer le sujet suivant : les autorisations AD.
Active Directory possède ses propres ACL
L'interface Utilisateurs et ordinateurs AD vous permet de définir des autorisations sur les objets AD. AD dispose d'ACL et les administrateurs peuvent accorder ou refuser l'accès via celles-ci. Vous devez cliquer sur "Avancé" dans le menu Affichage ADUC, puis lorsque vous ouvrez l'utilisateur, vous verrez l'onglet "Sécurité" dans lequel vous définissez l'ACL.
Dans mon scénario Cruella, je ne voulais pas que tous les utilisateurs authentifiés puissent voir ses informations personnelles, je leur ai donc refusé l'accès en lecture :
Et maintenant, un utilisateur normal verra ceci s'il essaie Get-NetUser dans PowerView :
J'ai réussi à cacher des informations évidemment utiles aux regards indiscrets. Pour le garder accessible aux utilisateurs concernés, j'ai créé une autre ACL pour permettre aux membres du groupe VIP (Cruella et ses autres collègues de haut rang) d'accéder à ces données sensibles. En d’autres termes, j’ai mis en place des autorisations AD basées sur un modèle de rôle, qui rendaient les données sensibles inaccessibles à la plupart des employés, y compris les Insiders.
Cependant, vous pouvez rendre l'appartenance à un groupe invisible pour les utilisateurs en définissant en conséquence l'ACL sur l'objet de groupe dans AD. Cela aidera en termes de confidentialité et de sécurité.
Dans son J'ai montré comment naviguer dans le système en examinant l'appartenance à un groupe à l'aide de PowerViews Get-NetGroupMember. Dans mon script, j'ai restreint l'accès en lecture à l'adhésion à un groupe spécifique. Vous pouvez voir le résultat de l'exécution de la commande avant et après les modifications :
J'ai pu cacher l'appartenance de Cruella et Monty Burns au groupe VIP, ce qui a rendu difficile la reconnaissance de l'infrastructure par les pirates informatiques et les initiés.
Cet article avait pour but de vous motiver à regarder de plus près les champs
AD et autorisations associées. AD est une excellente ressource, mais réfléchissez à la façon dont vous le feriez
souhaitait partager des informations confidentielles et des données personnelles, notamment
lorsqu'il s'agit des hauts responsables de votre organisation.
Source: habr.com