Tha mi air deuchainn treòrachaidh a dhèanamh a’ cleachdadh agus chleachd e e gus fiosrachadh luchd-cleachdaidh fhaighinn air ais bho Active Directory (ris an canar AD an-seo). Aig an àm, bha an cuideam agam air a bhith a’ cruinneachadh fiosrachadh ballrachd buidhne tèarainteachd agus an uairsin a’ cleachdadh an fhiosrachaidh sin gus an lìonra a sheòladh. Co-dhiù, tha dàta luchd-obrach mothachail ann an AD, agus cha bu chòir cuid dhiubh sin a bhith ruigsinneach don h-uile duine sa bhuidheann. Gu dearbh, ann an siostaman faidhle Windows tha co-ionann ann , a dh'fhaodas luchd-ionnsaigh a-staigh agus a-muigh a chleachdadh cuideachd.
Ach mus bruidhinn sinn mu chùisean prìobhaideachd agus mar as urrainn dhut an càradh, leig dhuinn sùil a thoirt air an dàta a tha air a stòradh ann an AD.
Is e Active Directory am Facebook corporra
Ach anns a 'chùis seo, tha thu mu thràth air caraidean a dhèanamh leis a h-uile duine! Is dòcha nach eil fios agad mu na filmichean, na leabhraichean no na taighean-bìdh as fheàrr le do cho-obraichean, ach tha fiosrachadh conaltraidh mothachail aig AD.
dàta agus raointean eile a dh’ fhaodar a chleachdadh le hackers agus eadhon insiders gun sgilean teicnigeach sònraichte.
Gu dearbh tha luchd-rianachd an t-siostaim eòlach air an ath-dhealbh gu h-ìosal. Is e seo an eadar-aghaidh Active Directory Users and Computers (ADUC) far am bi iad a’ suidheachadh agus a’ deasachadh fiosrachadh luchd-cleachdaidh agus a’ sònrachadh luchd-cleachdaidh gu buidhnean iomchaidh.
Ann an AD tha raointean airson ainm neach-obrach, seòladh, agus àireamh fòn, agus mar sin tha e coltach ri leabhar fòn. Ach tha tòrr a bharrachd ann! Tha tabaichean eile cuideachd a’ toirt a-steach post-d agus seòladh lìn, manaidsear loidhne, agus notaichean.
Am feum a h-uile duine sa bhuidheann am fiosrachadh seo fhaicinn, gu sònraichte ann an linn , nuair a bhios a h-uile mion-fhiosrachadh ùr ga dhèanamh eadhon nas fhasa barrachd fiosrachaidh a lorg?
Gu dearbh chan eil! Tha an duilgheadas nas miosa nuair a tha dàta bho àrd-luchd-stiùiridh companaidh ri fhaighinn don h-uile neach-obrach.
PowerView airson a h-uile duine
Seo far a bheil PowerView a’ tighinn a-steach. Tha e a’ toirt seachad eadar-aghaidh PowerShell a tha furasta a chleachdadh airson na gnìomhan Win32 bunaiteach (agus troimh-chèile) a gheibh cothrom air AD. Ann an ùine ghoirid:
tha seo ga dhèanamh cho furasta raointean AD fhaighinn air ais ri bhith a’ sgrìobhadh cmdlet gu math goirid.
Gabhamaid eisimpleir de bhith a’ cruinneachadh fiosrachaidh mu neach-obrach aig Cruella Deville, a tha mar aon de stiùirichean a’ chompanaidh. Gus seo a dhèanamh, cleachd an cmdlet get-NetUser PowerView:
Chan e fìor dhuilgheadas a th’ ann an stàladh PowerView - faic dhut fhèin air an duilleag . Agus nas cudromaiche, chan fheum thu sochairean àrdaichte gus mòran òrdughan PowerView a ruith, leithid get-NetUser. San dòigh seo, faodaidh neach-obrach brosnaichte ach nach eil gu math tech-eòlach tòiseachadh a’ tinkering le AD gun mòran oidhirp.
Bhon dealbh-sgrìn gu h-àrd, chì thu gum faod neach a-staigh tòrr ionnsachadh mu Cruella gu sgiobalta. An do mhothaich thu cuideachd gu bheil an raon “fiosrachadh” a’ nochdadh fiosrachadh mu chleachdaidhean pearsanta agus facal-faire an neach-cleachdaidh?
Chan e comas teòiridheach a tha seo. Bho Dh’ ionnsaich mi gu bheil iad a’ sganadh AD gus faclan-faire teacsa lom a lorg, agus gu tric bidh na h-oidhirpean sin soirbheachail gu mì-fhortanach. Tha fios aca gu bheil companaidhean mì-chùramach le fiosrachadh ann an AD, agus tha iad buailteach a bhith aineolach air an ath chuspair: ceadan AD.
Tha na ACLan fhèin aig Active Directory
Leigidh an eadar-aghaidh AD Users and Computers leat ceadan a shuidheachadh air nithean AD. Tha ACL aig AD agus faodaidh luchd-rianachd ruigsinneachd a thoirt seachad no a dhiùltadh troimhe. Feumaidh tu briogadh air “Adhartach” anns a’ chlàr ADUC View agus an uairsin nuair a dh’ fhosglas tu an cleachdaiche chì thu an taba “Security” far an do shuidhich thu an ACL.
Anns an t-suidheachadh Cruella agam, cha robh mi airson gum biodh a h-uile cleachdaiche dearbhte comasach air am fiosrachadh pearsanta aice fhaicinn, agus mar sin dhiùlt mi cothrom a leughadh dhaibh:
Agus a-nis chì neach-cleachdaidh àbhaisteach seo ma dh'fheuchas iad Get-NetUser ann an PowerView:
Chaidh agam air fiosrachadh a bha follaiseach feumail a chuir am falach bho shùilean eagallach. Gus a chumail ruigsinneach do luchd-cleachdaidh iomchaidh, chruthaich mi ACL eile gus leigeil le buill den bhuidheann VIP (Cruella agus a co-obraichean àrd-inbhe eile) faighinn chun dàta mothachail seo. Ann am faclan eile, chuir mi an gnìomh ceadan AD stèidhichte air modal dreuchd, a thug air dàta mothachail a bhith ruigsinneach don mhòr-chuid de luchd-obrach, Insiders nam measg.
Ach, faodaidh tu ballrachd buidhne a dhèanamh do-fhaicsinneach do luchd-cleachdaidh le bhith a’ suidheachadh an ACL air nì a’ chuantail ann an AD a rèir sin. Cuidichidh seo a thaobh prìobhaideachd agus tèarainteachd.
Anns na Sheall mi mar as urrainn dhut an siostam a stiùireadh le bhith a’ sgrùdadh ballrachd buidhne a’ cleachdadh PowerViews Get-NetGroupMember. Anns an sgriobt agam, chuir mi casg air ruigsinneachd leughaidh gu ballrachd ann am buidheann sònraichte. Chì thu toradh ruith an àithne ro agus às deidh na h-atharrachaidhean:
Bha e comasach dhomh ballrachd Cruella agus Monty Burns a chuir am falach anns a’ bhuidheann VIP, ga dhèanamh duilich dha luchd-hackers agus insiders am bun-structar a sgrùdadh.
Bha an dreuchd seo airson do bhrosnachadh gus sùil nas mionaidiche a thoirt air na raointean
AD agus ceadan co-cheangailte. Tha AD na ghoireas math, ach smaoinich air mar a dhèanadh tu
ag iarraidh fiosrachadh dìomhair agus dàta pearsanta a cho-roinn, gu sònraichte
nuair a thig e gu prìomh oifigearan na buidhne agad.
Source: www.habr.com