Fixen probas de penetración usando e utilizouno para recuperar información do usuario de Active Directory (en adiante denominado AD). Nese momento, a miña énfase estaba na recollida de información sobre a pertenza ao grupo de seguridade e despois en usar esa información para navegar pola rede. De calquera xeito, AD contén datos confidenciais dos empregados, algúns dos cales realmente non deberían ser accesibles para todos na organización. De feito, nos sistemas de ficheiros de Windows hai un equivalente , que tamén pode ser usado por atacantes internos e externos.
Pero antes de falar de problemas de privacidade e de como solucionalos, vexamos os datos almacenados en AD.
Active Directory é o Facebook corporativo
Pero neste caso, xa fixeches amizade con todos! Quizais non saibas as películas, libros ou restaurantes favoritos dos teus compañeiros de traballo, pero AD contén información de contacto confidencial.
datos e outros campos que poden ser usados por piratas informáticos e mesmo por iniciados sen habilidades técnicas especiais.
Os administradores do sistema están familiarizados coa seguinte captura de pantalla. Esta é a interface Usuarios e ordenadores de Active Directory (ADUC) onde configuran e editan a información do usuario e asignan usuarios aos grupos apropiados.
AD contén campos para o nome do empregado, o enderezo e o número de teléfono, polo que é semellante a un directorio telefónico. Pero hai moito máis! Outras pestanas tamén inclúen enderezos de correo electrónico e web, xestor de liñas e notas.
Todos os membros da organización necesitan ver esta información, especialmente nunha época , cando cada novo detalle facilita aínda máis a busca de máis información?
Por suposto que non! O problema agrávase cando os datos da alta dirección dunha empresa están dispoñibles para todos os empregados.
PowerView para todos
Aquí é onde entra en xogo PowerView. Ofrece unha interface PowerShell moi amigable para as funcións subxacentes (e confusas) de Win32 que acceden a AD. En resumo:
isto fai que a recuperación dos campos AD sexa tan fácil como escribir un cmdlet moi curto.
Poñamos un exemplo de recollida de información sobre un empregado de Cruella Deville, que é un dos líderes da empresa. Para facelo, use o cmdlet get-NetUser de PowerView:
A instalación de PowerView non é un problema serio; comprobeo vostede mesmo na páxina . E máis importante aínda, non precisa de privilexios elevados para executar moitos comandos de PowerView, como get-NetUser. Deste xeito, un empregado motivado pero non moi experto en tecnoloxía pode comezar a xogar con AD sen moito esforzo.
Na captura de pantalla anterior, podes ver que unha persoa privilegiada pode aprender rapidamente moito sobre Cruella. Tamén notaches que o campo "información" revela información sobre os hábitos persoais e o contrasinal do usuario?
Esta non é unha posibilidade teórica. Desde Aprendín que analizan AD para atopar contrasinais de texto claro, e moitas veces estes intentos teñen éxito. Saben que as empresas son descoidadas coa información en AD e adoitan descoñecer o seguinte tema: os permisos de AD.
Active Directory ten as súas propias ACL
A interface Usuarios e ordenadores de AD permítelle establecer permisos nos obxectos de AD. AD ten ACL e os administradores poden conceder ou denegar o acceso a través delas. Debe facer clic en "Avanzado" no menú ADUC View e despois cando abra o usuario verá a pestana "Seguridade" onde estableceu a ACL.
No meu escenario de Cruella, non quería que todos os usuarios autenticados puidesen ver a súa información persoal, polo que lles neguei o acceso de lectura:
E agora un usuario normal verá isto se proba Get-NetUser en PowerView:
Conseguín ocultar información obviamente útil das miradas indiscretas. Para mantelo accesible aos usuarios relevantes, creei outra ACL para permitir que os membros do grupo VIP (Cruella e os seus outros colegas de alto rango) accedan a estes datos sensibles. Noutras palabras, implementei os permisos de AD baseados nun modelo a seguir, o que fixo que os datos confidenciais fosen inaccesibles para a maioría dos empregados, incluídos os Insiders.
Non obstante, pode facer que a pertenza ao grupo sexa invisible para os usuarios configurando a ACL no obxecto do grupo en AD en consecuencia. Isto axudará en termos de privacidade e seguridade.
No seu Mostrei como pode navegar polo sistema examinando a pertenza ao grupo usando PowerViews Get-NetGroupMember. No meu guión, restrinxen o acceso de lectura á pertenza a un grupo específico. Podes ver o resultado de executar o comando antes e despois dos cambios:
Puiden ocultar a pertenza de Cruella e Monty Burns ao grupo VIP, o que dificultaba que os piratas informáticos e os iniciados explorasen a infraestrutura.
Esta publicación estaba pensada para motivarte a que tiveses unha ollada máis atenta aos campos
AD e permisos relacionados. AD é un gran recurso, pero pensa como o farías
quería compartir información confidencial e datos persoais, especialmente
cando se trata dos máximos responsables da súa organización.
Fonte: www.habr.com