Fixen probas de penetración usando
Pero antes de falar de problemas de privacidade e de como solucionalos, vexamos os datos almacenados en AD.
Active Directory é o Facebook corporativo
Pero neste caso, xa fixeches amizade con todos! Quizais non saibas as películas, libros ou restaurantes favoritos dos teus compañeiros de traballo, pero AD contén información de contacto confidencial.
datos e outros campos que poden ser usados por piratas informáticos e mesmo por iniciados sen habilidades técnicas especiais.
Os administradores do sistema están familiarizados coa seguinte captura de pantalla. Esta é a interface Usuarios e ordenadores de Active Directory (ADUC) onde configuran e editan a información do usuario e asignan usuarios aos grupos apropiados.
AD contén campos para o nome do empregado, o enderezo e o número de teléfono, polo que é semellante a un directorio telefónico. Pero hai moito máis! Outras pestanas tamén inclúen enderezos de correo electrónico e web, xestor de liñas e notas.
Todos os membros da organización necesitan ver esta información, especialmente nunha época
Por suposto que non! O problema agrávase cando os datos da alta dirección dunha empresa están dispoñibles para todos os empregados.
PowerView para todos
Aquí é onde entra en xogo PowerView. Ofrece unha interface PowerShell moi amigable para as funcións subxacentes (e confusas) de Win32 que acceden a AD. En resumo:
isto fai que a recuperación dos campos AD sexa tan fácil como escribir un cmdlet moi curto.
Poñamos un exemplo de recollida de información sobre un empregado de Cruella Deville, que é un dos líderes da empresa. Para facelo, use o cmdlet get-NetUser de PowerView:
A instalación de PowerView non é un problema serio; comprobeo vostede mesmo na páxina
Na captura de pantalla anterior, podes ver que unha persoa privilegiada pode aprender rapidamente moito sobre Cruella. Tamén notaches que o campo "información" revela información sobre os hábitos persoais e o contrasinal do usuario?
Esta non é unha posibilidade teórica. Desde
Active Directory ten as súas propias ACL
A interface Usuarios e ordenadores de AD permítelle establecer permisos nos obxectos de AD. AD ten ACL e os administradores poden conceder ou denegar o acceso a través delas. Debe facer clic en "Avanzado" no menú ADUC View e despois cando abra o usuario verá a pestana "Seguridade" onde estableceu a ACL.
No meu escenario de Cruella, non quería que todos os usuarios autenticados puidesen ver a súa información persoal, polo que lles neguei o acceso de lectura:
E agora un usuario normal verá isto se proba Get-NetUser en PowerView:
Conseguín ocultar información obviamente útil das miradas indiscretas. Para mantelo accesible aos usuarios relevantes, creei outra ACL para permitir que os membros do grupo VIP (Cruella e os seus outros colegas de alto rango) accedan a estes datos sensibles. Noutras palabras, implementei os permisos de AD baseados nun modelo a seguir, o que fixo que os datos confidenciais fosen inaccesibles para a maioría dos empregados, incluídos os Insiders.
Non obstante, pode facer que a pertenza ao grupo sexa invisible para os usuarios configurando a ACL no obxecto do grupo en AD en consecuencia. Isto axudará en termos de privacidade e seguridade.
No seu
Puiden ocultar a pertenza de Cruella e Monty Burns ao grupo VIP, o que dificultaba que os piratas informáticos e os iniciados explorasen a infraestrutura.
Esta publicación estaba pensada para motivarte a que tiveses unha ollada máis atenta aos campos
AD e permisos relacionados. AD é un gran recurso, pero pensa como o farías
quería compartir información confidencial e datos persoais, especialmente
cando se trata dos máximos responsables da súa organización.
Fonte: www.habr.com