Օգտագործելով PowerShell-ը տեղական հաշիվների արտոնությունը բարձրացնելու համար

Արտոնությունների ընդլայնումը հարձակվողի կողմից հաշվի ընթացիկ իրավունքների օգտագործումն է՝ համակարգ մուտք գործելու լրացուցիչ, սովորաբար ավելի բարձր մակարդակ ստանալու համար: Թեև արտոնությունների էսկալացիան կարող է լինել զրոյական օրվա խոցելիության կամ առաջին կարգի հաքերների աշխատանքի, որոնք իրականացնում են թիրախավորված հարձակում, կամ խելացիորեն քողարկված չարամիտ ծրագրերի հետևանք, դա ամենից հաճախ պայմանավորված է համակարգչի կամ հաշվի սխալ կազմաձևմամբ: Հարձակումը հետագայում զարգացնելով՝ հարձակվողներն օգտագործում են մի շարք անհատական ​​խոցելիություններ, որոնք միասին կարող են հանգեցնել տվյալների աղետալի արտահոսքի:

Ինչու՞ օգտվողները չպետք է ունենան տեղական ադմինիստրատորի իրավունքներ:

Եթե ​​դուք անվտանգության մասնագետ եք, կարող է ակնհայտ թվալ, որ օգտվողները չպետք է ունենան տեղական ադմինիստրատորի իրավունքներ, քանի որ սա.

• Նրանց հաշիվներն ավելի խոցելի է դարձնում տարբեր հարձակումների նկատմամբ
• Նույն հարձակումները շատ ավելի դաժան է դարձնում

Ցավոք, շատ կազմակերպությունների համար սա դեռ շատ վիճելի հարց է և երբեմն ուղեկցվում է բուռն քննարկումներով (տե՛ս, օրինակ. իմ ղեկավարն ասում է, որ բոլոր օգտվողները պետք է լինեն տեղական ադմիններ) Չխորանալով այս քննարկման մանրամասների մեջ՝ մենք կարծում ենք, որ հարձակվողը ձեռք է բերել տեղական ադմինիստրատորի իրավունքներ հետաքննության ենթակա համակարգում՝ կա՛մ շահագործման միջոցով, կա՛մ այն ​​պատճառով, որ մեքենաները պատշաճ կերպով պաշտպանված չեն եղել:

Քայլ 1Հակադարձ DNS բանաձեւը PowerShell-ով

Լռելյայնորեն, PowerShell-ը տեղադրված է շատ տեղական աշխատակայաններում և Windows սերվերների մեծ մասում: Եվ չնայած առանց չափազանցության չէ, որ այն համարվում է աներևակայելի օգտակար ավտոմատացման և կառավարման գործիք, այն հավասարապես ի վիճակի է վերածվել գրեթե անտեսանելիի: առանց ֆայլի չարամիտ ծրագիր (հաքերի ծրագիր, որը հարձակման հետքեր չի թողնում):

Մեր դեպքում հարձակվողը սկսում է ցանցի հետախուզում կատարել՝ օգտագործելով PowerShell սկրիպտը, հաջորդաբար կրկնելով ցանցի IP հասցեի տարածությունը՝ փորձելով որոշել, թե արդյոք տվյալ IP-ն լուծվում է հոսթին, և եթե այո, ապա ո՞րն է այս հոսթի ցանցի անունը:
Այս առաջադրանքն իրականացնելու բազմաթիվ եղանակներ կան, բայց օգտագործելով cmdlet Ստանալ-ADComputer-ը ամուր տարբերակ է, քանի որ այն վերադարձնում է իսկապես հարուստ տվյալների յուրաքանչյուր հանգույցի մասին.

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

Եթե ​​մեծ ցանցերում արագությունը խնդիր է, ապա կարող է օգտագործվել DNS հետադարձ զանգ.

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

Ցանցում հոսթինգների ցուցակագրման այս մեթոդը շատ տարածված է, քանի որ ցանցերի մեծ մասը չի օգտագործում զրոյական վստահության անվտանգության մոդել և չի վերահսկում ներքին DNS հարցումները կասկածելի ակտիվության համար:

Քայլ 2. Ընտրեք թիրախ

Այս քայլի վերջնական արդյունքը սերվերի և աշխատակայանների հոսթների անունների ցուցակ ստանալն է, որոնք կարող են օգտագործվել հարձակումը շարունակելու համար:

Անվանումից «HUB-FILER» սերվերը թվում է արժանի թիրախ, քանի որ ժամանակի ընթացքում ֆայլերի սերվերները, որպես կանոն, կուտակում են մեծ թվով ցանցային թղթապանակներ և չափից շատ մարդկանց կողմից դրանց ավելորդ մուտք:

Windows Explorer-ով զննարկումը թույլ է տալիս մեզ հայտնաբերել բաց ընդհանուր թղթապանակի առկայությունը, սակայն մեր ընթացիկ հաշիվը չի կարող մուտք գործել դրան (հավանաբար մենք ունենք միայն ցուցակման իրավունքներ):

Քայլ 3. Սովորեք ACL-ները

Այժմ, մեր HUB-FILER հոսթի և թիրախային համօգտագործման վրա, մենք կարող ենք գործարկել PowerShell սկրիպտը ACL-ը ստանալու համար: Մենք կարող ենք դա անել տեղական մեքենայից, քանի որ մենք արդեն ունենք տեղական ադմինիստրատորի իրավունքներ.

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

Կատարման արդյունքը.

Դրանից մենք տեսնում ենք, որ Domain Users խմբին հասանելի է միայն ցուցակը, բայց Helpdesk խումբը նույնպես փոխելու իրավունք ունի:

Քայլ 4. Հաշվի նույնականացում

Վազում Get-ADGroupMember, մենք կարող ենք ստանալ այս խմբի բոլոր անդամներին՝

Get-ADGroupMember -identity Helpdesk

Այս ցուցակում մենք տեսնում ենք համակարգչային հաշիվ, որը մենք արդեն նույնականացրել ենք և արդեն մուտք ենք գործել.

Քայլ 5. Օգտագործեք PSExec՝ որպես համակարգչային հաշիվ գործարկելու համար

psexec Microsoft Sysinternals-ից թույլ է տալիս հրամաններ կատարել SYSTEM@HUB-SHAREPOINT համակարգի հաշվի համատեքստում, որը մենք գիտենք, որ Helpdesk թիրախային խմբի անդամ է: Այսինքն, մենք պարզապես պետք է անենք.

PsExec.exe -s -i cmd.exe

Դե, ուրեմն դուք լիարժեք մուտք ունեք դեպի թիրախային թղթապանակ HUB-FILERshareHR, քանի որ դուք աշխատում եք HUB-SHAREPOINT համակարգչային հաշվի համատեքստում: Եվ այս հասանելիությամբ տվյալները կարող են պատճենվել շարժական պահեստավորման սարքին կամ այլ կերպ առբերվել և փոխանցվել ցանցով:

Քայլ 6. Այս հարձակումը հայտնաբերելը

Հաշվի արտոնությունների կարգավորման այս կոնկրետ խոցելիությունը (համակարգչային հաշիվներ, որոնք մուտք են գործում ցանցի բաժնետոմսեր՝ օգտատերերի կամ ծառայության հաշիվների փոխարեն): Այնուամենայնիվ, առանց համապատասխան գործիքների, դա շատ դժվար է անել:

Այս կատեգորիայի հարձակումները հայտնաբերելու և կանխելու համար մենք կարող ենք օգտագործել DataAdvantage նույնականացնել խմբերը, որոնցում կան համակարգչային հաշիվներ, այնուհետև մերժել դրանց մուտքը: DataAlert գնում է ավելի հեռու և թույլ է տալիս ստեղծել ծանուցում հատուկ այս տեսակի սցենարի համար:

Ստորև բերված սքրինշոթը ցույց է տալիս հատուկ ծանուցում, որը կգործարկվի ամեն անգամ, երբ համակարգչային հաշիվը մուտք է գործում վերահսկվող սերվերի տվյալները:

Հաջորդ քայլերը PowerShell-ի հետ

Ցանկանու՞մ եք ավելին իմանալ: Ամբողջական անվճար մուտքի համար օգտագործեք «բլոգի» բացման կոդը PowerShell և Active Directory Basics վիդեո դասընթաց.

Source: www.habr.com