Ես ներթափանցման թեստավորում եմ անցկացրել՝ օգտագործելով և այն օգտագործեց Active Directory-ից (այսուհետ՝ AD) օգտատիրոջ տեղեկատվությունը հանելու համար։ Այդ ժամանակ իմ ուշադրությունը կենտրոնացած էր անվտանգության խմբերի անդամակցության մասին տեղեկատվություն հավաքելու և այդ տեղեկատվությունն ցանցում կողմնորոշվելու համար օգտագործելու վրա։ Ամեն դեպքում, AD-ն պարունակում է աշխատակիցների մասին զգայուն տվյալներ, որոնցից մի քանիսը իրականում չպետք է հասանելի լինեն կազմակերպության բոլոր անդամներին։ Իրականում, Windows ֆայլային համակարգերում կա համարժեք , որը կարող են օգտագործել նաև ներքին և արտաքին հարձակվողները։
Սակայն նախքան գաղտնիության խնդիրների և դրանք լուծելու եղանակների մասին խոսելը, եկեք նայենք AD-ում պահվող տվյալներին։
Active Directory-ն կորպորատիվ Facebook-ն է։
Բայց այս դեպքում դուք արդեն բոլորի հետ ընկերացել եք։ Դուք կարող է չիմանաք ձեր գործընկերների սիրելի ֆիլմերի, գրքերի և ռեստորանների մասին, բայց AD-ն պարունակում է գաղտնի կոնտակտային տեղեկություններ։
տվյալներ և այլ դաշտեր, որոնք կարող են օգտագործվել հաքերների և նույնիսկ ներքին անձանց կողմից՝ առանց հատուկ տեխնիկական հմտությունների։
Համակարգի ադմինիստրատորները, անշուշտ, ծանոթ են ստորև նշված էկրանի նկարին։ Սա Active Directory Users and Computers (ADUC) ինտերֆեյսն է, որտեղ նրանք սահմանում և խմբագրում են օգտատիրոջ տեղեկությունները և նշանակում օգտատերերին համապատասխան խմբերի։
AD-ն պարունակում է աշխատակցի անվան, հասցեի և հեռախոսահամարի դաշտեր, ուստի այն նման է հեռախոսային տեղեկատուի։ Բայց այնտեղ շատ ավելին կա։ Այլ ներդիրներում ներառված են նաև էլեկտրոնային փոստի և վեբ հասցեները, անմիջական ղեկավարը և նշումները։
Արդյո՞ք կազմակերպության բոլոր անդամները պետք է կարողանան տեսնել այս տեղեկատվությունը, հատկապես այս դարաշրջանում։ , երբ յուրաքանչյուր նոր մանրուք լրացուցիչ տեղեկատվություն գտնելն էլ ավելի հեշտացնում է։
Իհարկե՝ ոչ։ Խնդիրն ավելի է բարդանում, երբ ավագ ղեկավարության տվյալները հասանելի են բոլոր աշխատակիցներին։
PowerView բոլորի համար
Ահա թե որտեղ է PowerView-ն մտնում խաղի մեջ։ Այն ապահովում է շատ հարմար PowerShell ինտերֆեյս՝ AD-ին մուտք գործող Win32-ի հիմնական (և շփոթեցնող) ֆունկցիաների համար։ Հակիրճ ասած՝
Սա AD դաշտերի ստացումը դարձնում է այնքան հեշտ, որքան շատ կարճ cmdlet մուտքագրումը։
Եկեք վերցնենք ընկերության ղեկավարներից մեկի՝ Կրուելլա Դևիլի մասին տեղեկատվության հավաքագրման օրինակը։ Դա անելու համար օգտագործեք PowerView get-NetUser cmdlet-ը։
PowerView-ի տեղադրումը մեծ խնդիր չէ՝ ինքներդ տեսեք էջում . Ավելի կարևոր է, որ ձեզ անհրաժեշտ չեն բարձրացված արտոնություններ՝ PowerView-ի բազմաթիվ հրամաններ, ինչպիսին է get-NetUser-ը, գործարկելու համար։ Այսպիսով, մոտիվացված, բայց ոչ այնքան տեխնոլոգիապես գրագետ աշխատակիցը կարող է առանց մեծ ջանքերի սկսել ուսումնասիրել գովազդային արվեստը։
Վերևում գտնվող էկրանի նկարից պարզ է դառնում, որ ներքին մարդը կարող է արագ շատ բան իմանալ Կրուելլայի մասին։ Նկատե՞լ եք նաև, որ «info» դաշտը բացահայտում է օգտատիրոջ անձնական սովորությունների և գաղտնաբառի մասին տեղեկություններ։
Սա տեսական հավանականություն չէ։ Սկսած Ես իմացա, որ նրանք սկանավորում են AD-ն՝ չգաղտնագրված գաղտնաբառեր գտնելու համար, և հաճախ այդ փորձերը, ցավոք, հաջողությամբ են պսակվում։ Նրանք գիտեն, որ ընկերությունները անփույթ են AD-ում առկա տեղեկատվության հետ և, ընդհանուր առմամբ, անտեղյակ են հաջորդ թեմայից՝ AD թույլտվություններից։
Active Directory-ն ունի իր սեփական ACL-ները
AD օգտատերերի և համակարգիչների ինտերֆեյսը թույլ է տալիս սահմանել թույլտվություններ AD օբյեկտների վրա։ AD-ն ունի ACL-ներ, և ադմինիստրատորները կարող են թույլատրել կամ մերժել մուտքը դրանց միջոցով։ Դուք պետք է սեղմեք «Ընդլայնված» ADUC View ցանկում, ապա, երբ բացեք օգտատիրոջ էջը, կտեսնեք «Անվտանգություն» ներդիրը, որտեղ դուք սահմանել եք ACL-ը։
Իմ Cruella սցենարում ես չէի ուզում, որ բոլոր հաստատված օգտատերերը կարողանային տեսնել նրա անձնական տեղեկությունները, ուստի ես նրանց արգելեցի կարդալու հասանելիությունը։
Եվ հիմա սովորական օգտատերը կտեսնի սա, եթե PowerView-ում փորձի Get-NetUser-ը.
Ինձ հաջողվեց թաքցնել ակնհայտորեն օգտակար տեղեկատվությունը հետաքրքրասեր աչքերից։ Որպեսզի այն հասանելի լինի համապատասխան օգտատերերի համար, ես ստեղծեցի մեկ այլ ACL, որը թույլ կտա VIP խմբի անդամներին (Կրուելլային և նրա մյուս բարձրաստիճան գործընկերներին) մուտք գործել այս զգայուն տվյալներին։ Այլ կերպ ասած, ես ներդրեցի գովազդային մենեջերի թույլտվություններ՝ հիմնվելով դերային մոդելի վրա, ինչը զգայուն տվյալները անհասանելի դարձրեց աշխատակիցների մեծամասնության, այդ թվում՝ ներքին մարդկանց համար։
Այնուամենայնիվ, դուք կարող եք խմբի անդամակցությունը անտեսանելի դարձնել օգտատերերի համար՝ համապատասխանաբար կարգավորելով AD-ում խմբի օբյեկտի ACL-ը։ Սա կօգնի գաղտնիության և անվտանգության առումով։
Նրա մեջ Ես ցույց տվեցի, թե ինչպես կարող եք նավարկել համակարգում՝ ուսումնասիրելով խմբային անդամակցությունը PowerViews Get-NetGroupMember-ի միջոցով։ Իմ դեպքում ես սահմանափակեցի կարդալու հասանելիությունը որոշակի խմբի անդամների համար։ Դուք կարող եք տեսնել հրամանը փոփոխություններից առաջ և հետո գործարկելու արդյունքը.
Ես կարողացա թաքցնել Կրուելլայի և Մոնտի Բըրնսի անդամակցությունը VIP խմբում, ինչը դժվարացրեց հաքերների և ներքին մարդկանց համար ենթակառուցվածքների լրտեսումը։
Այս գրառումը նախատեսված էր ձեզ մոտիվացնելու ավելի մանրամասն ուսումնասիրել դաշտերը։
AD և դրան կից թույլտվություններ։ AD-ը հիանալի ռեսուրս է, բայց մտածեք, թե ինչպես դուք կանեիք դա
ցանկանում էր կիսվել գաղտնի տեղեկատվությամբ և անձնական տվյալներով, մասնավորապես՝
երբ խոսքը վերաբերում է ձեր կազմակերպության բարձրաստիճան պաշտոնյաներին։
Source: www.habr.com
