Ես կատարել եմ ներթափանցման փորձարկում՝ օգտագործելով
Բայց մինչ մենք կխոսենք գաղտնիության խնդիրների և դրանց շտկման մասին, եկեք նայենք AD-ում պահվող տվյալներին:
Active Directory-ը կորպորատիվ Facebook-ն է
Բայց այս դեպքում դու արդեն բոլորի հետ ընկերացել ես։ Դուք կարող եք չգիտեք ձեր գործընկերների սիրելի ֆիլմերի, գրքերի կամ ռեստորանների մասին, սակայն AD-ն պարունակում է զգայուն կոնտակտային տվյալներ:
տվյալներ և այլ ոլորտներ, որոնք կարող են օգտագործվել հաքերների և նույնիսկ ինսայդերների կողմից՝ առանց հատուկ տեխնիկական հմտությունների:
Համակարգի ադմինիստրատորները, իհարկե, ծանոթ են ստորև ներկայացված սքրինշոթին: Սա Active Directory Users and Computers (ADUC) ինտերֆեյսն է, որտեղ նրանք սահմանում և խմբագրում են օգտատերերի տեղեկությունները և օգտատերերին հանձնարարում համապատասխան խմբերին:
AD-ը պարունակում է դաշտեր աշխատողի անվան, հասցեի և հեռախոսահամարի համար, ուստի այն նման է հեռախոսային գրացուցակի: Բայց շատ ավելին կա: Այլ ներդիրները ներառում են նաև էլ. փոստ և վեբ հասցե, գծի կառավարիչ և նշումներ:
Արդյո՞ք կազմակերպությունում բոլորը պետք է տեսնեն այս տեղեկատվությունը, հատկապես մի դարաշրջանում
Իհարկե ոչ! Խնդիրը բարդանում է, երբ ընկերության բարձրագույն ղեկավարության տվյալները հասանելի են բոլոր աշխատակիցներին:
PowerView բոլորի համար
Հենց այստեղ է գործում PowerView-ը: Այն տրամադրում է շատ հարմար PowerShell ինտերֆեյս Win32-ի հիմքում ընկած (և շփոթեցնող) գործառույթներին, որոնք մուտք են գործում AD: Կարճ ասած:
սա հեշտացնում է AD դաշտերի առբերումը նույնքան հեշտ, որքան շատ կարճ cmdlet մուտքագրելը:
Բերենք Cruella Deville-ի աշխատակցի մասին տեղեկություններ հավաքելու օրինակ, ով ընկերության ղեկավարներից է։ Դա անելու համար օգտագործեք PowerView get-NetUser cmdlet:
PowerView-ի տեղադրումը լուրջ խնդիր չէ. համոզվեք ինքներդ էջում
Վերոնշյալ սքրինշոթից դուք կարող եք տեսնել, որ ինսայդերը կարող է արագորեն շատ բան իմանալ Cruella-ի մասին: Դուք նաև նկատե՞լ եք, որ «info» դաշտը տեղեկատվություն է բացահայտում օգտատիրոջ անձնական սովորությունների և գաղտնաբառի մասին:
Սա տեսական հնարավորություն չէ։ Սկսած
Active Directory-ն ունի իր ACL-ները
AD Users and Computers ինտերֆեյսը թույլ է տալիս թույլտվություններ սահմանել AD օբյեկտների վրա: AD-ն ունի ACL-ներ, և ադմինիստրատորները կարող են թույլ տալ կամ մերժել մուտքը դրանց միջոցով: Դուք պետք է սեղմեք «Ընդլայնված» ADUC View մենյուում, այնուհետև, երբ բացեք օգտվողին, կտեսնեք «Անվտանգություն» ներդիրը, որտեղ դուք սահմանել եք ACL-ը:
Իմ Cruella-ի սցենարում ես չէի ցանկանում, որ բոլոր վավերացված օգտատերերը կարողանան տեսնել նրա անձնական տվյալները, ուստի ես մերժեցի նրանց կարդալու մուտքը.
Եվ հիմա նորմալ օգտվողը կտեսնի սա, եթե փորձի Get-NetUser PowerView-ում.
Ինձ հաջողվեց թաքցնել ակնհայտ օգտակար տեղեկատվությունը հետաքրքրասեր աչքերից։ Համապատասխան օգտատերերի համար այն հասանելի պահելու համար ես ստեղծեցի ևս մեկ ACL, որը թույլ կտա VIP խմբի անդամներին (Cruella-ն և նրա մյուս բարձրաստիճան գործընկերները) մուտք գործել այս զգայուն տվյալներ: Այլ կերպ ասած, ես իրականացրել եմ AD-ի թույլտվությունները՝ հիմնվելով դերային մոդելի վրա, ինչը զգայուն տվյալներն անհասանելի է դարձրել աշխատակիցների մեծ մասի, այդ թվում՝ Insiders-ի համար:
Այնուամենայնիվ, դուք կարող եք խմբային անդամակցությունն անտեսանելի դարձնել օգտատերերի համար՝ համապատասխանաբար AD-ում խմբային օբյեկտի վրա դնելով ACL-ը: Սա կօգնի գաղտնիության և անվտանգության առումով:
Նրա մեջ
Ես կարողացա թաքցնել Cruella-ի և Monty Burns-ի անդամակցությունը VIP խմբին՝ դժվարացնելով հաքերների և ինսայդերների համար ենթակառուցվածքի հետախուզումը:
Այս գրառումը նպատակ ուներ դրդել ձեզ ավելի մոտիկից նայել դաշտերին
AD և հարակից թույլտվությունները: AD-ը հիանալի ռեսուրս է, բայց մտածեք, թե ինչպես կանեիք
ցանկանում էր կիսվել գաղտնի տեղեկություններով և անձնական տվյալներով, հատկապես
երբ խոսքը վերաբերում է ձեր կազմակերպության բարձրաստիճան պաշտոնյաներին:
Source: www.habr.com