Ես կատարել եմ ներթափանցման փորձարկում՝ օգտագործելով և օգտագործել այն Active Directory-ից (այսուհետ՝ AD) օգտատերերի մասին տեղեկություններ ստանալու համար: Այն ժամանակ իմ շեշտը դրված էր անվտանգության խմբի անդամության մասին տեղեկություններ հավաքելու վրա, այնուհետև այդ տեղեկատվությունը օգտագործելու համար ցանցում նավարկելու համար: Ամեն դեպքում, AD-ն պարունակում է աշխատակիցների զգայուն տվյալներ, որոնցից մի քանիսն իսկապես չպետք է հասանելի լինեն կազմակերպությունում բոլորին: Փաստորեն, Windows ֆայլային համակարգերում կա համարժեք , որը կարող է օգտագործվել նաև ինչպես ներքին, այնպես էլ արտաքին հարձակվողների կողմից:
Բայց մինչ մենք կխոսենք գաղտնիության խնդիրների և դրանց շտկման մասին, եկեք նայենք AD-ում պահվող տվյալներին:
Active Directory-ը կորպորատիվ Facebook-ն է
Բայց այս դեպքում դու արդեն բոլորի հետ ընկերացել ես։ Դուք կարող եք չգիտեք ձեր գործընկերների սիրելի ֆիլմերի, գրքերի կամ ռեստորանների մասին, սակայն AD-ն պարունակում է զգայուն կոնտակտային տվյալներ:
տվյալներ և այլ ոլորտներ, որոնք կարող են օգտագործվել հաքերների և նույնիսկ ինսայդերների կողմից՝ առանց հատուկ տեխնիկական հմտությունների:
Համակարգի ադմինիստրատորները, իհարկե, ծանոթ են ստորև ներկայացված սքրինշոթին: Սա Active Directory Users and Computers (ADUC) ինտերֆեյսն է, որտեղ նրանք սահմանում և խմբագրում են օգտատերերի տեղեկությունները և օգտատերերին հանձնարարում համապատասխան խմբերին:
AD-ը պարունակում է դաշտեր աշխատողի անվան, հասցեի և հեռախոսահամարի համար, ուստի այն նման է հեռախոսային գրացուցակի: Բայց շատ ավելին կա: Այլ ներդիրները ներառում են նաև էլ. փոստ և վեբ հասցե, գծի կառավարիչ և նշումներ:
Արդյո՞ք կազմակերպությունում բոլորը պետք է տեսնեն այս տեղեկատվությունը, հատկապես մի դարաշրջանում , երբ յուրաքանչյուր նոր մանրուք ավելի դյուրին է դարձնում ավելի շատ տեղեկությունների որոնումը:
Իհարկե ոչ! Խնդիրը բարդանում է, երբ ընկերության բարձրագույն ղեկավարության տվյալները հասանելի են բոլոր աշխատակիցներին:
PowerView բոլորի համար
Հենց այստեղ է գործում PowerView-ը: Այն տրամադրում է շատ հարմար PowerShell ինտերֆեյս Win32-ի հիմքում ընկած (և շփոթեցնող) գործառույթներին, որոնք մուտք են գործում AD: Կարճ ասած:
սա հեշտացնում է AD դաշտերի առբերումը նույնքան հեշտ, որքան շատ կարճ cmdlet մուտքագրելը:
Բերենք Cruella Deville-ի աշխատակցի մասին տեղեկություններ հավաքելու օրինակ, ով ընկերության ղեկավարներից է։ Դա անելու համար օգտագործեք PowerView get-NetUser cmdlet:
PowerView-ի տեղադրումը լուրջ խնդիր չէ. համոզվեք ինքներդ էջում . Եվ ավելի կարևոր է, որ ձեզ հարկավոր չեն բարձր արտոնություններ PowerView բազմաթիվ հրամաններ գործարկելու համար, օրինակ՝ get-NetUser: Այս կերպ մոտիվացված, բայց ոչ շատ տեխնոլոգիական գիտելիքներ ունեցող աշխատակիցը կարող է սկսել AD-ի հետ աշխատել առանց մեծ ջանքերի:
Վերոնշյալ սքրինշոթից դուք կարող եք տեսնել, որ ինսայդերը կարող է արագորեն շատ բան իմանալ Cruella-ի մասին: Դուք նաև նկատե՞լ եք, որ «info» դաշտը տեղեկատվություն է բացահայտում օգտատիրոջ անձնական սովորությունների և գաղտնաբառի մասին:
Սա տեսական հնարավորություն չէ։ Սկսած Ես իմացա, որ նրանք սկանավորում են AD՝ պարզ տեքստային գաղտնաբառեր գտնելու համար, և հաճախ այդ փորձերը, ցավոք, հաջող են լինում: Նրանք գիտեն, որ ընկերությունները անփույթ են AD-ի տեղեկատվության հետ, և նրանք հիմնականում տեղյակ չեն հաջորդ թեմայից՝ AD-ի թույլտվությունները:
Active Directory-ն ունի իր ACL-ները
AD Users and Computers ինտերֆեյսը թույլ է տալիս թույլտվություններ սահմանել AD օբյեկտների վրա: AD-ն ունի ACL-ներ, և ադմինիստրատորները կարող են թույլ տալ կամ մերժել մուտքը դրանց միջոցով: Դուք պետք է սեղմեք «Ընդլայնված» ADUC View մենյուում, այնուհետև, երբ բացեք օգտվողին, կտեսնեք «Անվտանգություն» ներդիրը, որտեղ դուք սահմանել եք ACL-ը:
Իմ Cruella-ի սցենարում ես չէի ցանկանում, որ բոլոր վավերացված օգտատերերը կարողանան տեսնել նրա անձնական տվյալները, ուստի ես մերժեցի նրանց կարդալու մուտքը.
Եվ հիմա նորմալ օգտվողը կտեսնի սա, եթե փորձի Get-NetUser PowerView-ում.
Ինձ հաջողվեց թաքցնել ակնհայտ օգտակար տեղեկատվությունը հետաքրքրասեր աչքերից։ Համապատասխան օգտատերերի համար այն հասանելի պահելու համար ես ստեղծեցի ևս մեկ ACL, որը թույլ կտա VIP խմբի անդամներին (Cruella-ն և նրա մյուս բարձրաստիճան գործընկերները) մուտք գործել այս զգայուն տվյալներ: Այլ կերպ ասած, ես իրականացրել եմ AD-ի թույլտվությունները՝ հիմնվելով դերային մոդելի վրա, ինչը զգայուն տվյալներն անհասանելի է դարձրել աշխատակիցների մեծ մասի, այդ թվում՝ Insiders-ի համար:
Այնուամենայնիվ, դուք կարող եք խմբային անդամակցությունն անտեսանելի դարձնել օգտատերերի համար՝ համապատասխանաբար AD-ում խմբային օբյեկտի վրա դնելով ACL-ը: Սա կօգնի գաղտնիության և անվտանգության առումով:
Նրա մեջ Ես ցույց տվեցի, թե ինչպես կարող եք նավարկել համակարգում՝ ուսումնասիրելով խմբային անդամակցությունը՝ օգտագործելով PowerViews Get-NetGroupMember: Իմ սկրիպտում ես սահմանափակել էի որոշակի խմբի անդամակցության հասանելիությունը կարդալու համար: Դուք կարող եք տեսնել հրամանի գործարկման արդյունքը փոփոխություններից առաջ և հետո.
Ես կարողացա թաքցնել Cruella-ի և Monty Burns-ի անդամակցությունը VIP խմբին՝ դժվարացնելով հաքերների և ինսայդերների համար ենթակառուցվածքի հետախուզումը:
Այս գրառումը նպատակ ուներ դրդել ձեզ ավելի մոտիկից նայել դաշտերին
AD և հարակից թույլտվությունները: AD-ը հիանալի ռեսուրս է, բայց մտածեք, թե ինչպես կանեիք
ցանկանում էր կիսվել գաղտնի տեղեկություններով և անձնական տվյալներով, հատկապես
երբ խոսքը վերաբերում է ձեր կազմակերպության բարձրաստիճան պաշտոնյաներին:
Source: www.habr.com