Saya telah melakukan pengujian penetrasi menggunakan
Namun sebelum kita berbicara tentang masalah privasi dan cara memperbaikinya, mari kita lihat data yang disimpan di AD.
Direktori Aktif adalah perusahaan Facebook
Namun dalam hal ini, Anda sudah berteman dengan semua orang! Anda mungkin tidak tahu tentang film, buku, atau restoran favorit rekan kerja Anda, namun AD berisi informasi kontak sensitif.
data dan bidang lain yang dapat digunakan oleh peretas dan bahkan orang dalam tanpa keahlian teknis khusus.
Administrator sistem tentu sudah familiar dengan tangkapan layar di bawah ini. Ini adalah antarmuka Pengguna dan Komputer Direktori Aktif (ADUC) tempat mereka mengatur dan mengedit informasi pengguna dan menetapkan pengguna ke grup yang sesuai.
AD berisi field nama pegawai, alamat, dan nomor telepon, sehingga mirip dengan direktori telepon. Tapi masih banyak lagi! Tab lain juga mencakup email dan alamat web, manajer lini, dan catatan.
Apakah semua orang di organisasi perlu melihat informasi ini, terutama di suatu era
Tentu saja tidak! Masalahnya menjadi lebih buruk ketika data dari manajemen puncak sebuah perusahaan tersedia untuk semua karyawan.
PowerView untuk semua orang
Di sinilah PowerView berperan. Ini menyediakan antarmuka PowerShell yang sangat ramah pengguna ke fungsi Win32 yang mendasari (dan membingungkan) yang mengakses AD. Pendeknya:
ini membuat pengambilan bidang AD semudah mengetik cmdlet yang sangat pendek.
Mari kita ambil contoh pengumpulan informasi tentang seorang karyawan Cruella Deville, yang merupakan salah satu pemimpin perusahaan. Untuk melakukannya, gunakan cmdlet PowerView get-NetUser:
Menginstal PowerView bukanlah masalah serius - lihat sendiri di halaman
Dari tangkapan layar di atas, Anda dapat melihat bahwa orang dalam dapat dengan cepat mengetahui banyak hal tentang Cruella. Pernahkah Anda juga memperhatikan bahwa bidang βinfoβ mengungkapkan informasi tentang kebiasaan pribadi dan kata sandi pengguna?
Ini bukanlah kemungkinan teoretis. Dari
Direktori Aktif memiliki ACL sendiri
Antarmuka Pengguna dan Komputer AD memungkinkan Anda mengatur izin pada objek AD. AD memiliki ACL dan administrator dapat memberikan atau menolak akses melalui mereka. Anda perlu mengklik "Lanjutan" di menu Tampilan ADUC dan kemudian ketika Anda membuka pengguna, Anda akan melihat tab "Keamanan" tempat Anda mengatur ACL.
Dalam skenario Cruella saya, saya tidak ingin semua Pengguna yang Diautentikasi dapat melihat informasi pribadinya, jadi saya menolak akses baca mereka:
Dan sekarang pengguna biasa akan melihat ini jika mereka mencoba Get-NetUser di PowerView:
Saya berhasil menyembunyikan informasi yang jelas berguna dari pengintaian. Agar tetap dapat diakses oleh pengguna yang relevan, saya membuat ACL lain untuk memungkinkan anggota grup VIP (Cruella dan rekan-rekannya yang berpangkat tinggi lainnya) mengakses data sensitif ini. Dengan kata lain, saya menerapkan izin AD berdasarkan model peran, yang membuat data sensitif tidak dapat diakses oleh sebagian besar karyawan, termasuk Insiders.
Namun, Anda dapat membuat keanggotaan grup tidak terlihat oleh pengguna dengan mengatur ACL pada objek grup di AD. Ini akan membantu dalam hal privasi dan keamanan.
dalam karyanya
Saya dapat menyembunyikan keanggotaan Cruella dan Monty Burns di grup VIP, sehingga menyulitkan peretas dan orang dalam untuk mengintai infrastruktur.
Posting ini dimaksudkan untuk memotivasi Anda untuk melihat lebih dekat bidang tersebut
IKLAN dan izin terkait. AD adalah sumber yang bagus, tetapi pikirkan bagaimana Anda akan melakukannya
ingin berbagi informasi rahasia dan data pribadi, khususnya
ketika menyangkut pejabat tinggi organisasi Anda.
Sumber: www.habr.com