Saya telah melakukan pengujian penetrasi menggunakan dan menggunakannya untuk mengambil informasi pengguna dari Active Directory (selanjutnya disebut AD). Pada saat itu, penekanan saya adalah pada pengumpulan informasi keanggotaan kelompok keamanan dan kemudian menggunakan informasi tersebut untuk menavigasi jaringan. Bagaimanapun, AD berisi data sensitif karyawan, beberapa di antaranya tidak boleh diakses oleh semua orang di organisasi. Faktanya, dalam sistem file Windows ada yang setara , yang juga dapat digunakan oleh penyerang internal dan eksternal.
Namun sebelum kita berbicara tentang masalah privasi dan cara memperbaikinya, mari kita lihat data yang disimpan di AD.
Direktori Aktif adalah perusahaan Facebook
Namun dalam hal ini, Anda sudah berteman dengan semua orang! Anda mungkin tidak tahu tentang film, buku, atau restoran favorit rekan kerja Anda, namun AD berisi informasi kontak sensitif.
data dan bidang lain yang dapat digunakan oleh peretas dan bahkan orang dalam tanpa keahlian teknis khusus.
Administrator sistem tentu sudah familiar dengan tangkapan layar di bawah ini. Ini adalah antarmuka Pengguna dan Komputer Direktori Aktif (ADUC) tempat mereka mengatur dan mengedit informasi pengguna dan menetapkan pengguna ke grup yang sesuai.
AD berisi field nama pegawai, alamat, dan nomor telepon, sehingga mirip dengan direktori telepon. Tapi masih banyak lagi! Tab lain juga mencakup email dan alamat web, manajer lini, dan catatan.
Apakah semua orang di organisasi perlu melihat informasi ini, terutama di suatu era , kapan setiap detail baru membuat pencarian informasi lebih lanjut menjadi lebih mudah?
Tentu saja tidak! Masalahnya menjadi lebih buruk ketika data dari manajemen puncak sebuah perusahaan tersedia untuk semua karyawan.
PowerView untuk semua orang
Di sinilah PowerView berperan. Ini menyediakan antarmuka PowerShell yang sangat ramah pengguna ke fungsi Win32 yang mendasari (dan membingungkan) yang mengakses AD. Pendeknya:
ini membuat pengambilan bidang AD semudah mengetik cmdlet yang sangat pendek.
Mari kita ambil contoh pengumpulan informasi tentang seorang karyawan Cruella Deville, yang merupakan salah satu pemimpin perusahaan. Untuk melakukannya, gunakan cmdlet PowerView get-NetUser:
Menginstal PowerView bukanlah masalah serius - lihat sendiri di halaman . Dan yang lebih penting, Anda tidak memerlukan hak istimewa yang lebih tinggi untuk menjalankan banyak perintah PowerView, seperti get-NetUser. Dengan cara ini, karyawan yang termotivasi namun tidak terlalu paham teknologi dapat mulai mengutak-atik AD tanpa banyak usaha.
Dari tangkapan layar di atas, Anda dapat melihat bahwa orang dalam dapat dengan cepat mengetahui banyak hal tentang Cruella. Pernahkah Anda juga memperhatikan bahwa bidang βinfoβ mengungkapkan informasi tentang kebiasaan pribadi dan kata sandi pengguna?
Ini bukanlah kemungkinan teoretis. Dari Saya mengetahui bahwa mereka memindai AD untuk menemukan kata sandi teks biasa, dan sayangnya sering kali upaya ini berhasil. Mereka tahu bahwa perusahaan ceroboh dengan informasi di AD, dan mereka cenderung tidak menyadari topik berikutnya: izin AD.
Direktori Aktif memiliki ACL sendiri
Antarmuka Pengguna dan Komputer AD memungkinkan Anda mengatur izin pada objek AD. AD memiliki ACL dan administrator dapat memberikan atau menolak akses melalui mereka. Anda perlu mengklik "Lanjutan" di menu Tampilan ADUC dan kemudian ketika Anda membuka pengguna, Anda akan melihat tab "Keamanan" tempat Anda mengatur ACL.
Dalam skenario Cruella saya, saya tidak ingin semua Pengguna yang Diautentikasi dapat melihat informasi pribadinya, jadi saya menolak akses baca mereka:
Dan sekarang pengguna biasa akan melihat ini jika mereka mencoba Get-NetUser di PowerView:
Saya berhasil menyembunyikan informasi yang jelas berguna dari pengintaian. Agar tetap dapat diakses oleh pengguna yang relevan, saya membuat ACL lain untuk memungkinkan anggota grup VIP (Cruella dan rekan-rekannya yang berpangkat tinggi lainnya) mengakses data sensitif ini. Dengan kata lain, saya menerapkan izin AD berdasarkan model peran, yang membuat data sensitif tidak dapat diakses oleh sebagian besar karyawan, termasuk Insiders.
Namun, Anda dapat membuat keanggotaan grup tidak terlihat oleh pengguna dengan mengatur ACL pada objek grup di AD. Ini akan membantu dalam hal privasi dan keamanan.
dalam karyanya Saya menunjukkan bagaimana Anda dapat menavigasi sistem dengan memeriksa keanggotaan grup menggunakan PowerViews Get-NetGroupMember. Dalam skrip saya, saya membatasi akses baca untuk keanggotaan di grup tertentu. Anda dapat melihat hasil menjalankan perintah sebelum dan sesudah perubahan:
Saya dapat menyembunyikan keanggotaan Cruella dan Monty Burns di grup VIP, sehingga menyulitkan peretas dan orang dalam untuk mengintai infrastruktur.
Posting ini dimaksudkan untuk memotivasi Anda untuk melihat lebih dekat bidang tersebut
IKLAN dan izin terkait. AD adalah sumber yang bagus, tetapi pikirkan bagaimana Anda akan melakukannya
ingin berbagi informasi rahasia dan data pribadi, khususnya
ketika menyangkut pejabat tinggi organisasi Anda.
Sumber: www.habr.com