Ég hef gert skarpskyggnipróf með því að nota og notaði það til að sækja notendaupplýsingar úr Active Directory (hér eftir nefnt AD). Á þeim tíma var áhersla mín á að safna upplýsingum um aðild að öryggishópum og nota þær síðan til að vafra um netið. Hvort heldur sem er, AD inniheldur viðkvæm starfsmannagögn, sum þeirra ættu í raun ekki að vera aðgengileg öllum í fyrirtækinu. Reyndar, í Windows skráarkerfum er sambærilegt , sem einnig er hægt að nota af bæði innri og ytri árásarmönnum.
En áður en við tölum um persónuverndarvandamál og hvernig á að laga þau, skulum við kíkja á gögnin sem eru geymd í AD.
Active Directory er Facebook fyrirtækisins
En í þessu tilfelli hefur þú nú þegar eignast vini við alla! Þú veist kannski ekki um uppáhalds kvikmyndir, bækur eða veitingastaði vinnufélaga þinna, en AD inniheldur viðkvæmar tengiliðaupplýsingar.
gögn og önnur svið sem hægt er að nota af tölvuþrjótum og jafnvel innherja án sérstakrar tæknikunnáttu.
Kerfisstjórar kannast að sjálfsögðu við skjámyndina hér að neðan. Þetta er Active Directory notendur og tölvur (ADUC) viðmótið þar sem þeir stilla og breyta notendaupplýsingum og úthluta notendum í viðeigandi hópa.
AD inniheldur reiti fyrir nafn starfsmanna, heimilisfang og símanúmer, þannig að það er svipað og símaskrá. En það er svo miklu meira! Aðrir flipar innihalda einnig netfang og veffang, línustjóra og athugasemdir.
Þurfa allir í stofnuninni að sjá þessar upplýsingar, sérstaklega á tímum , þegar hvert nýtt smáatriði gerir leit að frekari upplýsingum enn auðveldari?
Auðvitað ekki! Vandamálið bætist við þegar gögn frá yfirstjórn fyrirtækis eru aðgengileg öllum starfsmönnum.
PowerView fyrir alla
Þetta er þar sem PowerView kemur við sögu. Það veitir mjög notendavænt PowerShell viðmót fyrir undirliggjandi (og ruglingslegt) Win32 aðgerðir sem fá aðgang að AD. Í stuttu máli:
þetta gerir það eins auðvelt að sækja AD reiti og að slá inn mjög stuttan cmdlet.
Tökum dæmi um að safna upplýsingum um starfsmann Cruella Deville, sem er einn af leiðtogum fyrirtækisins. Til að gera þetta skaltu nota PowerView get-NetUser cmdlet:
Uppsetning PowerView er ekki alvarlegt vandamál - sjáðu sjálfur á síðunni . Og það sem meira er, þú þarft ekki aukin réttindi til að keyra margar PowerView skipanir, eins og get-NetUser. Þannig getur áhugasamur en ekki mjög tæknivæddur starfsmaður byrjað að fikta við AD án mikillar fyrirhafnar.
Af skjámyndinni hér að ofan geturðu séð að innherji getur fljótt lært mikið um Cruella. Hefur þú líka tekið eftir því að „upplýsingar“ reiturinn sýnir upplýsingar um persónulegar venjur og lykilorð notandans?
Þetta er ekki fræðilegur möguleiki. Frá Ég komst að því að þeir skanna AD til að finna lykilorð með einföldum texta og oft eru þessar tilraunir því miður vel heppnaðar. Þeir vita að fyrirtæki eru kærulaus með upplýsingar í AD, og þeir vita almennt ekki um næsta efni: AD leyfi.
Active Directory hefur sín eigin ACL
AD notendur og tölvuviðmótið gerir þér kleift að stilla heimildir á AD hlutum. AD er með ACL og stjórnendur geta veitt eða neitað aðgangi í gegnum þau. Þú þarft að smella á "Advanced" í ADUC View valmyndinni og svo þegar þú opnar notandann muntu sjá "Security" flipann þar sem þú stillir ACL.
Í Cruella atburðarás minni vildi ég ekki að allir auðkenndir notendur gætu séð persónulegar upplýsingar hennar, svo ég neitaði þeim lesaðgang:
Og nú mun venjulegur notandi sjá þetta ef hann reynir Get-NetUser í PowerView:
Mér tókst að fela augljóslega gagnlegar upplýsingar fyrir hnýsnum augum. Til að hafa það aðgengilegt fyrir viðkomandi notendur, bjó ég til annað ACL til að leyfa meðlimum VIP hópsins (Cruella og öðrum háttsettum samstarfsmönnum hennar) að fá aðgang að þessum viðkvæmu gögnum. Með öðrum orðum, ég innleiddi AD heimildir byggðar á fyrirmynd, sem gerði viðkvæm gögn óaðgengileg flestum starfsmönnum, þar á meðal innherjum.
Hins vegar geturðu gert hópaðild ósýnilega notendum með því að stilla ACL á hóphlutinn í AD í samræmi við það. Þetta mun hjálpa hvað varðar næði og öryggi.
Í hennar Ég sýndi hvernig þú getur farið um kerfið með því að skoða hópaðild með PowerViews Get-NetGroupMember. Í handritinu mínu takmarkaði ég lesaðgang við aðild að tilteknum hópi. Þú getur séð niðurstöðuna af því að keyra skipunina fyrir og eftir breytingarnar:
Mér tókst að fela aðild Cruella og Monty Burns í VIP hópnum, sem gerði tölvuþrjótum og innherja erfitt fyrir að leita að innviðunum.
Þessari færslu var ætlað að hvetja þig til að skoða reitina betur
AD og tengdar heimildir. AD er frábær auðlind, en hugsaðu um hvernig þú myndir gera það
vildi deila trúnaðarupplýsingum og persónuupplýsingum, sérstaklega
þegar kemur að æðstu embættismönnum samtakanna þinna.
Heimild: www.habr.com