Ég hef gert skarpskyggnipróf með því að nota
En áður en við tölum um persónuverndarvandamál og hvernig á að laga þau, skulum við kíkja á gögnin sem eru geymd í AD.
Active Directory er Facebook fyrirtækisins
En í þessu tilfelli hefur þú nú þegar eignast vini við alla! Þú veist kannski ekki um uppáhalds kvikmyndir, bækur eða veitingastaði vinnufélaga þinna, en AD inniheldur viðkvæmar tengiliðaupplýsingar.
gögn og önnur svið sem hægt er að nota af tölvuþrjótum og jafnvel innherja án sérstakrar tæknikunnáttu.
Kerfisstjórar kannast að sjálfsögðu við skjámyndina hér að neðan. Þetta er Active Directory notendur og tölvur (ADUC) viðmótið þar sem þeir stilla og breyta notendaupplýsingum og úthluta notendum í viðeigandi hópa.
AD inniheldur reiti fyrir nafn starfsmanna, heimilisfang og símanúmer, þannig að það er svipað og símaskrá. En það er svo miklu meira! Aðrir flipar innihalda einnig netfang og veffang, línustjóra og athugasemdir.
Þurfa allir í stofnuninni að sjá þessar upplýsingar, sérstaklega á tímum
Auðvitað ekki! Vandamálið bætist við þegar gögn frá yfirstjórn fyrirtækis eru aðgengileg öllum starfsmönnum.
PowerView fyrir alla
Þetta er þar sem PowerView kemur við sögu. Það veitir mjög notendavænt PowerShell viðmót fyrir undirliggjandi (og ruglingslegt) Win32 aðgerðir sem fá aðgang að AD. Í stuttu máli:
þetta gerir það eins auðvelt að sækja AD reiti og að slá inn mjög stuttan cmdlet.
Tökum dæmi um að safna upplýsingum um starfsmann Cruella Deville, sem er einn af leiðtogum fyrirtækisins. Til að gera þetta skaltu nota PowerView get-NetUser cmdlet:
Uppsetning PowerView er ekki alvarlegt vandamál - sjáðu sjálfur á síðunni
Af skjámyndinni hér að ofan geturðu séð að innherji getur fljótt lært mikið um Cruella. Hefur þú líka tekið eftir því að „upplýsingar“ reiturinn sýnir upplýsingar um persónulegar venjur og lykilorð notandans?
Þetta er ekki fræðilegur möguleiki. Frá
Active Directory hefur sín eigin ACL
AD notendur og tölvuviðmótið gerir þér kleift að stilla heimildir á AD hlutum. AD er með ACL og stjórnendur geta veitt eða neitað aðgangi í gegnum þau. Þú þarft að smella á "Advanced" í ADUC View valmyndinni og svo þegar þú opnar notandann muntu sjá "Security" flipann þar sem þú stillir ACL.
Í Cruella atburðarás minni vildi ég ekki að allir auðkenndir notendur gætu séð persónulegar upplýsingar hennar, svo ég neitaði þeim lesaðgang:
Og nú mun venjulegur notandi sjá þetta ef hann reynir Get-NetUser í PowerView:
Mér tókst að fela augljóslega gagnlegar upplýsingar fyrir hnýsnum augum. Til að hafa það aðgengilegt fyrir viðkomandi notendur, bjó ég til annað ACL til að leyfa meðlimum VIP hópsins (Cruella og öðrum háttsettum samstarfsmönnum hennar) að fá aðgang að þessum viðkvæmu gögnum. Með öðrum orðum, ég innleiddi AD heimildir byggðar á fyrirmynd, sem gerði viðkvæm gögn óaðgengileg flestum starfsmönnum, þar á meðal innherjum.
Hins vegar geturðu gert hópaðild ósýnilega notendum með því að stilla ACL á hóphlutinn í AD í samræmi við það. Þetta mun hjálpa hvað varðar næði og öryggi.
Í hennar
Mér tókst að fela aðild Cruella og Monty Burns í VIP hópnum, sem gerði tölvuþrjótum og innherja erfitt fyrir að leita að innviðunum.
Þessari færslu var ætlað að hvetja þig til að skoða reitina betur
AD og tengdar heimildir. AD er frábær auðlind, en hugsaðu um hvernig þú myndir gera það
vildi deila trúnaðarupplýsingum og persónuupplýsingum, sérstaklega
þegar kemur að æðstu embættismönnum samtakanna þinna.
Heimild: www.habr.com