Ho eseguito test di penetrazione utilizzando e lo ha utilizzato per recuperare le informazioni dell'utente da Active Directory (di seguito denominato AD). All'epoca, la mia enfasi era sulla raccolta di informazioni sull'appartenenza ai gruppi di sicurezza e sull'utilizzo di tali informazioni per navigare nella rete. In ogni caso, AD contiene dati sensibili dei dipendenti, alcuni dei quali in realtà non dovrebbero essere accessibili a tutti i membri dell'organizzazione. In effetti, nei file system di Windows esiste un equivalente , che può essere utilizzato anche da aggressori sia interni che esterni.
Ma prima di parlare dei problemi di privacy e di come risolverli, diamo un'occhiata ai dati archiviati in AD.
Active Directory è il Facebook aziendale
Ma in questo caso hai già fatto amicizia con tutti! Potresti non conoscere i film, i libri o i ristoranti preferiti dei tuoi colleghi, ma AD contiene informazioni di contatto sensibili.
dati e altri campi che possono essere utilizzati da hacker e persino da addetti ai lavori senza particolari competenze tecniche.
Gli amministratori di sistema hanno ovviamente familiarità con lo screenshot seguente. Questa è l'interfaccia Utenti e computer di Active Directory (ADUC) in cui impostano e modificano le informazioni sugli utenti e assegnano gli utenti ai gruppi appropriati.
AD contiene campi per nome, indirizzo e numero di telefono del dipendente, quindi è simile a un elenco telefonico. Ma c'è molto di più! Altre schede includono anche e-mail e indirizzo web, manager di linea e note.
Tutti nell'organizzazione hanno bisogno di vedere queste informazioni, soprattutto in un'epoca , quando ogni nuovo dettaglio rende la ricerca di ulteriori informazioni ancora più semplice?
Ovviamente no! Il problema si aggrava quando i dati del top management di un’azienda sono disponibili a tutti i dipendenti.
PowerView per tutti
È qui che entra in gioco PowerView. Fornisce un'interfaccia PowerShell molto intuitiva per le funzioni Win32 sottostanti (e confuse) che accedono ad AD. In breve:
ciò rende il recupero dei campi AD facile come digitare un cmdlet molto breve.
Facciamo un esempio di raccolta di informazioni su un dipendente di Crudelia Deville, che è uno dei leader dell'azienda. A tale scopo, utilizzare il cmdlet get-NetUser di PowerView:
L'installazione di PowerView non è un problema serio: verifica tu stesso nella pagina . E, cosa ancora più importante, non sono necessari privilegi elevati per eseguire molti comandi PowerView, come get-NetUser. In questo modo, un dipendente motivato ma non molto esperto di tecnologia può iniziare ad armeggiare con AD senza troppi sforzi.
Dallo screenshot qui sopra, puoi vedere che un addetto ai lavori può imparare rapidamente molto su Crudelia. Hai notato anche tu che il campo “info” rivela informazioni sulle abitudini personali e sulla password dell’utente?
Questa non è una possibilità teorica. Da Ho appreso che eseguono la scansione di AD per trovare password in chiaro e spesso questi tentativi purtroppo hanno successo. Sanno che le aziende non curano le informazioni in AD e tendono a non essere a conoscenza dell'argomento successivo: le autorizzazioni AD.
Active Directory ha i propri ACL
L'interfaccia Utenti e computer AD consente di impostare le autorizzazioni sugli oggetti AD. AD dispone di ACL e gli amministratori possono concedere o negare l'accesso tramite essi. Devi fare clic su "Avanzate" nel menu Visualizzazione ADUC e quando apri l'utente vedrai la scheda "Sicurezza" in cui imposti l'ACL.
Nel mio scenario Crudelia, non volevo che tutti gli utenti autenticati potessero vedere le sue informazioni personali, quindi ho negato loro l'accesso in lettura:
E ora un utente normale vedrà questo se prova Get-NetUser in PowerView:
Sono riuscito a nascondere ad occhi indiscreti informazioni evidentemente utili. Per mantenerlo accessibile agli utenti interessati, ho creato un altro ACL per consentire ai membri del gruppo VIP (Crudelia e gli altri suoi colleghi di alto rango) di accedere a questi dati sensibili. In altre parole, ho implementato le autorizzazioni AD sulla base di un modello di ruolo, che ha reso i dati sensibili inaccessibili alla maggior parte dei dipendenti, compresi gli addetti ai lavori.
Tuttavia, è possibile rendere invisibile agli utenti l'appartenenza al gruppo impostando di conseguenza l'ACL sull'oggetto gruppo in AD. Ciò aiuterà in termini di privacy e sicurezza.
nel suo Ho mostrato come navigare nel sistema esaminando l'appartenenza al gruppo utilizzando PowerViews Get-NetGroupMember. Nel mio script, ho limitato l'accesso in lettura all'appartenenza a un gruppo specifico. Puoi vedere il risultato dell'esecuzione del comando prima e dopo le modifiche:
Sono riuscito a nascondere l'appartenenza di Crudelia e Monty Burns al gruppo VIP, rendendo difficile per gli hacker e gli addetti ai lavori esplorare l'infrastruttura.
Questo post aveva lo scopo di motivarti a dare un'occhiata più da vicino ai campi
AD e relative autorizzazioni. AD è un'ottima risorsa, ma pensa a come lo faresti
voleva condividere informazioni riservate e dati personali, in particolare
quando si tratta degli alti funzionari della tua organizzazione.
Fonte: habr.com