Ho eseguito test di penetrazione utilizzando
Ma prima di parlare dei problemi di privacy e di come risolverli, diamo un'occhiata ai dati archiviati in AD.
Active Directory è il Facebook aziendale
Ma in questo caso hai già fatto amicizia con tutti! Potresti non conoscere i film, i libri o i ristoranti preferiti dei tuoi colleghi, ma AD contiene informazioni di contatto sensibili.
dati e altri campi che possono essere utilizzati da hacker e persino da addetti ai lavori senza particolari competenze tecniche.
Gli amministratori di sistema hanno ovviamente familiarità con lo screenshot seguente. Questa è l'interfaccia Utenti e computer di Active Directory (ADUC) in cui impostano e modificano le informazioni sugli utenti e assegnano gli utenti ai gruppi appropriati.
AD contiene campi per nome, indirizzo e numero di telefono del dipendente, quindi è simile a un elenco telefonico. Ma c'è molto di più! Altre schede includono anche e-mail e indirizzo web, manager di linea e note.
Tutti nell'organizzazione hanno bisogno di vedere queste informazioni, soprattutto in un'epoca
Ovviamente no! Il problema si aggrava quando i dati del top management di un’azienda sono disponibili a tutti i dipendenti.
PowerView per tutti
È qui che entra in gioco PowerView. Fornisce un'interfaccia PowerShell molto intuitiva per le funzioni Win32 sottostanti (e confuse) che accedono ad AD. In breve:
ciò rende il recupero dei campi AD facile come digitare un cmdlet molto breve.
Facciamo un esempio di raccolta di informazioni su un dipendente di Crudelia Deville, che è uno dei leader dell'azienda. A tale scopo, utilizzare il cmdlet get-NetUser di PowerView:
L'installazione di PowerView non è un problema serio: verifica tu stesso nella pagina
Dallo screenshot qui sopra, puoi vedere che un addetto ai lavori può imparare rapidamente molto su Crudelia. Hai notato anche tu che il campo “info” rivela informazioni sulle abitudini personali e sulla password dell’utente?
Questa non è una possibilità teorica. Da
Active Directory ha i propri ACL
L'interfaccia Utenti e computer AD consente di impostare le autorizzazioni sugli oggetti AD. AD dispone di ACL e gli amministratori possono concedere o negare l'accesso tramite essi. Devi fare clic su "Avanzate" nel menu Visualizzazione ADUC e quando apri l'utente vedrai la scheda "Sicurezza" in cui imposti l'ACL.
Nel mio scenario Crudelia, non volevo che tutti gli utenti autenticati potessero vedere le sue informazioni personali, quindi ho negato loro l'accesso in lettura:
E ora un utente normale vedrà questo se prova Get-NetUser in PowerView:
Sono riuscito a nascondere ad occhi indiscreti informazioni evidentemente utili. Per mantenerlo accessibile agli utenti interessati, ho creato un altro ACL per consentire ai membri del gruppo VIP (Crudelia e gli altri suoi colleghi di alto rango) di accedere a questi dati sensibili. In altre parole, ho implementato le autorizzazioni AD sulla base di un modello di ruolo, che ha reso i dati sensibili inaccessibili alla maggior parte dei dipendenti, compresi gli addetti ai lavori.
Tuttavia, è possibile rendere invisibile agli utenti l'appartenenza al gruppo impostando di conseguenza l'ACL sull'oggetto gruppo in AD. Ciò aiuterà in termini di privacy e sicurezza.
nel suo
Sono riuscito a nascondere l'appartenenza di Crudelia e Monty Burns al gruppo VIP, rendendo difficile per gli hacker e gli addetti ai lavori esplorare l'infrastruttura.
Questo post aveva lo scopo di motivarti a dare un'occhiata più da vicino ai campi
AD e relative autorizzazioni. AD è un'ottima risorsa, ma pensa a come lo faresti
voleva condividere informazioni riservate e dati personali, in particolare
quando si tratta degli alti funzionari della tua organizzazione.
Fonte: habr.com