を使用して侵入テストを実行しました
プライバシーの問題とその解決方法について話す前に、AD に保存されているデータを見てみましょう。
Active Directory は企業の Facebook です
しかし、この場合、あなたはすでに全員と友達になっています。 同僚の好きな映画、本、レストランについては知らないかもしれませんが、AD には機密性の高い連絡先情報が含まれています。
特別な技術スキルを持たないハッカーや内部関係者さえも使用できるデータやその他のフィールド。
システム管理者は、以下のスクリーンショットを当然よく知っています。 これは、ユーザー情報を設定および編集し、ユーザーを適切なグループに割り当てる Active Directory ユーザーとコンピューター (ADUC) インターフェイスです。
AD には従業員の名前、住所、電話番号のフィールドが含まれているため、電話帳に似ています。 しかし、それだけではありません! 他のタブには、電子メールと Web アドレス、ライン マネージャー、およびメモも含まれます。
特に今の時代、組織内の全員がこの情報を見る必要がありますか?
もちろん違います! 企業のトップマネジメントからのデータが全従業員に利用可能になると、問題はさらに悪化します。
誰でも使える PowerView
ここで PowerView が活躍します。 これは、AD にアクセスする基盤となる (そしてわかりにくい) Win32 関数に対して、非常にユーザー フレンドリーな PowerShell インターフェイスを提供します。 要するに:
これにより、非常に短いコマンドレットを入力するのと同じくらい簡単に AD フィールドを取得できるようになります。
会社のリーダーの XNUMX 人である Cruella Deville の従業員に関する情報を収集する例を見てみましょう。 これを行うには、PowerView get-NetUser コマンドレットを使用します。
PowerView のインストールは深刻な問題ではありません - ページを自分の目で確認してください
上のスクリーンショットから、内部関係者は Cruella についてすぐに多くのことを学ぶことができることがわかります。 「情報」フィールドには、ユーザーの個人的な習慣やパスワードに関する情報が表示されていることにも気づきましたか?
これは理論上の可能性ではありません。 から
Active Directory には独自の ACL があります
AD ユーザーとコンピュータ インターフェイスを使用すると、AD オブジェクトに対するアクセス許可を設定できます。 AD には ACL があり、管理者は ACL を通じてアクセスを許可または拒否できます。 ADUC View メニューで [Advanced] をクリックする必要があります。ユーザーを開くと、ACL を設定する [Security] タブが表示されます。
Cruella のシナリオでは、すべての認証済みユーザーが彼女の個人情報を閲覧できるようにしたくなかったので、読み取りアクセスを拒否しました。
通常のユーザーが PowerView で Get-NetUser を試行すると、次のことが表示されます。
明らかに有益な情報を、のぞき見から隠すことに成功しました。 関連するユーザーがアクセスできるようにするために、VIP グループのメンバー (クルエラとその他の高位の同僚) がこの機密データにアクセスできるようにする別の ACL を作成しました。 言い換えれば、ロールモデルに基づいて AD 権限を実装し、内部関係者を含むほとんどの従業員が機密データにアクセスできないようにしました。
ただし、AD のグループ オブジェクトに ACL を設定することで、グループ メンバーシップをユーザーに非表示にすることができます。 これはプライバシーとセキュリティの面で役立ちます。
彼には
クルエラとモンティ バーンズのメンバーシップを VIP グループに隠すことができ、ハッカーや内部関係者がインフラストラクチャを偵察することが困難になりました。
この投稿は、フィールドを詳しく見てみる動機を与えることを目的としています。
AD および関連する権限。 AD は素晴らしいリソースですが、どのようにするかを考えてください。
特に機密情報や個人データを共有したいと考えていました
組織の最高幹部に関して言えば。
出所: habr.com