Active Directory におけるデータ プライバシーの問題

を使用して侵入テストを実行しました パワービュー Active Directory (以下、AD) からユーザー情報を取得するために使用されました。 当時、私はセキュリティ グループのメンバーシップ情報を収集し、その情報を使用してネットワークを操作することに重点を置いていました。 いずれにせよ、AD には従業員の機密データが含まれており、その一部は組織内の全員がアクセスできるべきではありません。 実際、Windows ファイル システムには同等のものがあります。 「みんな」の問題、内部および外部の両方の攻撃者によって使用される可能性もあります。

プライバシーの問題とその解決方法について話す前に、AD に保存されているデータを見てみましょう。

Active Directory は企業の Facebook です

しかし、この場合、あなたはすでに全員と友達になっています。 同僚の好きな映画、本、レストランについては知らないかもしれませんが、AD には機密性の高い連絡先情報が含まれています。
特別な技術スキルを持たないハッカーや内部関係者さえも使用できるデータやその他のフィールド。

システム管理者は、以下のスクリーンショットを当然よく知っています。 これは、ユーザー情報を設定および編集し、ユーザーを適切なグループに割り当てる Active Directory ユーザーとコンピューター (ADUC) インターフェイスです。

AD には従業員の名前、住所、電話番号のフィールドが含まれているため、電話帳に似ています。 しかし、それだけではありません! 他のタブには、電子メールと Web アドレス、ライン マネージャー、およびメモも含まれます。

特に今の時代、組織内の全員がこの情報を見る必要がありますか? OSINT、新しい詳細が追加されると、より多くの情報の検索がさらに簡単になります。

もちろん違います！ 企業のトップマネジメントからのデータが全従業員に利用可能になると、問題はさらに悪化します。

誰でも使える PowerView

ここで PowerView が活躍します。 これは、AD にアクセスする基盤となる (そしてわかりにくい) Win32 関数に対して、非常にユーザー フレンドリーな PowerShell インターフェイスを提供します。 要するに：
これにより、非常に短いコマンドレットを入力するのと同じくらい簡単に AD フィールドを取得できるようになります。

会社のリーダーの XNUMX 人である Cruella Deville の従業員に関する情報を収集する例を見てみましょう。 これを行うには、PowerView get-NetUser コマンドレットを使用します。

PowerView のインストールは深刻な問題ではありません - ページを自分の目で確認してください githubの。 さらに重要なことは、get-NetUser などの多くの PowerView コマンドを実行するのに高い権限は必要ないことです。 こうすることで、やる気はあっても技術にあまり精通していない従業員でも、それほど労力をかけずに AD をいじり始めることができます。

上のスクリーンショットから、内部関係者は Cruella についてすぐに多くのことを学ぶことができることがわかります。 「情報」フィールドには、ユーザーの個人的な習慣やパスワードに関する情報が表示されていることにも気づきましたか?

これは理論上の可能性ではありません。 から 他のペンテスターとの対話 彼らは AD をスキャンして平文のパスワードを見つけていることを知りましたが、多くの場合、この試みは残念ながら成功します。 彼らは、企業が AD 内の情報に不注意であることを知っており、次のトピックである AD のアクセス許可に気づかない傾向があります。

Active Directory には独自の ACL があります

AD ユーザーとコンピュータ インターフェイスを使用すると、AD オブジェクトに対するアクセス許可を設定できます。 AD には ACL があり、管理者は ACL を通じてアクセスを許可または拒否できます。 ADUC View メニューで [Advanced] をクリックする必要があります。ユーザーを開くと、ACL を設定する [Security] タブが表示されます。

Cruella のシナリオでは、すべての認証済みユーザーが彼女の個人情報を閲覧できるようにしたくなかったので、読み取りアクセスを拒否しました。

通常のユーザーが PowerView で Get-NetUser を試行すると、次のことが表示されます。

明らかに有益な情報を、のぞき見から隠すことに成功しました。 関連するユーザーがアクセスできるようにするために、VIP グループのメンバー (クルエラとその他の高位の同僚) がこの機密データにアクセスできるようにする別の ACL を作成しました。 言い換えれば、ロールモデルに基づいて AD 権限を実装し、内部関係者を含むほとんどの従業員が機密データにアクセスできないようにしました。

ただし、AD のグループ オブジェクトに ACL を設定することで、グループ メンバーシップをユーザーに非表示にすることができます。 これはプライバシーとセキュリティの面で役立ちます。

彼には 一連の壮大な侵入テスト PowerViews Get-NetGroupMember を使用してグループ メンバーシップを調べてシステムをナビゲートする方法を説明しました。 私のスクリプトでは、読み取りアクセスを特定のグループのメンバーに制限しました。 変更の前後でコマンドを実行した結果を確認できます。

クルエラとモンティ バーンズのメンバーシップを VIP グループに隠すことができ、ハッカーや内部関係者がインフラストラクチャを偵察することが困難になりました。

この投稿は、フィールドを詳しく見てみる動機を与えることを目的としています。
AD および関連する権限。 AD は素晴らしいリソースですが、どのようにするかを考えてください。
特に機密情報や個人データを共有したいと考えていました
組織の最高幹部に関して言えば。  

出所： habr.com