Aku wis rampung testing seng nembus nggunakake lan digunakake kanggo njupuk informasi pangguna saka Active Directory (sabanjurΓ© diarani AD). Ing wektu kasebut, penekananku yaiku ngumpulake informasi anggota grup keamanan banjur nggunakake informasi kasebut kanggo navigasi jaringan. Apa wae, AD ngemot data karyawan sing sensitif, sawetara sing pancene ora bisa diakses kabeh wong ing organisasi. Nyatane, ing sistem file Windows ana sing padha , sing uga bisa digunakake dening penyerang internal lan eksternal.
Nanging sadurunge kita ngomong babagan masalah privasi lan carane ndandani, ayo goleki data sing disimpen ing AD.
Active Directory yaiku Facebook perusahaan
Nanging ing kasus iki, sampeyan wis nggawe kanca karo kabeh wong! Sampeyan bisa uga ora ngerti babagan film, buku, utawa restoran favorit rekan kerja, nanging AD ngemot informasi kontak sing sensitif.
data lan lapangan liyane sing bisa digunakake dening peretas lan malah wong njero tanpa katrampilan teknis khusus.
Administrator sistem mesthi ngerti gambar ing ngisor iki. Iki minangka antarmuka Pangguna lan Komputer Direktori Aktif (ADUC) ing ngendi dheweke nyetel lan ngowahi informasi pangguna lan menehi pangguna menyang grup sing cocog.
AD ngemot kolom kanggo jeneng karyawan, alamat, lan nomer telpon, supaya padha karo direktori telpon. Nanging ana luwih akeh! Tab liyane uga kalebu alamat email lan web, manajer baris, lan cathetan.
Apa saben wong ing organisasi kudu ndeleng informasi iki, utamane ing jaman , nalika saben rincian anyar nggawe nggoleki informasi luwih gampang?
Mesthi ora! Masalah kasebut saya tambah nalika data saka manajemen puncak perusahaan kasedhiya kanggo kabeh karyawan.
PowerView kanggo kabeh wong
Iki ngendi PowerView main. Menehi antarmuka PowerShell banget pangguna-loropaken kanggo ndasari (lan mbingungake) fungsi Win32 sing ngakses AD. Ing cendhak:
iki nggawe njupuk kothak AD gampang kaya ngetik cmdlet cendhak banget.
Ayo njupuk conto ngumpulake informasi babagan karyawan Cruella Deville, sing dadi salah sawijining pimpinan perusahaan. Kanggo nindakake iki, gunakake cmdlet PowerView get-NetUser:
Nginstal PowerView ora dadi masalah serius - deleng dhewe ing kaca kasebut . Lan sing luwih penting, sampeyan ora butuh hak istimewa kanggo mbukak akeh perintah PowerView, kayata get-NetUser. Kanthi cara iki, karyawan sing duwe motivasi nanging ora ngerti teknologi bisa miwiti tinkering AD tanpa gaweyan.
Saka gambar ing ndhuwur, sampeyan bisa ndeleng manawa wong njero bisa sinau akeh babagan Cruella. Apa sampeyan uga weruh yen kolom "info" nuduhake informasi babagan kabiasaan lan sandhi pribadhi pangguna?
Iki dudu kemungkinan teoritis. saka Aku sinau sing padha mindai AD kanggo nemokake sandi plaintext, lan asring nyoba iki sayangΓ© sukses. Dheweke ngerti manawa perusahaan ora peduli karo informasi ing AD, lan cenderung ora ngerti topik sabanjure: ijin AD.
Active Directory duwe ACL dhewe
Antarmuka Pangguna lan Komputer AD ngidini sampeyan nyetel ijin ing obyek AD. AD duwe ACL lan administrator bisa menehi utawa nolak akses liwat. Sampeyan kudu ngeklik "Advanced" ing menu ADUC View banjur nalika sampeyan mbukak pangguna sampeyan bakal weruh tab "Keamanan" ing ngendi sampeyan nyetel ACL.
Ing skenario Cruella, aku ora pengin kabeh Pangguna sing Diotentikasi bisa ndeleng informasi pribadhi dheweke, mula aku nolak akses maca:
Lan saiki pangguna normal bakal weruh iki yen nyoba Get-NetUser ing PowerView:
Aku ngatur kanggo ndhelikake informasi temenan migunani saka prying mata. Supaya bisa diakses kanggo pangguna sing cocog, aku nggawe ACL liyane kanggo ngidini anggota grup VIP (Cruella lan kanca-kanca liyane sing duwe pangkat dhuwur) ngakses data sensitif iki. Ing tembung liyane, aku ngleksanakake ijin AD adhedhasar panutan, sing nggawe data sensitif ora bisa diakses kanggo paling karyawan, kalebu Insiders.
Nanging, sampeyan bisa nggawe anggota grup ora katon kanggo pangguna kanthi nyetel ACL ing obyek grup ing AD. Iki bakal mbantu babagan privasi lan keamanan.
Ing dheweke Aku nuduhake carane sampeyan bisa navigasi sistem kanthi mriksa anggota grup nggunakake PowerViews Get-NetGroupMember. Ing naskahku, aku mbatesi akses maca menyang anggota ing grup tartamtu. Sampeyan bisa ndeleng asil nglakokake printah sadurunge lan sawise owah-owahan:
Aku bisa ndhelikake anggota Cruella lan Monty Burns ing grup VIP, dadi angel kanggo peretas lan wong njero kanggo pramuka infrastruktur kasebut.
Kiriman iki ditujokake kanggo menehi motivasi kanggo ndeleng lapangan kanthi luwih cedhak
AD lan ijin sing gegandhengan. AD minangka sumber daya sing apik, nanging pikirake kepiye sampeyan
wanted kanggo nuduhake informasi rahasia lan data pribadhi, utamanΓ©
nalika nerangake pejabat ndhuwur organisasi sampeyan.
Source: www.habr.com