Мен ену сынамасын қолдандым
Бірақ біз құпиялылық мәселелері және оларды шешу жолдары туралы айтпас бұрын, AD ішінде сақталған деректерді қарастырайық.
Active Directory - бұл корпоративтік Facebook
Бірақ бұл жағдайда сіз бәрімен достасып үлгердіңіз! Сіз әріптестеріңіздің сүйікті фильмдері, кітаптары немесе мейрамханалары туралы білмеуіңіз мүмкін, бірақ AD құпия байланыс ақпаратын қамтиды.
арнайы техникалық дағдыларсыз хакерлер және тіпті инсайдерлер пайдалана алатын деректер және басқа өрістер.
Жүйе әкімшілері, әрине, төмендегі скриншотпен таныс. Бұл Active Directory пайдаланушылары мен компьютерлері (ADUC) интерфейсі, онда олар пайдаланушы ақпаратын орнатады және өңдейді және пайдаланушыларды сәйкес топтарға тағайындайды.
AD қызметкер аты, мекенжайы және телефон нөмірі үшін өрістерді қамтиды, сондықтан ол телефон анықтамалығына ұқсас. Бірақ одан да көп нәрсе бар! Басқа қойындыларға электрондық пошта мен веб-мекен-жай, желілік менеджер және жазбалар кіреді.
Ұйымдағы әрбір адам бұл ақпаратты, әсіресе дәуірде көруі керек пе?
Әрине жоқ! Компанияның жоғарғы басшылығының деректері барлық қызметкерлерге қолжетімді болған кезде мәселе күрделене түседі.
Барлығына арналған PowerView
Бұл жерде PowerView ойнайды. Ол AD жүйесіне қатынасатын негізгі (және шатастыратын) Win32 функцияларына өте ыңғайлы PowerShell интерфейсін ұсынады. Қысқаша айтқанда:
бұл AD өрістерін шығарып алуды өте қысқа командлетті теру сияқты жеңілдетеді.
Компания жетекшілерінің бірі болып табылатын Круелла Девиллдің қызметкері туралы ақпарат жинаудың мысалын алайық. Ол үшін PowerView get-NetUser командлетін пайдаланыңыз:
PowerView орнату маңызды мәселе емес - бетте қараңыз
Жоғарыдағы скриншоттан сіз инсайдер Cruella туралы көп нәрсені тез біле алатынын көре аласыз. Сіз сондай-ақ «ақпарат» өрісінде пайдаланушының жеке әдеттері мен құпия сөзі туралы ақпаратты ашатынын байқадыңыз ба?
Бұл теориялық мүмкіндік емес. бастап
Active Directory өз ACL бар
AD пайдаланушылары мен компьютерлері интерфейсі AD нысандарына рұқсаттарды орнатуға мүмкіндік береді. AD жүйесінде ACL бар және әкімшілер олар арқылы кіруге рұқсат бере алады немесе тыйым сала алады. ADUC View мәзірінде «Қосымша» түймесін басу керек, содан кейін пайдаланушыны ашқан кезде ACL орнатқан «Қауіпсіздік» қойындысын көресіз.
Менің Cruella сценарийімде мен барлық аутентификацияланған пайдаланушылардың оның жеке ақпаратын көре алуын қаламадым, сондықтан мен оларға оқуға рұқсат бермедім:
Енді қарапайым пайдаланушы PowerView бағдарламасында Get-NetUser қолданбасын қолданса, мұны көреді:
Мен бейтаныс көздерден пайдалы ақпаратты жасыра алдым. Оны тиісті пайдаланушыларға қолжетімді ету үшін мен VIP тобының мүшелеріне (Круелла және оның басқа жоғары лауазымды әріптестері) осы құпия деректерге қол жеткізуге мүмкіндік беретін басқа ACL жасадым. Басқаша айтқанда, мен рөлдік үлгіге негізделген AD рұқсаттарын енгіздім, бұл құпия деректерді көптеген қызметкерлерге, соның ішінде Инсайдерлерге қолжетімсіз етті.
Дегенмен, сәйкесінше AD ішіндегі топ нысанындағы ACL параметрін орнату арқылы топ мүшелігін пайдаланушыларға көрінбейтін ете аласыз. Бұл құпиялылық пен қауіпсіздік тұрғысынан көмектеседі.
оның жылы
Мен Круелла мен Монти Бернстің VIP тобына мүшелігін жасыра алдым, бұл хакерлер мен инсайдерлерге инфрақұрылымды барлауды қиындатты.
Бұл жазба сізді өрістерге жақынырақ қарауға ынталандыру үшін арналған
AD және қатысты рұқсаттар. AD - тамаша ресурс, бірақ сіз қалай болатынын ойлаңыз
құпия ақпаратты және жеке деректерді бөліскісі келді, әсіресе
ұйымыңыздың жоғары лауазымды тұлғаларына келетін болсақ.
Ақпарат көзі: www.habr.com