Мен ену сынамасын қолдандым және оны Active Directory (бұдан әрі - AD) ішінен пайдаланушы ақпаратын алу үшін пайдаланды. Ол кезде мен қауіпсіздік тобына мүшелік туралы ақпаратты жинауға, содан кейін желіде шарлау үшін осы ақпаратты пайдалануға баса назар аудардым. Қалай болғанда да, AD құпия қызметкер деректерін қамтиды, олардың кейбіреулері ұйымдағы барлық адамдар үшін қол жетімді болмауы керек. Шын мәнінде, Windows файлдық жүйелерінде баламасы бар , оны ішкі және сыртқы шабуылдаушылар да пайдалана алады.
Бірақ біз құпиялылық мәселелері және оларды шешу жолдары туралы айтпас бұрын, AD ішінде сақталған деректерді қарастырайық.
Active Directory - бұл корпоративтік Facebook
Бірақ бұл жағдайда сіз бәрімен достасып үлгердіңіз! Сіз әріптестеріңіздің сүйікті фильмдері, кітаптары немесе мейрамханалары туралы білмеуіңіз мүмкін, бірақ AD құпия байланыс ақпаратын қамтиды.
арнайы техникалық дағдыларсыз хакерлер және тіпті инсайдерлер пайдалана алатын деректер және басқа өрістер.
Жүйе әкімшілері, әрине, төмендегі скриншотпен таныс. Бұл Active Directory пайдаланушылары мен компьютерлері (ADUC) интерфейсі, онда олар пайдаланушы ақпаратын орнатады және өңдейді және пайдаланушыларды сәйкес топтарға тағайындайды.
AD қызметкер аты, мекенжайы және телефон нөмірі үшін өрістерді қамтиды, сондықтан ол телефон анықтамалығына ұқсас. Бірақ одан да көп нәрсе бар! Басқа қойындыларға электрондық пошта мен веб-мекен-жай, желілік менеджер және жазбалар кіреді.
Ұйымдағы әрбір адам бұл ақпаратты, әсіресе дәуірде көруі керек пе? , қашан әрбір жаңа деталь қосымша ақпаратты іздеуді жеңілдетеді?
Әрине жоқ! Компанияның жоғарғы басшылығының деректері барлық қызметкерлерге қолжетімді болған кезде мәселе күрделене түседі.
Барлығына арналған PowerView
Бұл жерде PowerView ойнайды. Ол AD жүйесіне қатынасатын негізгі (және шатастыратын) Win32 функцияларына өте ыңғайлы PowerShell интерфейсін ұсынады. Қысқаша айтқанда:
бұл AD өрістерін шығарып алуды өте қысқа командлетті теру сияқты жеңілдетеді.
Компания жетекшілерінің бірі болып табылатын Круелла Девиллдің қызметкері туралы ақпарат жинаудың мысалын алайық. Ол үшін PowerView get-NetUser командлетін пайдаланыңыз:
PowerView орнату маңызды мәселе емес - бетте қараңыз . Ең бастысы, get-NetUser сияқты көптеген PowerView пәрмендерін іске қосу үшін жоғары артықшылықтар қажет емес. Осылайша, ынталы, бірақ технологияны онша білмейтін қызметкер AD-мен көп күш жұмсамай-ақ жұмыс істей бастайды.
Жоғарыдағы скриншоттан сіз инсайдер Cruella туралы көп нәрсені тез біле алатынын көре аласыз. Сіз сондай-ақ «ақпарат» өрісінде пайдаланушының жеке әдеттері мен құпия сөзі туралы ақпаратты ашатынын байқадыңыз ба?
Бұл теориялық мүмкіндік емес. бастап Мен олардың ашық мәтіндік құпия сөздерді табу үшін AD сканерлеуін білдім және көбінесе бұл әрекеттер өкінішке орай сәтті болады. Олар компаниялардың AD ақпаратына немқұрайлы қарайтынын біледі және олар келесі тақырыпты білмейді: AD рұқсаттары.
Active Directory өз ACL бар
AD пайдаланушылары мен компьютерлері интерфейсі AD нысандарына рұқсаттарды орнатуға мүмкіндік береді. AD жүйесінде ACL бар және әкімшілер олар арқылы кіруге рұқсат бере алады немесе тыйым сала алады. ADUC View мәзірінде «Қосымша» түймесін басу керек, содан кейін пайдаланушыны ашқан кезде ACL орнатқан «Қауіпсіздік» қойындысын көресіз.
Менің Cruella сценарийімде мен барлық аутентификацияланған пайдаланушылардың оның жеке ақпаратын көре алуын қаламадым, сондықтан мен оларға оқуға рұқсат бермедім:
Енді қарапайым пайдаланушы PowerView бағдарламасында Get-NetUser қолданбасын қолданса, мұны көреді:
Мен бейтаныс көздерден пайдалы ақпаратты жасыра алдым. Оны тиісті пайдаланушыларға қолжетімді ету үшін мен VIP тобының мүшелеріне (Круелла және оның басқа жоғары лауазымды әріптестері) осы құпия деректерге қол жеткізуге мүмкіндік беретін басқа ACL жасадым. Басқаша айтқанда, мен рөлдік үлгіге негізделген AD рұқсаттарын енгіздім, бұл құпия деректерді көптеген қызметкерлерге, соның ішінде Инсайдерлерге қолжетімсіз етті.
Дегенмен, сәйкесінше AD ішіндегі топ нысанындағы ACL параметрін орнату арқылы топ мүшелігін пайдаланушыларға көрінбейтін ете аласыз. Бұл құпиялылық пен қауіпсіздік тұрғысынан көмектеседі.
оның жылы Мен PowerViews Get-NetGroupMember арқылы топ мүшелігін тексеру арқылы жүйеде қалай шарлауға болатынын көрсеттім. Сценарийде мен белгілі бір топтағы мүшелікке оқуға рұқсатты шектедім. Өзгерістерге дейін және кейін пәрменді іске қосу нәтижесін көруге болады:
Мен Круелла мен Монти Бернстің VIP тобына мүшелігін жасыра алдым, бұл хакерлер мен инсайдерлерге инфрақұрылымды барлауды қиындатты.
Бұл жазба сізді өрістерге жақынырақ қарауға ынталандыру үшін арналған
AD және қатысты рұқсаттар. AD - тамаша ресурс, бірақ сіз қалай болатынын ойлаңыз
құпия ақпаратты және жеке деректерді бөліскісі келді, әсіресе
ұйымыңыздың жоғары лауазымды тұлғаларына келетін болсақ.
Ақпарат көзі: www.habr.com