ಬಳಸಿ ನುಗ್ಗುವ ಪರೀಕ್ಷೆ ಮಾಡಿದ್ದೇನೆ ಮತ್ತು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯಿಂದ ಬಳಕೆದಾರರ ಮಾಹಿತಿಯನ್ನು ಹಿಂಪಡೆಯಲು ಇದನ್ನು ಬಳಸಲಾಗಿದೆ (ಇನ್ನು ಮುಂದೆ AD ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ). ಆ ಸಮಯದಲ್ಲಿ, ಭದ್ರತಾ ಗುಂಪಿನ ಸದಸ್ಯತ್ವದ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುವುದು ಮತ್ತು ನಂತರ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ನ್ಯಾವಿಗೇಟ್ ಮಾಡಲು ಆ ಮಾಹಿತಿಯನ್ನು ಬಳಸುವುದು ನನ್ನ ಮಹತ್ವವಾಗಿತ್ತು. ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ, AD ಸೂಕ್ಷ್ಮ ಉದ್ಯೋಗಿ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿದೆ, ಅವುಗಳಲ್ಲಿ ಕೆಲವು ನಿಜವಾಗಿಯೂ ಸಂಸ್ಥೆಯಲ್ಲಿರುವ ಎಲ್ಲರಿಗೂ ಪ್ರವೇಶಿಸಬಾರದು. ವಾಸ್ತವವಾಗಿ, ವಿಂಡೋಸ್ ಫೈಲ್ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಸಮಾನತೆ ಇದೆ , ಇದನ್ನು ಆಂತರಿಕ ಮತ್ತು ಬಾಹ್ಯ ದಾಳಿಕೋರರು ಸಹ ಬಳಸಬಹುದು.
ಆದರೆ ನಾವು ಗೌಪ್ಯತೆ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಮತ್ತು ಅವುಗಳನ್ನು ಹೇಗೆ ಸರಿಪಡಿಸುವುದು ಎಂಬುದರ ಕುರಿತು ಮಾತನಾಡುವ ಮೊದಲು, AD ಯಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಡೇಟಾವನ್ನು ನೋಡೋಣ.
ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಕಾರ್ಪೊರೇಟ್ ಫೇಸ್ಬುಕ್ ಆಗಿದೆ
ಆದರೆ ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ಈಗಾಗಲೇ ಎಲ್ಲರೊಂದಿಗೆ ಸ್ನೇಹಿತರನ್ನು ಮಾಡಿದ್ದೀರಿ! ನಿಮ್ಮ ಸಹೋದ್ಯೋಗಿಗಳ ಮೆಚ್ಚಿನ ಚಲನಚಿತ್ರಗಳು, ಪುಸ್ತಕಗಳು ಅಥವಾ ರೆಸ್ಟೋರೆಂಟ್ಗಳ ಬಗ್ಗೆ ನಿಮಗೆ ತಿಳಿದಿಲ್ಲದಿರಬಹುದು, ಆದರೆ AD ಸೂಕ್ಷ್ಮ ಸಂಪರ್ಕ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ವಿಶೇಷ ತಾಂತ್ರಿಕ ಕೌಶಲ್ಯಗಳಿಲ್ಲದ ಹ್ಯಾಕರ್ಗಳು ಮತ್ತು ಒಳಗಿನವರು ಸಹ ಬಳಸಬಹುದಾದ ಡೇಟಾ ಮತ್ತು ಇತರ ಕ್ಷೇತ್ರಗಳು.
ಸಿಸ್ಟಮ್ ನಿರ್ವಾಹಕರು ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನೊಂದಿಗೆ ಸಹಜವಾಗಿ ಪರಿಚಿತರಾಗಿದ್ದಾರೆ. ಇದು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಬಳಕೆದಾರರು ಮತ್ತು ಕಂಪ್ಯೂಟರ್ಗಳ (ADUC) ಇಂಟರ್ಫೇಸ್ ಆಗಿದ್ದು, ಅಲ್ಲಿ ಅವರು ಬಳಕೆದಾರರ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿಸಿ ಮತ್ತು ಸಂಪಾದಿಸುತ್ತಾರೆ ಮತ್ತು ಬಳಕೆದಾರರನ್ನು ಸೂಕ್ತ ಗುಂಪುಗಳಿಗೆ ನಿಯೋಜಿಸುತ್ತಾರೆ.
AD ಉದ್ಯೋಗಿ ಹೆಸರು, ವಿಳಾಸ ಮತ್ತು ಫೋನ್ ಸಂಖ್ಯೆಗಾಗಿ ಕ್ಷೇತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಆದ್ದರಿಂದ ಇದು ದೂರವಾಣಿ ಡೈರೆಕ್ಟರಿಯನ್ನು ಹೋಲುತ್ತದೆ. ಆದರೆ ಇನ್ನೂ ತುಂಬಾ ಇದೆ! ಇತರ ಟ್ಯಾಬ್ಗಳು ಇಮೇಲ್ ಮತ್ತು ವೆಬ್ ವಿಳಾಸ, ಲೈನ್ ಮ್ಯಾನೇಜರ್ ಮತ್ತು ಟಿಪ್ಪಣಿಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿರುತ್ತವೆ.
ಸಂಸ್ಥೆಯಲ್ಲಿರುವ ಪ್ರತಿಯೊಬ್ಬರೂ ಈ ಮಾಹಿತಿಯನ್ನು ನೋಡುವ ಅಗತ್ಯವಿದೆಯೇ, ವಿಶೇಷವಾಗಿ ಯುಗದಲ್ಲಿ , ಪ್ರತಿ ಹೊಸ ವಿವರವು ಹೆಚ್ಚಿನ ಮಾಹಿತಿಗಾಗಿ ಹುಡುಕಾಟವನ್ನು ಇನ್ನಷ್ಟು ಸುಲಭಗೊಳಿಸಿದಾಗ?
ಖಂಡಿತ ಇಲ್ಲ! ಕಂಪನಿಯ ಉನ್ನತ ನಿರ್ವಹಣೆಯಿಂದ ಎಲ್ಲಾ ಉದ್ಯೋಗಿಗಳಿಗೆ ಡೇಟಾ ಲಭ್ಯವಾದಾಗ ಸಮಸ್ಯೆಯು ಜಟಿಲವಾಗಿದೆ.
ಎಲ್ಲರಿಗೂ ಪವರ್ ವ್ಯೂ
ಇಲ್ಲಿ PowerView ಕಾರ್ಯರೂಪಕ್ಕೆ ಬರುತ್ತದೆ. ಇದು AD ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಆಧಾರವಾಗಿರುವ (ಮತ್ತು ಗೊಂದಲಮಯ) Win32 ಕಾರ್ಯಗಳಿಗೆ ಅತ್ಯಂತ ಬಳಕೆದಾರ-ಸ್ನೇಹಿ PowerShell ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ಸಂಕ್ಷಿಪ್ತವಾಗಿ:
ಇದು ಬಹಳ ಚಿಕ್ಕ cmdlet ಅನ್ನು ಟೈಪ್ ಮಾಡುವಷ್ಟು ಸುಲಭವಾಗಿ AD ಕ್ಷೇತ್ರಗಳನ್ನು ಹಿಂಪಡೆಯುವಂತೆ ಮಾಡುತ್ತದೆ.
ಕಂಪನಿಯ ನಾಯಕರಲ್ಲಿ ಒಬ್ಬರಾದ ಕ್ರುಯೆಲ್ಲಾ ಡೆವಿಲ್ಲೆ ಅವರ ಉದ್ಯೋಗಿಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುವ ಉದಾಹರಣೆಯನ್ನು ತೆಗೆದುಕೊಳ್ಳೋಣ. ಇದನ್ನು ಮಾಡಲು, PowerView get-NetUser cmdlet ಅನ್ನು ಬಳಸಿ:
PowerView ಅನ್ನು ಸ್ಥಾಪಿಸುವುದು ಗಂಭೀರ ಸಮಸ್ಯೆಯಲ್ಲ - ಪುಟದಲ್ಲಿ ನಿಮಗಾಗಿ ನೋಡಿ . ಮತ್ತು ಹೆಚ್ಚು ಮುಖ್ಯವಾಗಿ, get-NetUser ನಂತಹ ಅನೇಕ PowerView ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸಲು ನಿಮಗೆ ಉನ್ನತ ಸವಲತ್ತುಗಳ ಅಗತ್ಯವಿಲ್ಲ. ಈ ರೀತಿಯಾಗಿ, ಪ್ರೇರಿತ ಆದರೆ ಹೆಚ್ಚು ತಾಂತ್ರಿಕ-ಅರಿವಿಲ್ಲದ ಉದ್ಯೋಗಿ ಹೆಚ್ಚು ಶ್ರಮವಿಲ್ಲದೆ AD ಯೊಂದಿಗೆ ಟಿಂಕರ್ ಮಾಡಲು ಪ್ರಾರಂಭಿಸಬಹುದು.
ಮೇಲಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನಿಂದ, ಒಳಗಿನವರು ಕ್ರುಯೆಲ್ಲಾ ಬಗ್ಗೆ ತ್ವರಿತವಾಗಿ ಕಲಿಯಬಹುದು ಎಂದು ನೀವು ನೋಡಬಹುದು. "ಮಾಹಿತಿ" ಕ್ಷೇತ್ರವು ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಅಭ್ಯಾಸಗಳು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ ಎಂದು ನೀವು ಗಮನಿಸಿದ್ದೀರಾ?
ಇದು ಸೈದ್ಧಾಂತಿಕ ಸಾಧ್ಯತೆ ಅಲ್ಲ. ಇಂದ ಸರಳ ಪಠ್ಯದ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಹುಡುಕಲು ಅವರು AD ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತಾರೆ ಎಂದು ನಾನು ಕಲಿತಿದ್ದೇನೆ ಮತ್ತು ಆಗಾಗ್ಗೆ ಈ ಪ್ರಯತ್ನಗಳು ದುರದೃಷ್ಟವಶಾತ್ ಯಶಸ್ವಿಯಾಗುತ್ತವೆ. AD ಯಲ್ಲಿನ ಮಾಹಿತಿಯೊಂದಿಗೆ ಕಂಪನಿಗಳು ಅಸಡ್ಡೆ ಹೊಂದಿದ್ದಾರೆಂದು ಅವರಿಗೆ ತಿಳಿದಿದೆ ಮತ್ತು ಮುಂದಿನ ವಿಷಯದ ಬಗ್ಗೆ ಅವರಿಗೆ ತಿಳಿದಿರುವುದಿಲ್ಲ: AD ಅನುಮತಿಗಳು.
ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ತನ್ನದೇ ಆದ ACL ಗಳನ್ನು ಹೊಂದಿದೆ
AD ಬಳಕೆದಾರರು ಮತ್ತು ಕಂಪ್ಯೂಟರ್ ಇಂಟರ್ಫೇಸ್ ನಿಮಗೆ AD ವಸ್ತುಗಳ ಮೇಲೆ ಅನುಮತಿಗಳನ್ನು ಹೊಂದಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. AD ACL ಗಳನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ನಿರ್ವಾಹಕರು ಅವುಗಳ ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ನೀಡಬಹುದು ಅಥವಾ ನಿರಾಕರಿಸಬಹುದು. ನೀವು ADUC ವೀಕ್ಷಣೆ ಮೆನುವಿನಲ್ಲಿ "ಸುಧಾರಿತ" ಕ್ಲಿಕ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ ಮತ್ತು ನಂತರ ನೀವು ಬಳಕೆದಾರರನ್ನು ತೆರೆದಾಗ ನೀವು ACL ಅನ್ನು ಹೊಂದಿಸುವ "ಭದ್ರತೆ" ಟ್ಯಾಬ್ ಅನ್ನು ನೋಡುತ್ತೀರಿ.
ನನ್ನ ಕ್ರುಯೆಲ್ಲಾ ಸನ್ನಿವೇಶದಲ್ಲಿ, ಎಲ್ಲಾ ದೃಢೀಕೃತ ಬಳಕೆದಾರರು ಆಕೆಯ ವೈಯಕ್ತಿಕ ಮಾಹಿತಿಯನ್ನು ನೋಡಲು ಸಾಧ್ಯವಾಗಬೇಕೆಂದು ನಾನು ಬಯಸಲಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾನು ಅವರಿಗೆ ಓದುವ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸಿದೆ:
ಮತ್ತು ಈಗ ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರು PowerView ನಲ್ಲಿ Get-NetUser ಅನ್ನು ಪ್ರಯತ್ನಿಸಿದರೆ ಇದನ್ನು ನೋಡುತ್ತಾರೆ:
ಗೂಢಾಚಾರಿಕೆಯ ಕಣ್ಣುಗಳಿಂದ ನಿಸ್ಸಂಶಯವಾಗಿ ಉಪಯುಕ್ತ ಮಾಹಿತಿಯನ್ನು ಮರೆಮಾಡಲು ನಾನು ನಿರ್ವಹಿಸುತ್ತಿದ್ದೆ. ಸಂಬಂಧಿತ ಬಳಕೆದಾರರಿಗೆ ಅದನ್ನು ಪ್ರವೇಶಿಸಲು, ನಾನು VIP ಗುಂಪಿನ ಸದಸ್ಯರಿಗೆ (ಕ್ರುಯೆಲ್ಲಾ ಮತ್ತು ಅವರ ಇತರ ಉನ್ನತ-ಶ್ರೇಣಿಯ ಸಹೋದ್ಯೋಗಿಗಳು) ಈ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲು ಅನುಮತಿಸಲು ಮತ್ತೊಂದು ACL ಅನ್ನು ರಚಿಸಿದ್ದೇನೆ. ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ನಾನು ರೋಲ್ ಮಾಡೆಲ್ ಅನ್ನು ಆಧರಿಸಿ AD ಅನುಮತಿಗಳನ್ನು ಜಾರಿಗೆ ತಂದಿದ್ದೇನೆ, ಇದು ಒಳಗಿನವರು ಸೇರಿದಂತೆ ಹೆಚ್ಚಿನ ಉದ್ಯೋಗಿಗಳಿಗೆ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲಾಗುವುದಿಲ್ಲ.
ಆದಾಗ್ಯೂ, ಗುಂಪಿನ ವಸ್ತುವಿನ ಮೇಲೆ ACL ಅನ್ನು AD ಯಲ್ಲಿ ಹೊಂದಿಸುವ ಮೂಲಕ ನೀವು ಗುಂಪಿನ ಸದಸ್ಯತ್ವವನ್ನು ಬಳಕೆದಾರರಿಗೆ ಅಗೋಚರವಾಗಿ ಮಾಡಬಹುದು. ಇದು ಗೌಪ್ಯತೆ ಮತ್ತು ಭದ್ರತೆಯ ವಿಷಯದಲ್ಲಿ ಸಹಾಯ ಮಾಡುತ್ತದೆ.
ಅವರಲ್ಲಿ PowerViews Get-NetGroupMember ಬಳಸಿಕೊಂಡು ಗುಂಪಿನ ಸದಸ್ಯತ್ವವನ್ನು ಪರೀಕ್ಷಿಸುವ ಮೂಲಕ ನೀವು ಸಿಸ್ಟಮ್ ಅನ್ನು ಹೇಗೆ ನ್ಯಾವಿಗೇಟ್ ಮಾಡಬಹುದು ಎಂಬುದನ್ನು ನಾನು ತೋರಿಸಿದೆ. ನನ್ನ ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ, ನಿರ್ದಿಷ್ಟ ಗುಂಪಿನ ಸದಸ್ಯತ್ವಕ್ಕೆ ನಾನು ಓದುವ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸಿದೆ. ಬದಲಾವಣೆಗಳ ಮೊದಲು ಮತ್ತು ನಂತರ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸುವ ಫಲಿತಾಂಶವನ್ನು ನೀವು ನೋಡಬಹುದು:
ವಿಐಪಿ ಗುಂಪಿನಲ್ಲಿ ಕ್ರುಯೆಲ್ಲಾ ಮತ್ತು ಮಾಂಟಿ ಬರ್ನ್ಸ್ನ ಸದಸ್ಯತ್ವವನ್ನು ಮರೆಮಾಡಲು ನನಗೆ ಸಾಧ್ಯವಾಯಿತು, ಇದರಿಂದಾಗಿ ಹ್ಯಾಕರ್ಗಳು ಮತ್ತು ಒಳಗಿನವರಿಗೆ ಮೂಲಸೌಕರ್ಯವನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಕಷ್ಟವಾಯಿತು.
ಈ ಪೋಸ್ಟ್ ಕ್ಷೇತ್ರಗಳನ್ನು ಹತ್ತಿರದಿಂದ ನೋಡಲು ನಿಮ್ಮನ್ನು ಪ್ರೇರೇಪಿಸುವ ಉದ್ದೇಶವನ್ನು ಹೊಂದಿದೆ
AD ಮತ್ತು ಸಂಬಂಧಿತ ಅನುಮತಿಗಳು. AD ಒಂದು ಉತ್ತಮ ಸಂಪನ್ಮೂಲವಾಗಿದೆ, ಆದರೆ ನೀವು ಹೇಗೆ ಮಾಡುತ್ತೀರಿ ಎಂಬುದರ ಕುರಿತು ಯೋಚಿಸಿ
ಗೌಪ್ಯ ಮಾಹಿತಿ ಮತ್ತು ವೈಯಕ್ತಿಕ ಡೇಟಾವನ್ನು ಹಂಚಿಕೊಳ್ಳಲು ಬಯಸಿದೆ, ವಿಶೇಷವಾಗಿ
ನಿಮ್ಮ ಸಂಸ್ಥೆಯ ಉನ್ನತ ಅಧಿಕಾರಿಗಳ ವಿಷಯಕ್ಕೆ ಬಂದಾಗ.
ಮೂಲ: www.habr.com