ಬಳಸಿ ನುಗ್ಗುವ ಪರೀಕ್ಷೆ ಮಾಡಿದ್ದೇನೆ
ಆದರೆ ನಾವು ಗೌಪ್ಯತೆ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಮತ್ತು ಅವುಗಳನ್ನು ಹೇಗೆ ಸರಿಪಡಿಸುವುದು ಎಂಬುದರ ಕುರಿತು ಮಾತನಾಡುವ ಮೊದಲು, AD ಯಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಡೇಟಾವನ್ನು ನೋಡೋಣ.
ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಕಾರ್ಪೊರೇಟ್ ಫೇಸ್ಬುಕ್ ಆಗಿದೆ
ಆದರೆ ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ಈಗಾಗಲೇ ಎಲ್ಲರೊಂದಿಗೆ ಸ್ನೇಹಿತರನ್ನು ಮಾಡಿದ್ದೀರಿ! ನಿಮ್ಮ ಸಹೋದ್ಯೋಗಿಗಳ ಮೆಚ್ಚಿನ ಚಲನಚಿತ್ರಗಳು, ಪುಸ್ತಕಗಳು ಅಥವಾ ರೆಸ್ಟೋರೆಂಟ್ಗಳ ಬಗ್ಗೆ ನಿಮಗೆ ತಿಳಿದಿಲ್ಲದಿರಬಹುದು, ಆದರೆ AD ಸೂಕ್ಷ್ಮ ಸಂಪರ್ಕ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ವಿಶೇಷ ತಾಂತ್ರಿಕ ಕೌಶಲ್ಯಗಳಿಲ್ಲದ ಹ್ಯಾಕರ್ಗಳು ಮತ್ತು ಒಳಗಿನವರು ಸಹ ಬಳಸಬಹುದಾದ ಡೇಟಾ ಮತ್ತು ಇತರ ಕ್ಷೇತ್ರಗಳು.
ಸಿಸ್ಟಮ್ ನಿರ್ವಾಹಕರು ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನೊಂದಿಗೆ ಸಹಜವಾಗಿ ಪರಿಚಿತರಾಗಿದ್ದಾರೆ. ಇದು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಬಳಕೆದಾರರು ಮತ್ತು ಕಂಪ್ಯೂಟರ್ಗಳ (ADUC) ಇಂಟರ್ಫೇಸ್ ಆಗಿದ್ದು, ಅಲ್ಲಿ ಅವರು ಬಳಕೆದಾರರ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿಸಿ ಮತ್ತು ಸಂಪಾದಿಸುತ್ತಾರೆ ಮತ್ತು ಬಳಕೆದಾರರನ್ನು ಸೂಕ್ತ ಗುಂಪುಗಳಿಗೆ ನಿಯೋಜಿಸುತ್ತಾರೆ.
AD ಉದ್ಯೋಗಿ ಹೆಸರು, ವಿಳಾಸ ಮತ್ತು ಫೋನ್ ಸಂಖ್ಯೆಗಾಗಿ ಕ್ಷೇತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಆದ್ದರಿಂದ ಇದು ದೂರವಾಣಿ ಡೈರೆಕ್ಟರಿಯನ್ನು ಹೋಲುತ್ತದೆ. ಆದರೆ ಇನ್ನೂ ತುಂಬಾ ಇದೆ! ಇತರ ಟ್ಯಾಬ್ಗಳು ಇಮೇಲ್ ಮತ್ತು ವೆಬ್ ವಿಳಾಸ, ಲೈನ್ ಮ್ಯಾನೇಜರ್ ಮತ್ತು ಟಿಪ್ಪಣಿಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿರುತ್ತವೆ.
ಸಂಸ್ಥೆಯಲ್ಲಿರುವ ಪ್ರತಿಯೊಬ್ಬರೂ ಈ ಮಾಹಿತಿಯನ್ನು ನೋಡುವ ಅಗತ್ಯವಿದೆಯೇ, ವಿಶೇಷವಾಗಿ ಯುಗದಲ್ಲಿ
ಖಂಡಿತ ಇಲ್ಲ! ಕಂಪನಿಯ ಉನ್ನತ ನಿರ್ವಹಣೆಯಿಂದ ಎಲ್ಲಾ ಉದ್ಯೋಗಿಗಳಿಗೆ ಡೇಟಾ ಲಭ್ಯವಾದಾಗ ಸಮಸ್ಯೆಯು ಜಟಿಲವಾಗಿದೆ.
ಎಲ್ಲರಿಗೂ ಪವರ್ ವ್ಯೂ
ಇಲ್ಲಿ PowerView ಕಾರ್ಯರೂಪಕ್ಕೆ ಬರುತ್ತದೆ. ಇದು AD ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಆಧಾರವಾಗಿರುವ (ಮತ್ತು ಗೊಂದಲಮಯ) Win32 ಕಾರ್ಯಗಳಿಗೆ ಅತ್ಯಂತ ಬಳಕೆದಾರ-ಸ್ನೇಹಿ PowerShell ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ಸಂಕ್ಷಿಪ್ತವಾಗಿ:
ಇದು ಬಹಳ ಚಿಕ್ಕ cmdlet ಅನ್ನು ಟೈಪ್ ಮಾಡುವಷ್ಟು ಸುಲಭವಾಗಿ AD ಕ್ಷೇತ್ರಗಳನ್ನು ಹಿಂಪಡೆಯುವಂತೆ ಮಾಡುತ್ತದೆ.
ಕಂಪನಿಯ ನಾಯಕರಲ್ಲಿ ಒಬ್ಬರಾದ ಕ್ರುಯೆಲ್ಲಾ ಡೆವಿಲ್ಲೆ ಅವರ ಉದ್ಯೋಗಿಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುವ ಉದಾಹರಣೆಯನ್ನು ತೆಗೆದುಕೊಳ್ಳೋಣ. ಇದನ್ನು ಮಾಡಲು, PowerView get-NetUser cmdlet ಅನ್ನು ಬಳಸಿ:
PowerView ಅನ್ನು ಸ್ಥಾಪಿಸುವುದು ಗಂಭೀರ ಸಮಸ್ಯೆಯಲ್ಲ - ಪುಟದಲ್ಲಿ ನಿಮಗಾಗಿ ನೋಡಿ
ಮೇಲಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನಿಂದ, ಒಳಗಿನವರು ಕ್ರುಯೆಲ್ಲಾ ಬಗ್ಗೆ ತ್ವರಿತವಾಗಿ ಕಲಿಯಬಹುದು ಎಂದು ನೀವು ನೋಡಬಹುದು. "ಮಾಹಿತಿ" ಕ್ಷೇತ್ರವು ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಅಭ್ಯಾಸಗಳು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ ಎಂದು ನೀವು ಗಮನಿಸಿದ್ದೀರಾ?
ಇದು ಸೈದ್ಧಾಂತಿಕ ಸಾಧ್ಯತೆ ಅಲ್ಲ. ಇಂದ
ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ತನ್ನದೇ ಆದ ACL ಗಳನ್ನು ಹೊಂದಿದೆ
AD ಬಳಕೆದಾರರು ಮತ್ತು ಕಂಪ್ಯೂಟರ್ ಇಂಟರ್ಫೇಸ್ ನಿಮಗೆ AD ವಸ್ತುಗಳ ಮೇಲೆ ಅನುಮತಿಗಳನ್ನು ಹೊಂದಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. AD ACL ಗಳನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ನಿರ್ವಾಹಕರು ಅವುಗಳ ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ನೀಡಬಹುದು ಅಥವಾ ನಿರಾಕರಿಸಬಹುದು. ನೀವು ADUC ವೀಕ್ಷಣೆ ಮೆನುವಿನಲ್ಲಿ "ಸುಧಾರಿತ" ಕ್ಲಿಕ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ ಮತ್ತು ನಂತರ ನೀವು ಬಳಕೆದಾರರನ್ನು ತೆರೆದಾಗ ನೀವು ACL ಅನ್ನು ಹೊಂದಿಸುವ "ಭದ್ರತೆ" ಟ್ಯಾಬ್ ಅನ್ನು ನೋಡುತ್ತೀರಿ.
ನನ್ನ ಕ್ರುಯೆಲ್ಲಾ ಸನ್ನಿವೇಶದಲ್ಲಿ, ಎಲ್ಲಾ ದೃಢೀಕೃತ ಬಳಕೆದಾರರು ಆಕೆಯ ವೈಯಕ್ತಿಕ ಮಾಹಿತಿಯನ್ನು ನೋಡಲು ಸಾಧ್ಯವಾಗಬೇಕೆಂದು ನಾನು ಬಯಸಲಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾನು ಅವರಿಗೆ ಓದುವ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸಿದೆ:
ಮತ್ತು ಈಗ ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರು PowerView ನಲ್ಲಿ Get-NetUser ಅನ್ನು ಪ್ರಯತ್ನಿಸಿದರೆ ಇದನ್ನು ನೋಡುತ್ತಾರೆ:
ಗೂಢಾಚಾರಿಕೆಯ ಕಣ್ಣುಗಳಿಂದ ನಿಸ್ಸಂಶಯವಾಗಿ ಉಪಯುಕ್ತ ಮಾಹಿತಿಯನ್ನು ಮರೆಮಾಡಲು ನಾನು ನಿರ್ವಹಿಸುತ್ತಿದ್ದೆ. ಸಂಬಂಧಿತ ಬಳಕೆದಾರರಿಗೆ ಅದನ್ನು ಪ್ರವೇಶಿಸಲು, ನಾನು VIP ಗುಂಪಿನ ಸದಸ್ಯರಿಗೆ (ಕ್ರುಯೆಲ್ಲಾ ಮತ್ತು ಅವರ ಇತರ ಉನ್ನತ-ಶ್ರೇಣಿಯ ಸಹೋದ್ಯೋಗಿಗಳು) ಈ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲು ಅನುಮತಿಸಲು ಮತ್ತೊಂದು ACL ಅನ್ನು ರಚಿಸಿದ್ದೇನೆ. ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ನಾನು ರೋಲ್ ಮಾಡೆಲ್ ಅನ್ನು ಆಧರಿಸಿ AD ಅನುಮತಿಗಳನ್ನು ಜಾರಿಗೆ ತಂದಿದ್ದೇನೆ, ಇದು ಒಳಗಿನವರು ಸೇರಿದಂತೆ ಹೆಚ್ಚಿನ ಉದ್ಯೋಗಿಗಳಿಗೆ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲಾಗುವುದಿಲ್ಲ.
ಆದಾಗ್ಯೂ, ಗುಂಪಿನ ವಸ್ತುವಿನ ಮೇಲೆ ACL ಅನ್ನು AD ಯಲ್ಲಿ ಹೊಂದಿಸುವ ಮೂಲಕ ನೀವು ಗುಂಪಿನ ಸದಸ್ಯತ್ವವನ್ನು ಬಳಕೆದಾರರಿಗೆ ಅಗೋಚರವಾಗಿ ಮಾಡಬಹುದು. ಇದು ಗೌಪ್ಯತೆ ಮತ್ತು ಭದ್ರತೆಯ ವಿಷಯದಲ್ಲಿ ಸಹಾಯ ಮಾಡುತ್ತದೆ.
ಅವರಲ್ಲಿ
ವಿಐಪಿ ಗುಂಪಿನಲ್ಲಿ ಕ್ರುಯೆಲ್ಲಾ ಮತ್ತು ಮಾಂಟಿ ಬರ್ನ್ಸ್ನ ಸದಸ್ಯತ್ವವನ್ನು ಮರೆಮಾಡಲು ನನಗೆ ಸಾಧ್ಯವಾಯಿತು, ಇದರಿಂದಾಗಿ ಹ್ಯಾಕರ್ಗಳು ಮತ್ತು ಒಳಗಿನವರಿಗೆ ಮೂಲಸೌಕರ್ಯವನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಕಷ್ಟವಾಯಿತು.
ಈ ಪೋಸ್ಟ್ ಕ್ಷೇತ್ರಗಳನ್ನು ಹತ್ತಿರದಿಂದ ನೋಡಲು ನಿಮ್ಮನ್ನು ಪ್ರೇರೇಪಿಸುವ ಉದ್ದೇಶವನ್ನು ಹೊಂದಿದೆ
AD ಮತ್ತು ಸಂಬಂಧಿತ ಅನುಮತಿಗಳು. AD ಒಂದು ಉತ್ತಮ ಸಂಪನ್ಮೂಲವಾಗಿದೆ, ಆದರೆ ನೀವು ಹೇಗೆ ಮಾಡುತ್ತೀರಿ ಎಂಬುದರ ಕುರಿತು ಯೋಚಿಸಿ
ಗೌಪ್ಯ ಮಾಹಿತಿ ಮತ್ತು ವೈಯಕ್ತಿಕ ಡೇಟಾವನ್ನು ಹಂಚಿಕೊಳ್ಳಲು ಬಯಸಿದೆ, ವಿಶೇಷವಾಗಿ
ನಿಮ್ಮ ಸಂಸ್ಥೆಯ ಉನ್ನತ ಅಧಿಕಾರಿಗಳ ವಿಷಯಕ್ಕೆ ಬಂದಾಗ.
ಮೂಲ: www.habr.com