Zêdebûna îmtiyazê karanîna mafên hesabê heyî yên êrîşkar e ku ji bo bidestxistina asta zêde, bi gelemperî bilindtir, gihîştina pergalê ye. Digel ku mezinbûna îmtiyazê dikare bibe encama kedxwariyên-roja zero, hackerên serdest ku êrîşek armanckirî dest pê dikin, an malwareyek bi aqilmendî veşartî, ew bi gelemperî ji ber veavakirina çewt a computer an hesabê pêk tê. Bi pêşdebirina êrîşê re, êrîşkar gelek qelsiyên takekesî bi kar tînin, ku bi hev re dikarin bibin sedema derketina daneya felaketê.
Çima divê bikarhêner xwediyê mafên rêveberê herêmî nebin?
Heke hûn pisporek ewlehiyê ne, dibe ku eşkere xuya bike ku bikarhêner ne xwediyê mafên rêveberê herêmî ne, ji ber ku ev:
- Hesabên wan ji êrîşên cûrbecûr metirsîdartir dike
- Heman êrîşan girantir dike
Mixabin, ji bo gelek rêxistinan ev hîn jî mijarek pir nakokî ye û carinan bi nîqaşên germ ve tê (binêre, wek nimûne, ). Bêyî ku em biçin nav hûrguliyên vê nîqaşê, em bawer dikin ku êrîşkar mafên rêveberê herêmî yên li ser pergala di bin lêpirsînê de bi dest xistiye, an bi îstismarek an jî ji ber ku makîneyên bi rêkûpêk nehatine ewlekirin.
Gav 1: Çareserkirina Navê DNS-ê bi karanîna PowerShell-ê vegerîne
Bi xwerû, PowerShell li ser gelek stasyonên xebatê yên herêmî û li ser piraniya serverên Windows-ê tê saz kirin. Û her çend ne bê zêdegavî ye ku ew wekî amûrek otomasyon û kontrolê ya pir bikêr tê hesibandin, ew bi heman rengî dikare bibe amûrek hema hema nedîtbar. (bernameyeke hackkirinê ku tu şopên êrîşê nahêle).
Di rewşa me de, êrîşkar bi karanîna skrîptek PowerShell dest bi keşfkirina torê dike, bi rêzdarî di nav cîhê navnîşana IP-ya torê de vedigere, hewl dide ku diyar bike ka IP-ya diyarkirî ji mêvandarek re çareser dibe, û heke wusa be, navê torê yê wê mêvandar çi ye.
Gelek rê hene ku meriv vî karî pêk bîne, lê cmdlet bikar tîne ADComputer vebijarkek pêbawer e ji ber ku ew di derheqê her nodê de komek daneya bi rastî dewlemend vedigerîne:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Ger leza li ser torên mezin pirsgirêkek be, dibe ku bangek pergala DNS-ya berevajî were bikar anîn:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Ev rêbaza jimartina mêvandarên li ser torgilokê pir populer e ji ber ku pir torgilok modelek ewlekariya pêbaweriya sifir bikar naynin û lêpirsînên DNS yên navxweyî ji bo teqînên bi guman ên çalakiyê naşopînin.
Gav 2: Armancek hilbijêrin
Encama dawî ya vê gavê bidestxistina navnîşek navên mêvandarên server û stasyona xebatê ye ku dikare ji bo domandina êrîşê were bikar anîn.
Li ser bingeha navê xwe, servera 'HUB-FILER' wekî armancek hêja xuya dike ji ber ku ... Bi demê re, pêşkêşkerên pelan meyla dikin ku hejmareke mezin peldankên torê berhev bikin û ji hêla pir kesan ve pir zêde gihîştina wan kom bikin.
Lêgerîna bi Windows Explorer-ê dihêle ku em diyar bikin ku peldankek hevpar a vekirî heye, lê hesabê meya heyî nikare bigihîje wê (dibe ku em tenê mafên navnîşê hene).
Gav 3: Fêrbûna ACL
Naha li ser mêvandar û parvekirina mebesta HUB-FILER, em dikarin skrîpta PowerShell-ê bimeşînin da ku ACL bistînin. Em dikarin vê yekê ji makîneya herêmî bikin, ji ber ku me berê mafên rêveberê herêmî hene:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoEncama darvekirinê:
Ji wê em dibînin ku koma Bikarhênerên Domainê tenê gihîştina navnîşê heye, lê koma Helpdesk jî xwediyê mafên guherandinê ye.
Gav 4: Nasnameya Hesabê
Running , em dikarin hemî endamên vê komê bistînin:
Get-ADGroupMember -identity Helpdesk
Di vê navnîşê de em hesabê komputerê ku me berê nas kiriye û berê xwe gihandiye dibîne:
Gav 5: PSExec bikar bînin ku di bin hesabek komputerê de bixebitin
ji Microsoft Sysinternals destûrê dide we ku hûn fermanan di çarçoveya hesabê pergalê SYSTEM@HUB-SHAREPOINT de, ku em dizanin ku endamê koma armancê Helpdesk e, bicîh bikin. Ango, em tenê hewce ne ku bikin:
PsExec.exe -s -i cmd.exeWelê, wê hingê hûn bi tevahî gihîştina peldanka armancê HUB-FILERshareHR heye, ji ber ku hûn di çarçoveya hesabê komputerê HUB-SHAREPOINT de dixebitin. Û bi vê gihîştinê, dane dikarin li amûrek hilanînê ya portable werin kopî kirin an jî bi rengek din li ser torê werin girtin û veguheztin.
Gav 6: Tespîtkirina vê êrîşê
Ev qelsiya veavakirina destûrên hesabê taybetî (hesabên komputerê ku li şûna hesabên bikarhêner an hesabên karûbarê xwe digihînin parvekirinên torê) dikare were kifş kirin. Lêbelê, bêyî amûrên rast, ev pir dijwar e.
Ji bo tespîtkirin û pêşîlêgirtina vê kategoriya êrîşan, em dikarin bikar bînin ku komên ku di nav wan de hesabên komputerê hene nas bikin, û paşê gihandina wan red bikin. wêdetir diçe û dihêle hûn bi taybetî ji bo vê celebê senaryoyê agahdariyek biafirînin.
Wêneya jêrîn agahiyek xwerû nîşan dide ku gava ku hesabek komputerê bigihîje daneyên li ser servera çavdêrîkirî dê were destnîşan kirin.
Gavên paşîn bi karanîna PowerShell
Dixwazin bêtir zanibin? Ji bo gihîştina belaş bi tevahî koda vekirina "blog" bikar bînin .
Source: www.habr.com