Мен колдонуу менен кириш тестин жасадым жана аны Active Directory'ден (мындан ары AD) колдонуучу маалыматын алуу үчүн колдондум. Ал кезде мен коопсуздук тобунун мүчөлүк маалыматын чогултууга жана андан кийин ал маалыматты тармакта багыт алуу үчүн колдонууга көңүл буруп жаткам. AD кызматкерлеринин купуя маалыматтарын камтыйт, алардын айрымдары чындыгында уюмдагы ар бир адамга жеткиликтүү болбошу керек. Негизинен, файл системалары Windows эквиваленти бар , бул ички жана тышкы чабуулчулар тарабынан да колдонулушу мүмкүн.
Бирок биз купуялык көйгөйлөрү жана аларды чечүү жолдору жөнүндө сөз кылуудан мурун, келгиле, ADде сакталган маалыматтарды карап көрөлү.
Active Directory - бул корпоративдик Facebook
Бирок бул учурда сиз баары менен достошуп калгансыз! Сиз кесиптештериңиздин сүйүктүү тасмалары, китептери же ресторандары тууралуу билбешиңиз мүмкүн, бирок AD купуя байланыш маалыматын камтыйт.
атайын техникалык көндүмдөрү жок хакерлер, атүгүл инсайдерлер колдоно ала турган маалыматтар жана башка талаалар.
Системалык администраторлор, албетте, төмөндөгү скриншот менен тааныш. Бул Active Directory колдонуучулары жана компьютерлери (ADUC) интерфейси, анда алар колдонуучу маалыматын орнотуп, түзөтүшөт жана колдонуучуларды тиешелүү топторго дайындайт.
AD кызматкердин аты-жөнү, дареги жана телефон номери үчүн талааларды камтыйт, ошондуктан ал телефон каталогуна окшош. Бирок дагы көп нерсе бар! Башка өтмөктөр ошондой эле электрондук почта жана веб дареги, линия менеджери жана эскертүүлөрдү камтыйт.
Уюмдагы ар бир адам бул маалыматты көрүшү керекпи, өзгөчө бир доордо , качан ар бир жаңы детал көбүрөөк маалымат издөөнү жеңилдетет?
Албетте жок! Компаниянын жогорку жетекчилигинин маалыматтары бардык кызматкерлерге жеткиликтүү болгондо көйгөй татаалдашат.
Баары үчүн PowerView
Бул жерде PowerView ойнойт. Ал AD'га кире турган негизги (жана башаламан) Win32 функцияларына абдан ыңгайлуу PowerShell интерфейсин камсыз кылат. Кыскача айтканда:
бул AD талааларын алууну абдан кыска комдлетти терүү сыяктуу оңой кылат.
Келгиле, компаниянын лидерлеринин бири болгон Круелла Девиллдин кызматкери тууралуу маалымат чогултууну мисалга алалы. Бул үчүн, PowerView get-NetUser командлетин колдонуңуз:
PowerView орнотуу олуттуу көйгөй эмес - баракчадан өзүңүз караңыз . Андан да маанилүүсү, Get-NetUser сыяктуу көптөгөн PowerView буйруктарын иштетүү үчүн сизге жогорулатылган артыкчылыктардын кереги жок. Ошентип, мотивацияланган, бирок технологияны анча билбеген кызматкер AD менен көп күч-аракет жумшабастан эле иштей башташы мүмкүн.
Жогорудагы скриншоттон сиз инсайдер Cruella жөнүндө көп нерсени тез үйрөнө аларын көрө аласыз. Сиз ошондой эле "маалымат" талаасы колдонуучунун жеке адаттары жана сырсөзү тууралуу маалыматты ачып жатканын байкадыңызбы?
Бул теориялык мүмкүнчүлүк эмес. From Мен алар ачык текст сырсөздөрүн табуу үчүн AD сканерлей турганын билдим, жана көбүнчө бул аракеттер тилекке каршы ийгиликтүү болот. Алар компаниялар ADдагы маалыматка кайдыгер мамиле жасаарын билишет жана алар кийинки теманы билишпейт: AD уруксаттары.
Active Directory өзүнүн ACL'лери бар
AD колдонуучулары жана компьютерлери интерфейси AD объекттерине уруксаттарды коюуга мүмкүндүк берет. ADда ACL бар жана администраторлор алар аркылуу кирүү мүмкүнчүлүгүн берип же баш тарта алышат. Сиз ADUC Көрүү менюсунда "Өркүндөтүлгөн" баскычын басышыңыз керек, андан кийин колдонуучуну ачканыңызда ACL орнотулган "Коопсуздук" өтмөгүн көрөсүз.
Менин Cruella сценарийимде, мен аныктыгы текшерилген колдонуучулардын бардыгынын анын жеке маалыматын көрүшүн каалабадым, ошондуктан мен аларга окуу мүмкүнчүлүгүнөн баш тарттым:
Эми кадимки колдонуучу PowerViewде Get-NetUser аракетин көрүшсө, муну көрөт:
Мен кызык көздерден ачык пайдалуу маалыматты жашыра алдым. Тиешелүү колдонуучуларга жеткиликтүү болушу үчүн, мен VIP тобунун мүчөлөрүнө (Cruella жана анын башка жогорку даражалуу кесиптештери) бул купуя маалыматтарга кирүү мүмкүнчүлүгүн берүү үчүн дагы бир ACL түздүм. Башкача айтканда, мен AD уруксаттарын үлгү катары ишке ашырдым, бул купуя маалыматтарды көпчүлүк кызматкерлер үчүн, анын ичинде Инсайдерлер үчүн жеткиликсиз кылды.
Бирок, ADдагы топ объектисинде ACLди ошого жараша коюу менен топтун мүчөлүгүн колдонуучуларга көрүнбөгөн кыла аласыз. Бул купуялуулук жана коопсуздук жагынан жардам берет.
анын Мен PowerViews Get-NetGroupMember аркылуу топтун мүчөлүгүн текшерүү аркылуу системаны кантип багыттоого болорун көрсөттүм. Менин сценарийимде мен белгилүү бир топко мүчөлүккө окуу мүмкүнчүлүгүн чектедим. Өзгөртүүлөргө чейин жана кийин буйрукту иштетүүнүн натыйжасын көрө аласыз:
Мен Круелла менен Монти Бернстин VIP тобуна мүчөлүгүн жашыра алдым, бул хакерлерге жана инсайдерлерге инфраструктураны чалгындоону кыйындатты.
Бул пост сизди талааларды жакшыраак карап чыгууга түрткү берүү үчүн арналган
AD жана тиешелүү уруксаттар. AD - бул сонун ресурс, бирок кандай кылаарыңызды ойлонуп көрүңүз
өзгөчө купуя маалыматты жана жеке маалыматтарды бөлүшкүсү келген
сиздердин уюмдун жетекчи кызматкерлерине келгенде.
Source: www.habr.com
