Esmu veicis iespieÅ”anÄs pÄrbaudi, izmantojot
Bet pirms runÄjam par privÄtuma problÄmÄm un to novÄrÅ”anu, apskatÄ«sim AD glabÄtos datus.
Active Directory ir korporatīvais Facebook
Bet Å”ajÄ gadÄ«jumÄ jÅ«s jau esat sadraudzÄjuÅ”ies ar visiem! IespÄjams, jÅ«s nezinÄt par savu kolÄÄ£u iecienÄ«tÄkajÄm filmÄm, grÄmatÄm vai restorÄniem, taÄu AD satur sensitÄ«vu kontaktinformÄciju.
dati un citi lauki, kurus var izmantot hakeri un pat iekÅ”ÄjÄs personas bez Ä«paÅ”Äm tehniskÄm prasmÄm.
SistÄmas administratori, protams, ir iepazinuÅ”ies ar tÄlÄk redzamo ekrÄnuzÅÄmumu. Å Ä« ir Active Directory lietotÄju un datoru (ADUC) saskarne, kurÄ viÅi iestata un rediÄ£Ä lietotÄja informÄciju un pieŔķir lietotÄjus atbilstoÅ”Äm grupÄm.
AD satur lauki darbinieka vÄrdam, adresei un tÄlruÅa numuram, tÄpÄc tas ir lÄ«dzÄ«gs tÄlruÅu katalogam. Bet tur ir tik daudz vairÄk! Citas cilnes ietver arÄ« e-pasta un tÄ«mekļa adresi, lÄ«nijas pÄrvaldnieku un piezÄ«mes.
Vai visiem organizÄcijas darbiniekiem ir jÄredz Ŕī informÄcija, it Ä«paÅ”i laikmetÄ
Protams, nÄ! ProblÄma saasinÄs, ja uzÅÄmuma augstÄkÄs vadÄ«bas dati ir pieejami visiem darbiniekiem.
PowerView ikvienam
Å eit parÄdÄs PowerView. Tas nodroÅ”ina ļoti lietotÄjam draudzÄ«gu PowerShell interfeisu pamatÄ esoÅ”ajÄm (un mulsinoÅ”ajÄm) Win32 funkcijÄm, kas piekļūst AD. ÄŖsumÄ:
tas padara AD lauku izgÅ«Å”anu tikpat vienkÄrÅ”u kÄ Ä¼oti Ä«sas cmdlet ierakstÄ«Å”anu.
Å emsim piemÄru informÄcijas vÄkÅ”anai par Cruella Deville darbinieku, kurÅ” ir viens no uzÅÄmuma vadÄ«tÄjiem. Lai to izdarÄ«tu, izmantojiet PowerView get-NetUser cmdlet:
PowerView instalÄÅ”ana nav nopietna problÄma ā skatiet lapÄ pats
No iepriekÅ” redzamÄ ekrÄnuzÅÄmuma varat redzÄt, ka iekÅ”ÄjÄs personas var Ätri uzzinÄt daudz par Cruella. Vai arÄ« esi pamanÄ«jis, ka laukÄ āinfoā tiek atklÄta informÄcija par lietotÄja personÄ«gajiem paradumiem un paroli?
TÄ nav teorÄtiska iespÄja. No
Active Directory ir savi ACL
AD lietotÄju un datoru saskarne ļauj iestatÄ«t atļaujas AD objektiem. AD ir ACL, un administratori var pieŔķirt vai liegt piekļuvi, izmantojot tos. ADUC skata izvÄlnÄ jÄnoklikŔķina uz "Advanced" un pÄc tam, atverot lietotÄju, tiks parÄdÄ«ta cilne "DroŔība", kurÄ iestatÄt ACL.
ManÄ Cruella scenÄrijÄ es nevÄlÄjos, lai visi autentificÄtie lietotÄji varÄtu redzÄt viÅas personisko informÄciju, tÄpÄc es viÅiem liedzu lasÄ«Å”anas piekļuvi:
Un tagad parasts lietotÄjs to redzÄs, ja izmÄÄ£inÄs Get-NetUser programmÄ PowerView:
Man izdevÄs noslÄpt acÄ«mredzami noderÄ«gu informÄciju no ziÅkÄrÄ«go acÄ«m. Lai tas bÅ«tu pieejams attiecÄ«gajiem lietotÄjiem, es izveidoju citu ACL, lai VIP grupas locekļi (KrÅ«ela un citi viÅas augsta ranga kolÄÄ£i) varÄtu piekļūt Å”iem sensitÄ«vajiem datiem. Citiem vÄrdiem sakot, es ieviesu AD atļaujas, pamatojoties uz lomu modeli, kas padarÄ«ja sensitÄ«vus datus nepieejamus lielÄkajai daļai darbinieku, tostarp Insiders.
TomÄr jÅ«s varat padarÄ«t dalÄ«bu grupÄ neredzamu lietotÄjiem, attiecÄ«gi iestatot ACL grupas objektam AD. Tas palÄ«dzÄs privÄtuma un droŔības ziÅÄ.
viÅa
Es varÄju noslÄpt Cruella un Monty Burns dalÄ«bu VIP grupÄ, apgrÅ«tinot hakeru un iekÅ”ÄjÄs informÄcijas izlÅ«koÅ”anu infrastruktÅ«rÄ.
Å is ieraksts bija paredzÄts, lai motivÄtu jÅ«s tuvÄk apskatÄ«t laukus
AD un saistÄ«tÄs atļaujas. AD ir lielisks resurss, taÄu padomÄjiet, kÄ jÅ«s to darÄ«tu
vÄlÄjÄs koplietot konfidenciÄlu informÄciju un personas datus, jo Ä«paÅ”i
kad runa ir par jÅ«su organizÄcijas augstÄkajÄm amatpersonÄm.
Avots: www.habr.com