Datu konfidencialitātes problēma Active Directory

Esmu veicis iespiešanās pārbaudi, izmantojot Power View un izmantoja to, lai izgūtu lietotāja informāciju no Active Directory (turpmāk tekstā — AD). Tobrīd mans uzsvars bija uz drošības grupas dalības informācijas apkopošanu un pēc tam šīs informācijas izmantošanu, lai pārvietotos tīklā. Jebkurā gadījumā AD satur sensitīvus darbinieku datus, no kuriem dažiem patiešām nevajadzētu būt pieejamiem visiem organizācijas darbiniekiem. Faktiski Windows failu sistēmās ir ekvivalents "Visu" problēma, ko var izmantot arī iekšējie un ārējie uzbrucēji.

Bet pirms runājam par privātuma problēmām un to novēršanu, apskatīsim AD glabātos datus.

Active Directory ir korporatīvais Facebook

Bet šajā gadījumā jūs jau esat sadraudzējušies ar visiem! Iespējams, jūs nezināt par savu kolēģu iecienītākajām filmām, grāmatām vai restorāniem, taču AD satur sensitīvu kontaktinformāciju.
dati un citi lauki, kurus var izmantot hakeri un pat iekšējās personas bez īpašām tehniskām prasmēm.

Sistēmas administratori, protams, ir iepazinušies ar tālāk redzamo ekrānuzņēmumu. Šī ir Active Directory lietotāju un datoru (ADUC) saskarne, kurā viņi iestata un rediģē lietotāja informāciju un piešķir lietotājus atbilstošām grupām.

AD satur lauki darbinieka vārdam, adresei un tālruņa numuram, tāpēc tas ir līdzīgs tālruņu katalogam. Bet tur ir tik daudz vairāk! Citas cilnes ietver arī e-pasta un tīmekļa adresi, līnijas pārvaldnieku un piezīmes.

Vai visiem organizācijas darbiniekiem ir jāredz šī informācija, it īpaši laikmetā OSINT, kad katra jauna detaļa padara papildu informācijas meklēšanu vēl vienkāršāku?

Protams, nē! Problēma saasinās, ja uzņēmuma augstākās vadības dati ir pieejami visiem darbiniekiem.

PowerView ikvienam

Šeit parādās PowerView. Tas nodrošina ļoti lietotājam draudzīgu PowerShell interfeisu pamatā esošajām (un mulsinošajām) Win32 funkcijām, kas piekļūst AD. Īsumā:
tas padara AD lauku izgūšanu tikpat vienkāršu kā ļoti īsas cmdlet ierakstīšanu.

Ņemsim piemēru informācijas vākšanai par Cruella Deville darbinieku, kurš ir viens no uzņēmuma vadītājiem. Lai to izdarītu, izmantojiet PowerView get-NetUser cmdlet:

PowerView instalēšana nav nopietna problēma — skatiet lapā pats GitHub. Un vēl svarīgāk ir tas, ka jums nav nepieciešamas paaugstinātas privilēģijas, lai palaistu daudzas PowerView komandas, piemēram, get-NetUser. Tādā veidā motivēts, bet ne pārāk zinošs darbinieks var bez lielas piepūles sākt ķerties pie AD.

No iepriekš redzamā ekrānuzņēmuma varat redzēt, ka iekšējās personas var ātri uzzināt daudz par Cruella. Vai arī esi pamanījis, ka laukā “info” tiek atklāta informācija par lietotāja personīgajiem paradumiem un paroli?

Tā nav teorētiska iespēja. No dialogi ar citiem pentesteriem Es uzzināju, ka viņi skenē AD, lai atrastu vienkārša teksta paroles, un bieži vien šie mēģinājumi diemžēl ir veiksmīgi. Viņi zina, ka uzņēmumi nevērīgi izturas pret AD informāciju, un viņi parasti nezina nākamo tēmu: AD atļaujas.

Active Directory ir savi ACL

AD lietotāju un datoru saskarne ļauj iestatīt atļaujas AD objektiem. AD ir ACL, un administratori var piešķirt vai liegt piekļuvi, izmantojot tos. ADUC skata izvēlnē jānoklikšķina uz "Advanced" un pēc tam, atverot lietotāju, tiks parādīta cilne "Drošība", kurā iestatāt ACL.

Manā Cruella scenārijā es nevēlējos, lai visi autentificētie lietotāji varētu redzēt viņas personisko informāciju, tāpēc es viņiem liedzu lasīšanas piekļuvi:

Un tagad parasts lietotājs to redzēs, ja izmēģinās Get-NetUser programmā PowerView:

Man izdevās noslēpt acīmredzami noderīgu informāciju no ziņkārīgo acīm. Lai tas būtu pieejams attiecīgajiem lietotājiem, es izveidoju citu ACL, lai VIP grupas locekļi (Krūela un citi viņas augsta ranga kolēģi) varētu piekļūt šiem sensitīvajiem datiem. Citiem vārdiem sakot, es ieviesu AD atļaujas, pamatojoties uz lomu modeli, kas padarīja sensitīvus datus nepieejamus lielākajai daļai darbinieku, tostarp Insiders.

Tomēr jūs varat padarīt dalību grupā neredzamu lietotājiem, attiecīgi iestatot ACL grupas objektam AD. Tas palīdzēs privātuma un drošības ziņā.

viņa episko pentestu sērija Es parādīju, kā jūs varat pārvietoties sistēmā, pārbaudot dalību grupā, izmantojot PowerViews Get-NetGroupMember. Savā skriptā es ierobežoju lasīšanas piekļuvi dalībai noteiktā grupā. Jūs varat redzēt komandas palaišanas rezultātu pirms un pēc izmaiņām:

Es varēju noslēpt Cruella un Monty Burns dalību VIP grupā, apgrūtinot hakeru un iekšējās informācijas izlūkošanu infrastruktūrā.

Šis ieraksts bija paredzēts, lai motivētu jūs tuvāk apskatīt laukus
AD un saistītās atļaujas. AD ir lielisks resurss, taču padomājiet, kā jūs to darītu
vēlējās koplietot konfidenciālu informāciju un personas datus, jo īpaši
kad runa ir par jūsu organizācijas augstākajām amatpersonām.  

Avots: www.habr.com