Би нэвтрэлтийн туршилтыг ашиглан хийсэн мөн үүнийг Active Directory (цаашид AD гэх) -ээс хэрэглэгчийн мэдээллийг авахад ашигласан. Тухайн үед би аюулгүй байдлын бүлгийн гишүүнчлэлийн мэдээллийг цуглуулж, дараа нь сүлжээг удирдахын тулд тэр мэдээллийг ашиглахыг чухалчилдаг байсан. Аль ч тохиолдолд, AD нь ажилтнуудын эмзэг мэдээллийг агуулдаг бөгөөд тэдгээрийн зарим нь байгууллагын бүх хүмүүст хандах боломжгүй байдаг. Үнэн хэрэгтээ Windows файлын системд ижил төстэй зүйл байдаг , үүнийг дотоод болон гадаад халдагчдад ашиглаж болно.
Гэхдээ бид нууцлалын асуудлууд болон тэдгээрийг хэрхэн засах талаар ярихаасаа өмнө AD-д хадгалагдсан өгөгдлийг харцгаая.
Active Directory бол корпорацийн Facebook юм
Гэхдээ энэ тохиолдолд та аль хэдийн хүн бүртэй найзалсан байна! Та хамтран ажиллагсдынхаа дуртай кино, ном, рестораны талаар мэдэхгүй байж болох ч AD нь холбоо барих нууц мэдээллийг агуулдаг.
тусгай техникийн ур чадваргүй хакерууд, тэр ч байтугай инсайдерууд ашиглаж болох өгөгдөл болон бусад талбарууд.
Системийн администраторууд мэдээж доорх дэлгэцийн агшинг мэддэг. Энэ нь Active Directory Users and Computers (ADUC) интерфэйс бөгөөд тэд хэрэглэгчийн мэдээллийг тохируулж, засварлаж, хэрэглэгчдийг тохирох бүлгүүдэд хуваарилдаг.
AD нь ажилтны нэр, хаяг, утасны дугаар бүхий талбаруудыг агуулдаг тул утасны лавлахтай төстэй. Гэхдээ илүү их зүйл байна! Бусад табууд нь имэйл болон вэб хаяг, шугамын менежер, тэмдэглэлүүдийг агуулдаг.
Байгууллагад байгаа бүх хүмүүс, ялангуяа эрин үед энэ мэдээллийг харах шаардлагатай байна уу , шинэ мэдээлэл бүр илүү их мэдээлэл хайхыг илүү хялбар болгох үед?
Мэдээж үгүй! Компанийн дээд удирдлагын мэдээлэл бүх ажилчдад нээлттэй байх үед асуудал улам бүр нэмэгддэг.
Хүн бүрт зориулсан PowerView
Эндээс PowerView гарч ирдэг. Энэ нь AD-д ханддаг Win32-ын үндсэн (болон төөрөгдүүлсэн) функцүүдэд маш хэрэглэгчдэд ээлтэй PowerShell интерфейсээр хангадаг. Товчхондоо:
Энэ нь AD талбаруудыг сэргээхэд маш богино командлет бичихтэй адил хялбар болгодог.
Компанийн удирдагчдын нэг болох Круелла Девиллийн ажилтны тухай мэдээлэл цуглуулсан жишээг авч үзье. Үүнийг хийхийн тулд PowerView get-NetUser командыг ашиглана уу:
PowerView-г суулгах нь тийм ч ноцтой асуудал биш - хуудаснаас өөрөө үзээрэй . Хамгийн гол нь get-NetUser гэх мэт олон PowerView командуудыг ажиллуулахын тулд танд өндөр эрх хэрэггүй. Ийм байдлаар урам зоригтой боловч технологид тийм ч сайн мэдлэгтэй биш ажилтан МЭ-тэй ямар ч хүчин чармайлтгүйгээр ажиллаж эхлэх боломжтой.
Дээрх дэлгэцийн агшингаас харахад дотоод хүн Cruella-ийн талаар маш хурдан мэдэж болно. "Мэдээлэл" талбар нь хэрэглэгчийн хувийн зуршил, нууц үгийн талаарх мэдээллийг харуулдаг болохыг та анзаарсан уу?
Энэ бол онолын боломж биш. -аас Тэд энгийн текстийн нууц үг олохын тулд AD-г сканнердаж байдгийг би мэдсэн бөгөөд ихэнхдээ эдгээр оролдлого нь харамсалтай нь амжилттай болдог. Тэд компаниуд МЭ-ийн мэдээлэлд хайхрамжгүй ханддагийг мэддэг бөгөөд дараагийн сэдвийг мэдэхгүй байх хандлагатай байдаг: МЭ-ийн зөвшөөрөл.
Active Directory нь өөрийн ACL-тэй
AD Users and Computers интерфейс нь танд AD объектууд дээр зөвшөөрөл тохируулах боломжийг олгодог. AD нь ACL-тэй бөгөөд админууд түүгээр дамжуулан хандах эрх олгох эсвэл татгалзах боломжтой. Та ADUC View цэсний "Advanced" дээр дарах хэрэгтэй бөгөөд дараа нь хэрэглэгчийг нээх үед ACL-ийг тохируулсан "Security" табыг харах болно.
Миний Cruella хувилбарт би бүх Баталгаажсан хэрэглэгчдэд түүний хувийн мэдээллийг харахыг хүсээгүй тул би тэдэнд унших эрхийг хориглосон:
Одоо энгийн хэрэглэгч PowerView дээр Get-NetUser-г оролдвол үүнийг харах болно:
Би бусдын нүднээс илт хэрэгтэй мэдээллийг нууж чадсан. Холбогдох хэрэглэгчдэд нээлттэй байлгахын тулд би VIP бүлгийн гишүүдэд (Круелла болон түүний бусад өндөр албан тушаалтнууд) энэхүү нууц мэдээлэлд хандах боломжийг олгохын тулд өөр ACL үүсгэсэн. Өөрөөр хэлбэл, би үлгэр дууриал дээр үндэслэн AD-ийн зөвшөөрлийг хэрэгжүүлсэн бөгөөд энэ нь нууц мэдээллийг ихэнх ажилчдад, түүний дотор Insider-д нэвтрэх боломжгүй болгосон.
Гэсэн хэдий ч та AD дахь бүлгийн объект дээрх ACL-г тохируулснаар бүлгийн гишүүнчлэлийг хэрэглэгчдэд үл үзэгдэх болгож болно. Энэ нь нууцлал, аюулгүй байдлын хувьд туслах болно.
Үүнд Би PowerViews Get-NetGroupMember ашиглан бүлгийн гишүүнчлэлийг шалгах замаар системд хэрхэн шилжихийг харуулсан. Би скрипт дээрээ тодорхой бүлгийн гишүүнчлэлийг унших эрхийг хязгаарласан. Та өөрчлөлт хийхээс өмнө болон дараа нь тушаалыг ажиллуулсны үр дүнг харж болно:
Би Круелла, Монти Бернс нарын VIP бүлэгт гишүүнчлэлтэй байсныг нуун дарагдуулж чадсан нь хакерууд болон инсайдеруудад дэд бүтцийг судлахад хэцүү болгосон.
Энэ нийтлэл нь таныг талбаруудыг сайтар судлахад түлхэц өгөх зорилготой юм
AD болон холбогдох зөвшөөрөл. МЭ бол гайхалтай эх сурвалж, гэхдээ яаж хийхээ бодоорой
нууц мэдээлэл, хувийн мэдээллээ хуваалцахыг хүссэн, ялангуяа
танай байгууллагын дээд албан тушаалтнуудын тухайд.
Эх сурвалж: www.habr.com