Би нэвтрэлтийн туршилтыг ашиглан хийсэн
Гэхдээ бид нууцлалын асуудлууд болон тэдгээрийг хэрхэн засах талаар ярихаасаа өмнө AD-д хадгалагдсан өгөгдлийг харцгаая.
Active Directory бол корпорацийн Facebook юм
Гэхдээ энэ тохиолдолд та аль хэдийн хүн бүртэй найзалсан байна! Та хамтран ажиллагсдынхаа дуртай кино, ном, рестораны талаар мэдэхгүй байж болох ч AD нь холбоо барих нууц мэдээллийг агуулдаг.
тусгай техникийн ур чадваргүй хакерууд, тэр ч байтугай инсайдерууд ашиглаж болох өгөгдөл болон бусад талбарууд.
Системийн администраторууд мэдээж доорх дэлгэцийн агшинг мэддэг. Энэ нь Active Directory Users and Computers (ADUC) интерфэйс бөгөөд тэд хэрэглэгчийн мэдээллийг тохируулж, засварлаж, хэрэглэгчдийг тохирох бүлгүүдэд хуваарилдаг.
AD нь ажилтны нэр, хаяг, утасны дугаар бүхий талбаруудыг агуулдаг тул утасны лавлахтай төстэй. Гэхдээ илүү их зүйл байна! Бусад табууд нь имэйл болон вэб хаяг, шугамын менежер, тэмдэглэлүүдийг агуулдаг.
Байгууллагад байгаа бүх хүмүүс, ялангуяа эрин үед энэ мэдээллийг харах шаардлагатай байна уу
Мэдээж үгүй! Компанийн дээд удирдлагын мэдээлэл бүх ажилчдад нээлттэй байх үед асуудал улам бүр нэмэгддэг.
Хүн бүрт зориулсан PowerView
Эндээс PowerView гарч ирдэг. Энэ нь AD-д ханддаг Win32-ын үндсэн (болон төөрөгдүүлсэн) функцүүдэд маш хэрэглэгчдэд ээлтэй PowerShell интерфейсээр хангадаг. Товчхондоо:
Энэ нь AD талбаруудыг сэргээхэд маш богино командлет бичихтэй адил хялбар болгодог.
Компанийн удирдагчдын нэг болох Круелла Девиллийн ажилтны тухай мэдээлэл цуглуулсан жишээг авч үзье. Үүнийг хийхийн тулд PowerView get-NetUser командыг ашиглана уу:
PowerView-г суулгах нь тийм ч ноцтой асуудал биш - хуудаснаас өөрөө үзээрэй
Дээрх дэлгэцийн агшингаас харахад дотоод хүн Cruella-ийн талаар маш хурдан мэдэж болно. "Мэдээлэл" талбар нь хэрэглэгчийн хувийн зуршил, нууц үгийн талаарх мэдээллийг харуулдаг болохыг та анзаарсан уу?
Энэ бол онолын боломж биш. -аас
Active Directory нь өөрийн ACL-тэй
AD Users and Computers интерфейс нь танд AD объектууд дээр зөвшөөрөл тохируулах боломжийг олгодог. AD нь ACL-тэй бөгөөд админууд түүгээр дамжуулан хандах эрх олгох эсвэл татгалзах боломжтой. Та ADUC View цэсний "Advanced" дээр дарах хэрэгтэй бөгөөд дараа нь хэрэглэгчийг нээх үед ACL-ийг тохируулсан "Security" табыг харах болно.
Миний Cruella хувилбарт би бүх Баталгаажсан хэрэглэгчдэд түүний хувийн мэдээллийг харахыг хүсээгүй тул би тэдэнд унших эрхийг хориглосон:
Одоо энгийн хэрэглэгч PowerView дээр Get-NetUser-г оролдвол үүнийг харах болно:
Би бусдын нүднээс илт хэрэгтэй мэдээллийг нууж чадсан. Холбогдох хэрэглэгчдэд нээлттэй байлгахын тулд би VIP бүлгийн гишүүдэд (Круелла болон түүний бусад өндөр албан тушаалтнууд) энэхүү нууц мэдээлэлд хандах боломжийг олгохын тулд өөр ACL үүсгэсэн. Өөрөөр хэлбэл, би үлгэр дууриал дээр үндэслэн AD-ийн зөвшөөрлийг хэрэгжүүлсэн бөгөөд энэ нь нууц мэдээллийг ихэнх ажилчдад, түүний дотор Insider-д нэвтрэх боломжгүй болгосон.
Гэсэн хэдий ч та AD дахь бүлгийн объект дээрх ACL-г тохируулснаар бүлгийн гишүүнчлэлийг хэрэглэгчдэд үл үзэгдэх болгож болно. Энэ нь нууцлал, аюулгүй байдлын хувьд туслах болно.
Үүнд
Би Круелла, Монти Бернс нарын VIP бүлэгт гишүүнчлэлтэй байсныг нуун дарагдуулж чадсан нь хакерууд болон инсайдеруудад дэд бүтцийг судлахад хэцүү болгосон.
Энэ нийтлэл нь таныг талбаруудыг сайтар судлахад түлхэц өгөх зорилготой юм
AD болон холбогдох зөвшөөрөл. МЭ бол гайхалтай эх сурвалж, гэхдээ яаж хийхээ бодоорой
нууц мэдээлэл, хувийн мэдээллээ хуваалцахыг хүссэн, ялангуяа
танай байгууллагын дээд албан тушаалтнуудын тухайд.
Эх сурвалж: www.habr.com