Би ашиглан нэвтрэлтийн туршилт хийж байна мөн үүнийг Active Directory (цаашид AD гэх)-ээс хэрэглэгчийн мэдээллийг гаргаж авахад ашигласан. Тухайн үед би аюулгүй байдлын бүлгийн гишүүнчлэлийн мэдээллийг цуглуулж, дараа нь уг мэдээллийг ашиглан сүлжээнд навигаци хийхэд анхаарлаа төвлөрүүлж байсан. AD нь ажилчдын нууц мэдээллийг агуулдаг бөгөөд зарим нь байгууллагын бүх хүнд хүртээмжтэй байх ёсгүй. Үндсэндээ файлын системүүд Windows үүнтэй тэнцэх зүйл байна , үүнийг дотоод болон гадаад халдагчдад ашиглаж болно.
Гэхдээ бид нууцлалын асуудлууд болон тэдгээрийг хэрхэн шийдвэрлэх талаар ярихаасаа өмнө AD-д хадгалагдсан өгөгдлийг харцгаая.
Active Directory бол корпорацийн Facebook юм
Гэхдээ энэ тохиолдолд та аль хэдийн хүн бүртэй нөхөрлөсөн байна! Та хамтран ажиллагсдынхаа дуртай кино, ном, рестораны талаар мэдэхгүй байж болох ч AD нь холбоо барих нууц мэдээллийг агуулдаг.
тусгай техникийн ур чадваргүй хакерууд, тэр ч байтугай инсайдерууд ашиглаж болох өгөгдөл болон бусад талбарууд.
Системийн администраторууд доорх дэлгэцийн агшинг мэддэг байх нь дамжиггүй. Энэ нь Active Directory Users and Computers (ADUC) интерфейс бөгөөд тэд хэрэглэгчийн мэдээллийг тохируулж, засварлаж, хэрэглэгчдийг тохирох бүлгүүдэд хуваарилдаг.
AD нь ажилтны нэр, хаяг, утасны дугаар бүхий талбаруудыг агуулдаг тул утасны лавлахтай төстэй юм. Гэхдээ илүү их зүйл байна! Бусад табууд нь имэйл болон вэбсайтын хаягууд, шууд удирдагчид, тэмдэглэлүүдийг агуулдаг.
Байгууллагын бүх хүмүүс, ялангуяа энэ эрин үед энэ мэдээллийг харах ёстой юу? , шинэ нарийн ширийн зүйл бүр нэмэлт мэдээлэл олоход илүү хялбар болгох үед?
Мэдээж үгүй! Ахлах удирдлагын мэдээлэл бүх ажилчдад нээлттэй байх үед асуудал улам бүр нэмэгддэг.
Хүн бүрт зориулсан PowerView
Эндээс PowerView гарч ирдэг. Энэ нь AD-д хандах үндсэн (болон төөрөгдүүлсэн) Win32 функцүүдэд маш тохиромжтой PowerShell интерфейсээр хангадаг. Товчхондоо:
Энэ нь AD талбаруудыг авах нь маш богино командлет оруулахтай адил хялбар болгодог.
Компанийн удирдах албан тушаалтнуудын нэг болох Круелла Девилл хэмээх ажилтны тухай мэдээлэл цуглуулсан жишээг авч үзье. Үүнийг хийхийн тулд бид PowerView get-NetUser командлетыг ашиглана:
PowerView-г суулгах нь тийм ч том асуудал биш - хуудаснаас өөрөө үзээрэй Хамгийн гол нь get-NetUser гэх мэт олон PowerView командуудыг ажиллуулахын тулд танд өндөр эрх хэрэггүй. Тиймээс, урам зоригтой боловч техникийн хувьд бага мэдлэгтэй ажилтан МЭ-д маш их хүчин чармайлтгүйгээр ухаж эхлэх боломжтой.
Дээрх дэлгэцийн агшин нь дотоод хүн Cruella-ийн талаар маш хурдан сурч болохыг харуулж байна. Мөн "info" талбарт хэрэглэгчийн хувийн дадал зуршил, нууц үгийн талаарх мэдээлэл гарч байгааг та анзаарсан уу?
Энэ бол онолын магадлал биш. Тэд AD-аас шифрлэгдээгүй нууц үгийг сканнердаж байгааг би мэдсэн бөгөөд эдгээр оролдлого нь харамсалтай нь амжилттай болдог. Тэд компаниуд МЭ-ийн мэдээлэлд хайхрамжгүй ханддагийг мэддэг бөгөөд дүрмээр бол дараагийн сэдвийг мэддэггүй: МЭ-ийн зөвшөөрөл.
Active Directory нь өөрийн ACL-тэй.
AD Users and Computers интерфейс нь танд AD объектуудын зөвшөөрлийг тохируулах боломжийг олгодог. AD нь ACL-г ашигладаг бөгөөд администраторууд үүнийг ашиглах эрх олгох эсвэл хориглох боломжтой. ADUC View цэсний "Advanced" дээр дарж хэрэглэгчийг нээхэд ACL-уудыг тохируулах боломжтой "Security" табыг харах болно.
Миний Cruella хувилбарт би бүх Баталгаажсан хэрэглэгчдэд түүний хувийн мэдээллийг харахыг хүсээгүй тул би тэдэнд унших эрхийг хориглосон:
Одоо энгийн хэрэглэгч PowerView дээр Get-NetUser-г оролдвол үүнийг харах болно:
Би ашиг тустай мэдээллийг хэний ч нүднээс нууж чадсан. Холбогдох хэрэглэгчдийн хандалтыг хадгалахын тулд би VIP бүлгийн гишүүдэд (Круелла болон түүний бусад өндөр албан тушаалтнууд) энэхүү нууц мэдээлэлд хандах боломжийг олгохын тулд өөр ACL үүсгэсэн. Өөрөөр хэлбэл, би үүрэгт суурилсан AD зөвшөөрлийг хэрэгжүүлж, нууц мэдээллийг ихэнх ажилчид, тэр дундаа дотоод хүмүүс ашиглах боломжгүй болгосон.
Гэсэн хэдий ч та AD дахь бүлгийн объект дээр тохирох ACL-ийг тохируулснаар бүлгийн гишүүнчлэлийг хэрэглэгчдэд харагдахгүй болгож болно. Энэ нь нууцлал, аюулгүй байдлыг хангахад тусална.
Үүнд Би PowerViews-ийн Get-NetGroupMember командыг ашиглан системийг хэрхэн удирдах, бүлгийн гишүүнчлэлийг шалгахыг харуулсан. Миний хувилбарт би тодорхой бүлгийн гишүүнчлэлд унших хандалтыг хязгаарласан. Та өөрчлөлтийн өмнө болон дараа тушаалын гаралтыг харж болно:
Би Круелла, Монти Бернс нарын VIP бүлэгт гишүүнчлэлтэй байсныг нуун дарагдуулж чадсан нь хакерууд болон инсайдеруудад дэд бүтцэд хайгуул хийхэд илүү хэцүү болгосон.
Энэ нийтлэл нь таныг талбаруудыг сайтар судлахад түлхэц өгөх зорилготой юм
AD болон түүнтэй холбоотой зөвшөөрөл. МЭ бол гайхалтай эх сурвалж, гэхдээ яаж хийхээ бодож үзээрэй
нууц мэдээлэл болон хувийн мэдээллээ хуваалцахыг хүссэн, ялангуяа,
танай байгууллагын дээд албан тушаалтнуудын тухайд.
Эх сурвалж: www.habr.com
