Saya telah melakukan ujian penembusan menggunakan dan menggunakannya untuk mendapatkan maklumat pengguna daripada Active Directory (selepas ini dirujuk sebagai AD). Pada masa itu, penekanan saya adalah untuk mengumpul maklumat keahlian kumpulan keselamatan dan kemudian menggunakan maklumat itu untuk menavigasi rangkaian. Sama ada cara, AD mengandungi data pekerja yang sensitif, sesetengah daripadanya benar-benar tidak boleh diakses oleh semua orang dalam organisasi. Malah, dalam sistem fail Windows terdapat yang setara , yang juga boleh digunakan oleh penyerang dalaman dan luaran.
Tetapi sebelum kita bercakap tentang isu privasi dan cara membetulkannya, mari kita lihat data yang disimpan dalam AD.
Active Directory ialah Facebook korporat
Tetapi dalam kes ini, anda telah berkawan dengan semua orang! Anda mungkin tidak tahu tentang filem, buku atau restoran kegemaran rakan sekerja anda, tetapi AD mengandungi maklumat hubungan sensitif.
data dan medan lain yang boleh digunakan oleh penggodam dan juga orang dalam tanpa kemahiran teknikal khas.
Pentadbir sistem sudah tentu biasa dengan tangkapan skrin di bawah. Ini ialah antara muka Pengguna dan Komputer Direktori Aktif (ADUC) di mana mereka menetapkan dan mengedit maklumat pengguna dan menetapkan pengguna kepada kumpulan yang sesuai.
AD mengandungi medan untuk nama pekerja, alamat dan nombor telefon, jadi ia serupa dengan direktori telefon. Tetapi ada banyak lagi! Tab lain juga termasuk alamat e-mel dan web, pengurus baris dan nota.
Adakah semua orang dalam organisasi perlu melihat maklumat ini, terutamanya dalam era , apabila setiap butiran baharu menjadikan carian untuk maklumat lanjut lebih mudah?
Sudah tentu tidak! Masalahnya bertambah apabila data daripada pengurusan tertinggi sesebuah syarikat tersedia untuk semua pekerja.
PowerView untuk semua orang
Di sinilah PowerView berperanan. Ia menyediakan antara muka PowerShell yang sangat mesra pengguna kepada fungsi Win32 asas (dan mengelirukan) yang mengakses AD. Secara ringkasnya:
ini menjadikan mendapatkan semula medan AD semudah menaip cmdlet yang sangat pendek.
Mari kita ambil contoh mengumpul maklumat tentang seorang pekerja Cruella Deville, yang merupakan salah seorang pemimpin syarikat. Untuk melakukan ini, gunakan cmdlet PowerView get-NetUser:
Memasang PowerView bukanlah masalah yang serius - lihat sendiri pada halaman . Dan yang lebih penting, anda tidak memerlukan keistimewaan yang tinggi untuk menjalankan banyak arahan PowerView, seperti get-NetUser. Dengan cara ini, pekerja yang bermotivasi tetapi tidak begitu celik teknologi boleh mula bermain-main dengan AD tanpa banyak usaha.
Daripada tangkapan skrin di atas, anda dapat melihat bahawa orang dalam boleh mengetahui banyak perkara tentang Cruella dengan cepat. Adakah anda juga perasan bahawa medan "maklumat" mendedahkan maklumat tentang tabiat peribadi dan kata laluan pengguna?
Ini bukan kemungkinan teori. daripada Saya mengetahui bahawa mereka mengimbas AD untuk mencari kata laluan teks biasa, dan selalunya percubaan ini malangnya berjaya. Mereka tahu bahawa syarikat cuai dengan maklumat dalam AD, dan mereka cenderung tidak mengetahui topik seterusnya: kebenaran AD.
Active Directory mempunyai ACL sendiri
Antara muka Pengguna dan Komputer AD membolehkan anda menetapkan kebenaran pada objek AD. AD mempunyai ACL dan pentadbir boleh memberikan atau menafikan akses melaluinya. Anda perlu mengklik "Lanjutan" dalam menu Paparan ADUC dan kemudian apabila anda membuka pengguna, anda akan melihat tab "Keselamatan" di mana anda menetapkan ACL.
Dalam senario Cruella saya, saya tidak mahu semua Pengguna Disahkan dapat melihat maklumat peribadinya, jadi saya menafikan akses baca mereka:
Dan kini pengguna biasa akan melihat ini jika mereka mencuba Get-NetUser dalam PowerView:
Saya berjaya menyembunyikan maklumat yang jelas berguna daripada mengintip. Untuk memastikan ia boleh diakses oleh pengguna yang berkaitan, saya mencipta ACL lain untuk membenarkan ahli kumpulan VIP (Cruella dan rakan sekerjanya yang lain berpangkat tinggi) mengakses data sensitif ini. Dalam erti kata lain, saya melaksanakan kebenaran AD berdasarkan model peranan, yang menjadikan data sensitif tidak dapat diakses oleh kebanyakan pekerja, termasuk Orang Dalam.
Walau bagaimanapun, anda boleh menjadikan keahlian kumpulan tidak kelihatan kepada pengguna dengan menetapkan ACL pada objek kumpulan dalam AD dengan sewajarnya. Ini akan membantu dari segi privasi dan keselamatan.
Dalam beliau Saya menunjukkan cara anda boleh menavigasi sistem dengan memeriksa keahlian kumpulan menggunakan PowerViews Get-NetGroupMember. Dalam skrip saya, saya mengehadkan akses baca kepada keahlian dalam kumpulan tertentu. Anda boleh melihat hasil menjalankan arahan sebelum dan selepas perubahan:
Saya dapat menyembunyikan keahlian Cruella dan Monty Burns dalam kumpulan VIP, menyukarkan penggodam dan orang dalam untuk meninjau infrastruktur.
Siaran ini bertujuan untuk memotivasikan anda untuk melihat dengan lebih dekat bidang tersebut
AD dan kebenaran berkaitan. AD ialah sumber yang hebat, tetapi fikirkan bagaimana anda melakukannya
ingin berkongsi maklumat sulit dan data peribadi, terutamanya
apabila ia berkaitan dengan pegawai tertinggi organisasi anda.
Sumber: www.habr.com