Saya telah melakukan ujian penembusan menggunakan
Tetapi sebelum kita bercakap tentang isu privasi dan cara membetulkannya, mari kita lihat data yang disimpan dalam AD.
Active Directory ialah Facebook korporat
Tetapi dalam kes ini, anda telah berkawan dengan semua orang! Anda mungkin tidak tahu tentang filem, buku atau restoran kegemaran rakan sekerja anda, tetapi AD mengandungi maklumat hubungan sensitif.
data dan medan lain yang boleh digunakan oleh penggodam dan juga orang dalam tanpa kemahiran teknikal khas.
Pentadbir sistem sudah tentu biasa dengan tangkapan skrin di bawah. Ini ialah antara muka Pengguna dan Komputer Direktori Aktif (ADUC) di mana mereka menetapkan dan mengedit maklumat pengguna dan menetapkan pengguna kepada kumpulan yang sesuai.
AD mengandungi medan untuk nama pekerja, alamat dan nombor telefon, jadi ia serupa dengan direktori telefon. Tetapi ada banyak lagi! Tab lain juga termasuk alamat e-mel dan web, pengurus baris dan nota.
Adakah semua orang dalam organisasi perlu melihat maklumat ini, terutamanya dalam era
Sudah tentu tidak! Masalahnya bertambah apabila data daripada pengurusan tertinggi sesebuah syarikat tersedia untuk semua pekerja.
PowerView untuk semua orang
Di sinilah PowerView berperanan. Ia menyediakan antara muka PowerShell yang sangat mesra pengguna kepada fungsi Win32 asas (dan mengelirukan) yang mengakses AD. Secara ringkasnya:
ini menjadikan mendapatkan semula medan AD semudah menaip cmdlet yang sangat pendek.
Mari kita ambil contoh mengumpul maklumat tentang seorang pekerja Cruella Deville, yang merupakan salah seorang pemimpin syarikat. Untuk melakukan ini, gunakan cmdlet PowerView get-NetUser:
Memasang PowerView bukanlah masalah yang serius - lihat sendiri pada halaman
Daripada tangkapan skrin di atas, anda dapat melihat bahawa orang dalam boleh mengetahui banyak perkara tentang Cruella dengan cepat. Adakah anda juga perasan bahawa medan "maklumat" mendedahkan maklumat tentang tabiat peribadi dan kata laluan pengguna?
Ini bukan kemungkinan teori. daripada
Active Directory mempunyai ACL sendiri
Antara muka Pengguna dan Komputer AD membolehkan anda menetapkan kebenaran pada objek AD. AD mempunyai ACL dan pentadbir boleh memberikan atau menafikan akses melaluinya. Anda perlu mengklik "Lanjutan" dalam menu Paparan ADUC dan kemudian apabila anda membuka pengguna, anda akan melihat tab "Keselamatan" di mana anda menetapkan ACL.
Dalam senario Cruella saya, saya tidak mahu semua Pengguna Disahkan dapat melihat maklumat peribadinya, jadi saya menafikan akses baca mereka:
Dan kini pengguna biasa akan melihat ini jika mereka mencuba Get-NetUser dalam PowerView:
Saya berjaya menyembunyikan maklumat yang jelas berguna daripada mengintip. Untuk memastikan ia boleh diakses oleh pengguna yang berkaitan, saya mencipta ACL lain untuk membenarkan ahli kumpulan VIP (Cruella dan rakan sekerjanya yang lain berpangkat tinggi) mengakses data sensitif ini. Dalam erti kata lain, saya melaksanakan kebenaran AD berdasarkan model peranan, yang menjadikan data sensitif tidak dapat diakses oleh kebanyakan pekerja, termasuk Orang Dalam.
Walau bagaimanapun, anda boleh menjadikan keahlian kumpulan tidak kelihatan kepada pengguna dengan menetapkan ACL pada objek kumpulan dalam AD dengan sewajarnya. Ini akan membantu dari segi privasi dan keselamatan.
Dalam beliau
Saya dapat menyembunyikan keahlian Cruella dan Monty Burns dalam kumpulan VIP, menyukarkan penggodam dan orang dalam untuk meninjau infrastruktur.
Siaran ini bertujuan untuk memotivasikan anda untuk melihat dengan lebih dekat bidang tersebut
AD dan kebenaran berkaitan. AD ialah sumber yang hebat, tetapi fikirkan bagaimana anda melakukannya
ingin berkongsi maklumat sulit dan data peribadi, terutamanya
apabila ia berkaitan dengan pegawai tertinggi organisasi anda.
Sumber: www.habr.com