Għamilt ittestjar tal-penetrazzjoni bl-użu
Iżda qabel ma nitkellmu dwar kwistjonijiet ta 'privatezza u kif nirranġawhom, ejja nagħtu ħarsa lejn id-dejta maħżuna f'AD.
Active Directory huwa l-Facebook korporattiv
Imma f'dan il-każ, diġà għamilt ħbieb ma 'kulħadd! Jista' jkun li ma tkunx taf dwar il-films, il-kotba jew ir-ristoranti favoriti ta' sħabek, iżda AD fih informazzjoni ta' kuntatt sensittiva.
data u oqsma oħra li jistgħu jintużaw minn hackers u anke minn ġewwa mingħajr ħiliet tekniċi speċjali.
L-amministraturi tas-sistema huma naturalment familjari mal-screenshot hawn taħt. Din hija l-interface tal-Utenti u l-Kompjuters tad-Direttorju Attiv (ADUC) fejn jistabbilixxu u jeditjaw l-informazzjoni tal-utent u jassenjaw lill-utenti għal gruppi xierqa.
AD fih oqsma għall-isem tal-impjegat, l-indirizz, u n-numru tat-telefon, għalhekk huwa simili għal direttorju tat-telefon. Imma hemm ħafna aktar! Tabs oħra jinkludu wkoll indirizz elettroniku u tal-web, line manager, u noti.
Kulħadd fl-organizzazzjoni jeħtieġ li jara din l-informazzjoni, speċjalment f'era
Mhux ovvja li le! Il-problema hija aggravata meta d-dejta mill-ogħla ġestjoni ta’ kumpanija tkun disponibbli għall-impjegati kollha.
PowerView għal kulħadd
Dan huwa fejn jidħol fis-seħħ PowerView. Jipprovdi interface PowerShell faċli ħafna għall-funzjonijiet sottostanti (u konfużi) Win32 li jaċċessaw AD. Fil-qosor:
dan jagħmel l-irkupru ta' oqsma AD faċli daqs li tittajpja cmdlet qasir ħafna.
Ejja nieħdu eżempju tal-ġbir ta 'informazzjoni dwar impjegat ta' Cruella Deville, li huwa wieħed mill-mexxejja tal-kumpanija. Biex tagħmel dan, uża l-cmdlet PowerView get-NetUser:
L-installazzjoni ta' PowerView mhijiex problema serja - ara għalik innifsek fuq il-paġna
Mill-screenshot ta 'hawn fuq, tista' tara li minn ġewwa jista 'malajr jitgħallmu ħafna dwar Cruella. Innotajt ukoll li l-qasam "info" jiżvela informazzjoni dwar id-drawwiet personali u l-password tal-utent?
Din mhix possibbiltà teoretika. Minn
L-Active Directory għandu l-ACLs tiegħu stess
L-interface Utenti u Kompjuters AD jippermettilek li tissettja permessi fuq oġġetti AD. AD għandha ACLs u l-amministraturi jistgħu jagħtu jew jiċħdu aċċess permezz tagħhom. Ikollok bżonn tikklikkja "Advanced" fil-menu ADUC View u mbagħad meta tiftaħ l-utent tara t-tab "Sigurtà" fejn issettja l-ACL.
Fix-xenarju ta' Cruella tiegħi, ma ridtx li l-Utenti Awtentikati kollha jkunu jistgħu jaraw l-informazzjoni personali tagħha, għalhekk ċaħdithom l-aċċess għall-qari:
U issa utent normali se jara dan jekk jipprova Get-NetUser f'PowerView:
Irnexxieli naħbi informazzjoni ovvjament utli minn għajnejhom. Biex inżommu aċċessibbli għall-utenti rilevanti, ħloqt ACL ieħor biex inħalli lill-membri tal-grupp VIP (Cruella u l-kollegi l-oħra tagħha ta 'grad għoli) jaċċessaw din id-dejta sensittiva. Fi kliem ieħor, implimentajt permessi AD bbażati fuq mudell, li għamel id-dejta sensittiva inaċċessibbli għall-biċċa l-kbira tal-impjegati, inklużi l-Insiders.
Madankollu, tista 'tagħmel is-sħubija tal-grupp inviżibbli għall-utenti billi tistabbilixxi l-ACL fuq l-oġġett tal-grupp f'AD kif xieraq. Dan se jgħin f'termini ta 'privatezza u sigurtà.
Fil-
Stajt naħbi s-sħubija ta' Cruella u Monty Burns fil-grupp VIP, u għamilha diffiċli għall-hackers u l-insiders biex jiskopru l-infrastruttura.
Din il-kariga kienet maħsuba biex timmotivak biex tagħti ħarsa aktar mill-qrib lejn l-għelieqi
AD u permessi relatati. AD huwa riżors kbir, imma aħseb dwar kif inti
riedu jaqsmu informazzjoni kunfidenzjali u data personali, speċjalment
meta niġu għall-ogħla uffiċjali tal-organizzazzjoni tiegħek.
Sors: www.habr.com