Għamilt ittestjar tal-penetrazzjoni bl-użu u użaha biex tirkupra l-informazzjoni tal-utent minn Active Directory (minn hawn 'il quddiem imsejħa AD). Dak iż-żmien, l-enfasi tiegħi kienet fuq il-ġbir ta 'informazzjoni dwar is-sħubija tal-grupp tas-sigurtà u mbagħad nuża dik l-informazzjoni biex innaviga fin-netwerk. Jew il-mod, AD fih data sensittiva tal-impjegati, li xi wħud minnhom verament m'għandhomx ikunu aċċessibbli għal kulħadd fl-organizzazzjoni. Fil-fatt, fis-sistemi tal-fajls tal-Windows hemm ekwivalenti , li jistgħu jintużaw ukoll kemm minn attakkanti interni kif ukoll esterni.
Iżda qabel ma nitkellmu dwar kwistjonijiet ta 'privatezza u kif nirranġawhom, ejja nagħtu ħarsa lejn id-dejta maħżuna f'AD.
Active Directory huwa l-Facebook korporattiv
Imma f'dan il-każ, diġà għamilt ħbieb ma 'kulħadd! Jista' jkun li ma tkunx taf dwar il-films, il-kotba jew ir-ristoranti favoriti ta' sħabek, iżda AD fih informazzjoni ta' kuntatt sensittiva.
data u oqsma oħra li jistgħu jintużaw minn hackers u anke minn ġewwa mingħajr ħiliet tekniċi speċjali.
L-amministraturi tas-sistema huma naturalment familjari mal-screenshot hawn taħt. Din hija l-interface tal-Utenti u l-Kompjuters tad-Direttorju Attiv (ADUC) fejn jistabbilixxu u jeditjaw l-informazzjoni tal-utent u jassenjaw lill-utenti għal gruppi xierqa.
AD fih oqsma għall-isem tal-impjegat, l-indirizz, u n-numru tat-telefon, għalhekk huwa simili għal direttorju tat-telefon. Imma hemm ħafna aktar! Tabs oħra jinkludu wkoll indirizz elettroniku u tal-web, line manager, u noti.
Kulħadd fl-organizzazzjoni jeħtieġ li jara din l-informazzjoni, speċjalment f'era , meta kull dettall ġdid jagħmel it-tiftix għal aktar informazzjoni saħansitra aktar faċli?
Mhux ovvja li le! Il-problema hija aggravata meta d-dejta mill-ogħla ġestjoni ta’ kumpanija tkun disponibbli għall-impjegati kollha.
PowerView għal kulħadd
Dan huwa fejn jidħol fis-seħħ PowerView. Jipprovdi interface PowerShell faċli ħafna għall-funzjonijiet sottostanti (u konfużi) Win32 li jaċċessaw AD. Fil-qosor:
dan jagħmel l-irkupru ta' oqsma AD faċli daqs li tittajpja cmdlet qasir ħafna.
Ejja nieħdu eżempju tal-ġbir ta 'informazzjoni dwar impjegat ta' Cruella Deville, li huwa wieħed mill-mexxejja tal-kumpanija. Biex tagħmel dan, uża l-cmdlet PowerView get-NetUser:
L-installazzjoni ta' PowerView mhijiex problema serja - ara għalik innifsek fuq il-paġna . U aktar importanti minn hekk, m'għandekx bżonn privileġġi elevati biex tmexxi ħafna kmandi PowerView, bħal get-NetUser. B'dan il-mod, impjegat motivat iżda mhux ħafna teknoloġiku jista 'jibda tgergir ma' AD mingħajr ħafna sforz.
Mill-screenshot ta 'hawn fuq, tista' tara li minn ġewwa jista 'malajr jitgħallmu ħafna dwar Cruella. Innotajt ukoll li l-qasam "info" jiżvela informazzjoni dwar id-drawwiet personali u l-password tal-utent?
Din mhix possibbiltà teoretika. Minn Tgħallimt li jiskannjaw AD biex isibu passwords b'test sempliċi, u ħafna drabi dawn l-attentati huma sfortunatament ta 'suċċess. Huma jafu li l-kumpaniji huma traskurati bl-informazzjoni fl-AD, u għandhom tendenza li ma jkunux konxji tas-suġġett li jmiss: permessi AD.
L-Active Directory għandu l-ACLs tiegħu stess
L-interface Utenti u Kompjuters AD jippermettilek li tissettja permessi fuq oġġetti AD. AD għandha ACLs u l-amministraturi jistgħu jagħtu jew jiċħdu aċċess permezz tagħhom. Ikollok bżonn tikklikkja "Advanced" fil-menu ADUC View u mbagħad meta tiftaħ l-utent tara t-tab "Sigurtà" fejn issettja l-ACL.
Fix-xenarju ta' Cruella tiegħi, ma ridtx li l-Utenti Awtentikati kollha jkunu jistgħu jaraw l-informazzjoni personali tagħha, għalhekk ċaħdithom l-aċċess għall-qari:
U issa utent normali se jara dan jekk jipprova Get-NetUser f'PowerView:
Irnexxieli naħbi informazzjoni ovvjament utli minn għajnejhom. Biex inżommu aċċessibbli għall-utenti rilevanti, ħloqt ACL ieħor biex inħalli lill-membri tal-grupp VIP (Cruella u l-kollegi l-oħra tagħha ta 'grad għoli) jaċċessaw din id-dejta sensittiva. Fi kliem ieħor, implimentajt permessi AD bbażati fuq mudell, li għamel id-dejta sensittiva inaċċessibbli għall-biċċa l-kbira tal-impjegati, inklużi l-Insiders.
Madankollu, tista 'tagħmel is-sħubija tal-grupp inviżibbli għall-utenti billi tistabbilixxi l-ACL fuq l-oġġett tal-grupp f'AD kif xieraq. Dan se jgħin f'termini ta 'privatezza u sigurtà.
Fil- Urejt kif tista’ tinnaviga s-sistema billi teżamina s-sħubija fil-grupp billi tuża PowerViews Get-NetGroupMember. Fl-iskrittura tiegħi, illimitajt l-aċċess tal-qari għal sħubija fi grupp speċifiku. Tista 'tara r-riżultat tat-tħaddim tal-kmand qabel u wara l-bidliet:
Stajt naħbi s-sħubija ta' Cruella u Monty Burns fil-grupp VIP, u għamilha diffiċli għall-hackers u l-insiders biex jiskopru l-infrastruttura.
Din il-kariga kienet maħsuba biex timmotivak biex tagħti ħarsa aktar mill-qrib lejn l-għelieqi
AD u permessi relatati. AD huwa riżors kbir, imma aħseb dwar kif inti
riedu jaqsmu informazzjoni kunfidenzjali u data personali, speċjalment
meta niġu għall-ogħla uffiċjali tal-organizzazzjoni tiegħek.
Sors: www.habr.com