Jeg har gjort penetrasjonstesting vha og brukte den til å hente brukerinformasjon fra Active Directory (heretter kalt AD). På den tiden var min vekt på å samle informasjon om sikkerhetsgruppemedlemskap og deretter bruke denne informasjonen til å navigere i nettverket. Uansett, AD inneholder sensitive ansattes data, hvorav noen egentlig ikke burde være tilgjengelig for alle i organisasjonen. Faktisk, i Windows-filsystemer er det tilsvarende , som også kan brukes av både interne og eksterne angripere.
Men før vi snakker om personvernproblemer og hvordan vi kan fikse dem, la oss ta en titt på dataene som er lagret i AD.
Active Directory er bedriftens Facebook
Men i dette tilfellet har du allerede blitt venner med alle! Du vet kanskje ikke om dine kollegaers favorittfilmer, bøker eller restauranter, men AD inneholder sensitiv kontaktinformasjon.
data og andre felt som kan brukes av hackere og til og med innsidere uten spesielle tekniske ferdigheter.
Systemadministratorer er selvfølgelig kjent med skjermbildet nedenfor. Dette er Active Directory Users and Computers (ADUC)-grensesnittet der de angir og redigerer brukerinformasjon og tilordner brukere til passende grupper.
AD inneholder felt for ansattes navn, adresse og telefonnummer, så det ligner på en telefonkatalog. Men det er så mye mer! Andre faner inkluderer også e-post og nettadresse, linjeleder og notater.
Trenger alle i organisasjonen å se denne informasjonen, spesielt i en tid , når hver ny detalj gjør det enda enklere å søke etter mer informasjon?
Selvfølgelig ikke! Problemet forsterkes når data fra toppledelsen i en bedrift er tilgjengelig for alle ansatte.
PowerView for alle
Det er her PowerView kommer inn i bildet. Det gir et veldig brukervennlig PowerShell-grensesnitt til de underliggende (og forvirrende) Win32-funksjonene som har tilgang til AD. Kort oppsummert:
dette gjør det like enkelt å hente AD-felt som å skrive en veldig kort cmdlet.
La oss ta et eksempel på å samle informasjon om en ansatt i Cruella Deville, som er en av selskapets ledere. For å gjøre dette, bruk PowerView get-NetUser cmdlet:
Installasjon av PowerView er ikke et alvorlig problem - se selv på siden . Og enda viktigere, du trenger ikke forhøyede privilegier for å kjøre mange PowerView-kommandoer, for eksempel get-NetUser. På denne måten kan en motivert, men lite teknisk kunnskapsrik ansatt begynne å fikle med AD uten stor innsats.
Fra skjermbildet ovenfor kan du se at en insider raskt kan lære mye om Cruella. Har du også lagt merke til at "info"-feltet avslører informasjon om brukerens personlige vaner og passord?
Dette er ikke en teoretisk mulighet. Fra Jeg lærte at de skanner AD for å finne passord i ren tekst, og ofte lykkes disse forsøkene dessverre. De vet at selskaper er uforsiktige med informasjon i AD, og de har en tendens til å være uvitende om neste emne: AD-tillatelser.
Active Directory har sine egne ACLer
AD Users and Computers-grensesnittet lar deg angi tillatelser for AD-objekter. AD har tilgangskontrollister og administratorer kan gi eller nekte tilgang gjennom dem. Du må klikke "Avansert" i ADUC View-menyen, og når du åpner brukeren vil du se fanen "Sikkerhet" der du angir tilgangskontrollisten.
I Cruella-scenarioet mitt ønsket jeg ikke at alle autentiserte brukere skulle kunne se hennes personlige opplysninger, så jeg nektet dem lesetilgang:
Og nå vil en vanlig bruker se dette hvis de prøver Get-NetUser i PowerView:
Jeg klarte å skjule åpenbart nyttig informasjon fra nysgjerrige øyne. For å holde den tilgjengelig for relevante brukere, opprettet jeg en annen ACL for å gi medlemmer av VIP-gruppen (Cruella og hennes andre høytstående kolleger) tilgang til disse sensitive dataene. Med andre ord implementerte jeg AD-tillatelser basert på en rollemodell, noe som gjorde sensitive data utilgjengelige for de fleste ansatte, inkludert Insiders.
Du kan imidlertid gjøre gruppemedlemskap usynlig for brukere ved å sette ACL på gruppeobjektet i AD tilsvarende. Dette vil hjelpe når det gjelder personvern og sikkerhet.
i sin Jeg viste hvordan du kan navigere i systemet ved å undersøke gruppemedlemskap ved å bruke PowerViews Get-NetGroupMember. I skriptet mitt begrenset jeg lesetilgang til medlemskap i en bestemt gruppe. Du kan se resultatet av å kjøre kommandoen før og etter endringene:
Jeg klarte å skjule Cruella og Monty Burns sitt medlemskap i VIP-gruppen, noe som gjorde det vanskelig for hackere og innsidere å speide etter infrastrukturen.
Dette innlegget var ment å motivere deg til å se nærmere på feltene
AD og relaterte tillatelser. AD er en stor ressurs, men tenk på hvordan du ville gjort det
ønsket å dele konfidensiell informasjon og personopplysninger, spesielt
når det gjelder de øverste tjenestemennene i organisasjonen din.
Kilde: www.habr.com