Jeg har gjort penetrasjonstesting vha
Men før vi snakker om personvernproblemer og hvordan vi kan fikse dem, la oss ta en titt på dataene som er lagret i AD.
Active Directory er bedriftens Facebook
Men i dette tilfellet har du allerede blitt venner med alle! Du vet kanskje ikke om dine kollegaers favorittfilmer, bøker eller restauranter, men AD inneholder sensitiv kontaktinformasjon.
data og andre felt som kan brukes av hackere og til og med innsidere uten spesielle tekniske ferdigheter.
Systemadministratorer er selvfølgelig kjent med skjermbildet nedenfor. Dette er Active Directory Users and Computers (ADUC)-grensesnittet der de angir og redigerer brukerinformasjon og tilordner brukere til passende grupper.
AD inneholder felt for ansattes navn, adresse og telefonnummer, så det ligner på en telefonkatalog. Men det er så mye mer! Andre faner inkluderer også e-post og nettadresse, linjeleder og notater.
Trenger alle i organisasjonen å se denne informasjonen, spesielt i en tid
Selvfølgelig ikke! Problemet forsterkes når data fra toppledelsen i en bedrift er tilgjengelig for alle ansatte.
PowerView for alle
Det er her PowerView kommer inn i bildet. Det gir et veldig brukervennlig PowerShell-grensesnitt til de underliggende (og forvirrende) Win32-funksjonene som har tilgang til AD. Kort oppsummert:
dette gjør det like enkelt å hente AD-felt som å skrive en veldig kort cmdlet.
La oss ta et eksempel på å samle informasjon om en ansatt i Cruella Deville, som er en av selskapets ledere. For å gjøre dette, bruk PowerView get-NetUser cmdlet:
Installasjon av PowerView er ikke et alvorlig problem - se selv på siden
Fra skjermbildet ovenfor kan du se at en insider raskt kan lære mye om Cruella. Har du også lagt merke til at "info"-feltet avslører informasjon om brukerens personlige vaner og passord?
Dette er ikke en teoretisk mulighet. Fra
Active Directory har sine egne ACLer
AD Users and Computers-grensesnittet lar deg angi tillatelser for AD-objekter. AD har tilgangskontrollister og administratorer kan gi eller nekte tilgang gjennom dem. Du må klikke "Avansert" i ADUC View-menyen, og når du åpner brukeren vil du se fanen "Sikkerhet" der du angir tilgangskontrollisten.
I Cruella-scenarioet mitt ønsket jeg ikke at alle autentiserte brukere skulle kunne se hennes personlige opplysninger, så jeg nektet dem lesetilgang:
Og nå vil en vanlig bruker se dette hvis de prøver Get-NetUser i PowerView:
Jeg klarte å skjule åpenbart nyttig informasjon fra nysgjerrige øyne. For å holde den tilgjengelig for relevante brukere, opprettet jeg en annen ACL for å gi medlemmer av VIP-gruppen (Cruella og hennes andre høytstående kolleger) tilgang til disse sensitive dataene. Med andre ord implementerte jeg AD-tillatelser basert på en rollemodell, noe som gjorde sensitive data utilgjengelige for de fleste ansatte, inkludert Insiders.
Du kan imidlertid gjøre gruppemedlemskap usynlig for brukere ved å sette ACL på gruppeobjektet i AD tilsvarende. Dette vil hjelpe når det gjelder personvern og sikkerhet.
i sin
Jeg klarte å skjule Cruella og Monty Burns sitt medlemskap i VIP-gruppen, noe som gjorde det vanskelig for hackere og innsidere å speide etter infrastrukturen.
Dette innlegget var ment å motivere deg til å se nærmere på feltene
AD og relaterte tillatelser. AD er en stor ressurs, men tenk på hvordan du ville gjort det
ønsket å dele konfidensiell informasjon og personopplysninger, spesielt
når det gjelder de øverste tjenestemennene i organisasjonen din.
Kilde: www.habr.com