Przeprowadziłem testy penetracyjne za pomocą
Zanim jednak porozmawiamy o problemach związanych z prywatnością i sposobach ich rozwiązania, przyjrzyjmy się danym przechowywanym w AD.
Active Directory to korporacyjny Facebook
Ale w tym przypadku zaprzyjaźniłeś się już ze wszystkimi! Możesz nie wiedzieć o ulubionych filmach, książkach i restauracjach swoich współpracowników, ale AD zawiera wrażliwe dane kontaktowe.
dane i inne pola, z których mogą korzystać hakerzy, a nawet osoby posiadające dostęp do poufnych informacji bez specjalnych umiejętności technicznych.
Administratorzy systemu oczywiście znają poniższy zrzut ekranu. Jest to interfejs Użytkownicy i komputery usługi Active Directory (ADUC), w którym ustawiają i edytują informacje o użytkownikach oraz przypisują użytkowników do odpowiednich grup.
AD zawiera pola na imię i nazwisko pracownika, adres i numer telefonu, dzięki czemu przypomina książkę telefoniczną. Ale jest o wiele więcej! Inne karty obejmują także adres e-mail i adres internetowy, menedżera liniowego i notatki.
Czy wszyscy w organizacji muszą widzieć te informacje, szczególnie w erze?
Oczywiście nie! Problem pogłębia się, gdy dane pochodzące od najwyższego kierownictwa firmy są dostępne dla wszystkich pracowników.
PowerView dla każdego
Tutaj z pomocą przychodzi PowerView. Zapewnia bardzo przyjazny dla użytkownika interfejs PowerShell dla podstawowych (i mylących) funkcji Win32, które uzyskują dostęp do AD. W skrócie:
dzięki temu pobieranie pól AD jest tak proste, jak wpisanie bardzo krótkiego polecenia cmdlet.
Weźmy przykład zbierania informacji o pracowniku Cruelli Deville, która jest jednym z liderów firmy. Aby to zrobić, użyj polecenia cmdlet get-NetUser programu PowerView:
Instalacja PowerView nie jest poważnym problemem - przekonaj się sam na stronie
Na powyższym zrzucie ekranu widać, że wtajemniczony może szybko dowiedzieć się wiele o Cruelli. Czy zauważyłeś również, że w polu „info” pojawiają się informacje o osobistych nawykach i haśle użytkownika?
Nie jest to teoretyczna możliwość. Z
Usługa Active Directory ma własne listy ACL
Interfejs Użytkownicy i komputery usługi AD umożliwia ustawianie uprawnień do obiektów usługi AD. AD ma listy ACL, a administratorzy mogą za ich pośrednictwem udzielać lub odmawiać dostępu. Musisz kliknąć „Zaawansowane” w menu Widok ADUC, a następnie po otwarciu użytkownika zobaczysz zakładkę „Zabezpieczenia”, w której ustawiasz listę ACL.
W moim scenariuszu z Cruellą nie chciałem, aby wszyscy uwierzytelnieni użytkownicy mogli zobaczyć jej dane osobowe, więc odmówiłem im dostępu do odczytu:
A teraz zwykły użytkownik zobaczy to, jeśli spróbuje Get-NetUser w PowerView:
Udało mi się ukryć oczywiście przydatne informacje przed wścibskimi oczami. Aby była dostępna dla odpowiednich użytkowników, utworzyłem kolejną listę ACL, aby umożliwić członkom grupy VIP (Cruella i jej innym wysokim rangą współpracownikom) dostęp do tych wrażliwych danych. Inaczej mówiąc, zaimplementowałem uprawnienia AD w oparciu o wzór do naśladowania, co sprawiło, że wrażliwe dane stały się niedostępne dla większości pracowników, w tym Insiderów.
Można jednak sprawić, że członkostwo w grupie będzie niewidoczne dla użytkowników, odpowiednio ustawiając listę ACL obiektu grupy w usłudze AD. Pomoże to w zakresie prywatności i bezpieczeństwa.
w jego
Udało mi się ukryć członkostwo Cruelli i Monty’ego Burnsa w grupie VIP, co utrudniło hakerom i osobom wtajemniczonym przeszukanie infrastruktury.
Ten post miał Cię zmotywować do bliższego przyjrzenia się polom
AD i powiązane uprawnienia. AD to świetne źródło informacji, ale zastanów się, jak byś to zrobił
chciał udostępnić w szczególności informacje poufne i dane osobowe
jeśli chodzi o najwyższych urzędników Twojej organizacji.
Źródło: www.habr.com