Przeprowadziłem testy penetracyjne za pomocą i użył go do pobrania informacji o użytkowniku z Active Directory (zwanego dalej AD). W tamtym czasie skupiałem się na zbieraniu informacji o członkostwie w grupach bezpieczeństwa, a następnie wykorzystywaniu ich do poruszania się po sieci. Tak czy inaczej, AD zawiera wrażliwe dane pracowników, z których niektóre naprawdę nie powinny być dostępne dla wszystkich w organizacji. W rzeczywistości w systemach plików Windows istnieje odpowiednik , z którego mogą korzystać zarówno osoby atakujące wewnętrznie, jak i zewnętrznie.
Zanim jednak porozmawiamy o problemach związanych z prywatnością i sposobach ich rozwiązania, przyjrzyjmy się danym przechowywanym w AD.
Active Directory to korporacyjny Facebook
Ale w tym przypadku zaprzyjaźniłeś się już ze wszystkimi! Możesz nie wiedzieć o ulubionych filmach, książkach i restauracjach swoich współpracowników, ale AD zawiera wrażliwe dane kontaktowe.
dane i inne pola, z których mogą korzystać hakerzy, a nawet osoby posiadające dostęp do poufnych informacji bez specjalnych umiejętności technicznych.
Administratorzy systemu oczywiście znają poniższy zrzut ekranu. Jest to interfejs Użytkownicy i komputery usługi Active Directory (ADUC), w którym ustawiają i edytują informacje o użytkownikach oraz przypisują użytkowników do odpowiednich grup.
AD zawiera pola na imię i nazwisko pracownika, adres i numer telefonu, dzięki czemu przypomina książkę telefoniczną. Ale jest o wiele więcej! Inne karty obejmują także adres e-mail i adres internetowy, menedżera liniowego i notatki.
Czy wszyscy w organizacji muszą widzieć te informacje, szczególnie w erze? , kiedy każdy nowy szczegół jeszcze bardziej ułatwia wyszukiwanie większej ilości informacji?
Oczywiście nie! Problem pogłębia się, gdy dane pochodzące od najwyższego kierownictwa firmy są dostępne dla wszystkich pracowników.
PowerView dla każdego
Tutaj z pomocą przychodzi PowerView. Zapewnia bardzo przyjazny dla użytkownika interfejs PowerShell dla podstawowych (i mylących) funkcji Win32, które uzyskują dostęp do AD. W skrócie:
dzięki temu pobieranie pól AD jest tak proste, jak wpisanie bardzo krótkiego polecenia cmdlet.
Weźmy przykład zbierania informacji o pracowniku Cruelli Deville, która jest jednym z liderów firmy. Aby to zrobić, użyj polecenia cmdlet get-NetUser programu PowerView:
Instalacja PowerView nie jest poważnym problemem - przekonaj się sam na stronie . Co ważniejsze, nie potrzebujesz podwyższonych uprawnień, aby uruchamiać wiele poleceń PowerView, takich jak get-NetUser. W ten sposób zmotywowany, ale niezbyt obeznany z technologią pracownik może bez większego wysiłku zacząć majsterkować przy AD.
Na powyższym zrzucie ekranu widać, że wtajemniczony może szybko dowiedzieć się wiele o Cruelli. Czy zauważyłeś również, że w polu „info” pojawiają się informacje o osobistych nawykach i haśle użytkownika?
Nie jest to teoretyczna możliwość. Z Dowiedziałem się, że skanują AD w celu znalezienia haseł w postaci zwykłego tekstu i często te próby niestety kończą się sukcesem. Wiedzą, że firmy nieostrożnie podchodzą do informacji w AD i zwykle nie są świadome kolejnego tematu: uprawnień AD.
Usługa Active Directory ma własne listy ACL
Interfejs Użytkownicy i komputery usługi AD umożliwia ustawianie uprawnień do obiektów usługi AD. AD ma listy ACL, a administratorzy mogą za ich pośrednictwem udzielać lub odmawiać dostępu. Musisz kliknąć „Zaawansowane” w menu Widok ADUC, a następnie po otwarciu użytkownika zobaczysz zakładkę „Zabezpieczenia”, w której ustawiasz listę ACL.
W moim scenariuszu z Cruellą nie chciałem, aby wszyscy uwierzytelnieni użytkownicy mogli zobaczyć jej dane osobowe, więc odmówiłem im dostępu do odczytu:
A teraz zwykły użytkownik zobaczy to, jeśli spróbuje Get-NetUser w PowerView:
Udało mi się ukryć oczywiście przydatne informacje przed wścibskimi oczami. Aby była dostępna dla odpowiednich użytkowników, utworzyłem kolejną listę ACL, aby umożliwić członkom grupy VIP (Cruella i jej innym wysokim rangą współpracownikom) dostęp do tych wrażliwych danych. Inaczej mówiąc, zaimplementowałem uprawnienia AD w oparciu o wzór do naśladowania, co sprawiło, że wrażliwe dane stały się niedostępne dla większości pracowników, w tym Insiderów.
Można jednak sprawić, że członkostwo w grupie będzie niewidoczne dla użytkowników, odpowiednio ustawiając listę ACL obiektu grupy w usłudze AD. Pomoże to w zakresie prywatności i bezpieczeństwa.
w jego Pokazałem, jak można poruszać się po systemie, sprawdzając członkostwo w grupach za pomocą programu PowerView Get-NetGroupMember. W moim skrypcie ograniczyłem dostęp do odczytu do członkostwa w określonej grupie. Możesz zobaczyć wynik uruchomienia polecenia przed i po zmianach:
Udało mi się ukryć członkostwo Cruelli i Monty’ego Burnsa w grupie VIP, co utrudniło hakerom i osobom wtajemniczonym przeszukanie infrastruktury.
Ten post miał Cię zmotywować do bliższego przyjrzenia się polom
AD i powiązane uprawnienia. AD to świetne źródło informacji, ale zastanów się, jak byś to zrobił
chciał udostępnić w szczególności informacje poufne i dane osobowe
jeśli chodzi o najwyższych urzędników Twojej organizacji.
Źródło: www.habr.com