د امتیازاتو زیاتوالی د یو حساب د اوسني حقونو برید کونکي لخوا کارول کیږي ترڅو اضافي ترلاسه کړي ، معمولا سیسټم ته د لاسرسي لوړه کچه. پداسې حال کې چې د امتیازاتو زیاتوالی د صفر ورځې زیانونو څخه د ګټې اخیستنې پایله کیدی شي ، یا د لومړۍ درجې هیکرانو کار چې هدفي برید ترسره کوي ، یا په هوښیار ډول مالویر ترسره کوي ، دا ډیری وختونه د کمپیوټر یا حساب غلط تنظیم کولو له امله وي. د برید نوره وده کول، برید کونکي یو شمیر انفرادي زیانمننې کاروي، کوم چې یوځای کولی شي د ډیټا ډیټا افشا کیدو لامل شي.
ولې باید کاروونکي د محلي مدیر حقونه ونه لري؟
که تاسو یو امنیتي مسلکی یاست، نو ښایي داسې ښکاري چې کاروونکي باید د محلي مدیر حقونه ونه لري، لکه دا:
- د دوی حسابونه د مختلف بریدونو لپاره ډیر زیان منونکي کوي
- دا ورته بریدونه خورا سخت کوي
له بده مرغه، د ډیری سازمانونو لپاره دا لاهم یو ډیر جنجالي مسله ده او ځینې وختونه د تودو بحثونو سره مل وي (وګورئ، د بیلګې په توګه،
مرحله 1 د PowerShell سره د DNS ریزولوشن بدل کړئ
په ډیفالټ ډول، PowerShell په ډیری محلي کارځایونو او ډیری وینډوز سرورونو کې نصب شوی. او پداسې حال کې چې دا د مبالغې پرته نه ده چې دا د نه منلو وړ ګټور اتوماتیک او کنټرول وسیله ګڼل کیږي ، دا په مساوي ډول د دې وړتیا لري چې ځان په نږدې نه لید کې بدل کړي.
زموږ په قضیه کې ، برید کونکی د پاور شیل سکریپټ په کارولو سره د شبکې کشف کول پیل کوي ، په ترتیب سره د شبکې IP پتې ځای کې تکرار کوي ، هڅه کوي دا معلومه کړي چې ایا ورکړل شوی IP کوربه ته حل کوي ، او که داسې وي نو د دې کوربه شبکې نوم څه دی.
د دې کار د ترسره کولو لپاره ډیری لارې شتون لري، مګر د cmdlet په کارولو سره
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
که په لویو شبکو کې سرعت ستونزه وي، نو د DNS کال بیک کارول کیدی شي:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
په شبکه کې د کوربه لیست کولو دا طریقه خورا مشهوره ده، ځکه چې ډیری شبکې د صفر باور امنیتي ماډل نه کاروي او د شکمنو فعالیتونو لپاره د داخلي DNS پوښتنو څارنه نه کوي.
2 ګام: یو هدف وټاکئ
د دې مرحلې وروستۍ پایله د سرور او ورک سټیشن کوربه نومونو لیست ترلاسه کول دي چې د برید دوام لپاره کارول کیدی شي.
د نوم څخه، د 'HUB-FILER' سرور د یو وړ هدف په څیر ښکاري، ځکه چې د وخت په تیریدو سره، د فایل سرورونه، د یوې قاعدې په توګه، د شبکې فولډرونو لوی شمیر راټولوي او د ډیرو خلکو لخوا دوی ته ډیر لاسرسی.
د وینډوز اکسپلورر سره لټون کول موږ ته اجازه راکوي چې د خلاص شریک فولډر شتون کشف کړو، مګر زموږ اوسنی حساب نشي کولی ورته لاسرسی ومومي (شاید موږ یوازې د لیست کولو حقونه لرو).
دریم ګام: ACLs زده کړئ
اوس، زموږ د HUB-FILER کوربه او هدف ونډې کې، موږ کولی شو د ACL ترلاسه کولو لپاره د پاور شیل سکریپټ چلوو. موږ کولی شو دا د ځایی ماشین څخه ترسره کړو، ځکه چې موږ دمخه د محلي مدیر حقونه لرو:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
د اجرا پایله:
له دې څخه موږ ګورو چې د ډومین کاروونکو ګروپ یوازې لیست کولو ته لاسرسی لري، مګر د هیلپ ډیسک ګروپ هم د بدلون حق لري.
4 ګام: د حساب پیژندنه
په چلولو سره
Get-ADGroupMember -identity Helpdesk
پدې لیست کې موږ یو کمپیوټر حساب ګورو چې موږ دمخه پیژندلی او دمخه یې لاسرسی موندلی دی:
5 ګام: د کمپیوټر حساب په توګه چلولو لپاره PSExec وکاروئ
PsExec.exe -s -i cmd.exe
ښه، بیا تاسو د HUB-FILERshareHR هدف فولډر ته بشپړ لاسرسی لرئ، ځکه چې تاسو د HUB-SHAREPOINT کمپیوټر حساب په شرایطو کې کار کوئ. او د دې لاسرسي سره ، ډاټا د پورټ ایبل ذخیره کولو وسیلې ته کاپي کیدی شي یا په بل ډول د شبکې له لارې ترلاسه او لیږدول کیدی شي.
6 ګام: د دې برید کشف
د دې ځانګړي حساب امتیازي توزیع زیانمنتیا (د کمپیوټر حسابونه د کارونکي حسابونو یا خدماتو حسابونو پرځای د شبکې ونډو ته لاسرسی لري) کشف کیدی شي. په هرصورت، د سمو وسیلو پرته، دا خورا ستونزمن کار دی.
د دې کټګورۍ بریدونو کشف او مخنیوي لپاره، موږ کولی شو وکاروو
لاندې سکرین شاټ یو دودیز خبرتیا ښیې چې هرکله چې د کمپیوټر حساب په نظارت شوي سرور کې ډیټا ته لاسرسی ومومي ډزې به وکړي.
د PowerShell سره راتلونکی ګامونه
غواړئ نور پوه شئ؟ بشپړ ته د وړیا لاسرسي لپاره د "بلاګ" انلاک کوډ وکاروئ
سرچینه: www.habr.com