د محلي حسابونو امتیاز لوړولو لپاره د PowerShell کارول

د امتیازاتو زیاتوالی د یو حساب د اوسني حقونو برید کونکي لخوا کارول کیږي ترڅو اضافي ترلاسه کړي ، معمولا سیسټم ته د لاسرسي لوړه کچه. پداسې حال کې چې د امتیازاتو زیاتوالی د صفر ورځې زیانونو څخه د ګټې اخیستنې پایله کیدی شي ، یا د لومړۍ درجې هیکرانو کار چې هدفي برید ترسره کوي ، یا په هوښیار ډول مالویر ترسره کوي ، دا ډیری وختونه د کمپیوټر یا حساب غلط تنظیم کولو له امله وي. د برید نوره وده کول، برید کونکي یو شمیر انفرادي زیانمننې کاروي، کوم چې یوځای کولی شي د ډیټا ډیټا افشا کیدو لامل شي.

ولې باید کاروونکي د محلي مدیر حقونه ونه لري؟

که تاسو یو امنیتي مسلکی یاست، نو ښایي داسې ښکاري چې کاروونکي باید د محلي مدیر حقونه ونه لري، لکه دا:

• د دوی حسابونه د مختلف بریدونو لپاره ډیر زیان منونکي کوي
• دا ورته بریدونه خورا سخت کوي

له بده مرغه، د ډیری سازمانونو لپاره دا لاهم یو ډیر جنجالي مسله ده او ځینې وختونه د تودو بحثونو سره مل وي (وګورئ، د بیلګې په توګه، زما څارونکي وايي ټول کاروونکي باید محلي مدیران وي). پرته له دې چې د دې بحث جزئیاتو ته لاړ شو، موږ باور لرو چې برید کونکي د پلټنې لاندې سیسټم کې د محلي مدیر حقونه ترلاسه کړي، یا د استحصال له لارې یا دا چې ماشینونه په سمه توګه خوندي نه وو.

مرحله 1 د PowerShell سره د DNS ریزولوشن بدل کړئ

په ډیفالټ ډول، PowerShell په ډیری محلي کارځایونو او ډیری وینډوز سرورونو کې نصب شوی. او پداسې حال کې چې دا د مبالغې پرته نه ده چې دا د نه منلو وړ ګټور اتوماتیک او کنټرول وسیله ګڼل کیږي ، دا په مساوي ډول د دې وړتیا لري چې ځان په نږدې نه لید کې بدل کړي. بې فایل مالویر (د هیک کولو برنامه چې د برید نښې نه پریږدي).

زموږ په قضیه کې ، برید کونکی د پاور شیل سکریپټ په کارولو سره د شبکې کشف کول پیل کوي ، په ترتیب سره د شبکې IP پتې ځای کې تکرار کوي ، هڅه کوي دا معلومه کړي چې ایا ورکړل شوی IP کوربه ته حل کوي ، او که داسې وي نو د دې کوربه شبکې نوم څه دی.
د دې کار د ترسره کولو لپاره ډیری لارې شتون لري، مګر د cmdlet په کارولو سره ترلاسه-ADCcomputer یو قوي اختیار دی ځکه چې دا د هر نوډ په اړه د ډیټا خورا بډایه سیټ بیرته راګرځوي:

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

که په لویو شبکو کې سرعت ستونزه وي، نو د DNS کال بیک کارول کیدی شي:

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

په شبکه کې د کوربه لیست کولو دا طریقه خورا مشهوره ده، ځکه چې ډیری شبکې د صفر باور امنیتي ماډل نه کاروي او د شکمنو فعالیتونو لپاره د داخلي DNS پوښتنو څارنه نه کوي.

2 ګام: یو هدف وټاکئ

د دې مرحلې وروستۍ پایله د سرور او ورک سټیشن کوربه نومونو لیست ترلاسه کول دي چې د برید دوام لپاره کارول کیدی شي.

د نوم څخه، د 'HUB-FILER' سرور د یو وړ هدف په څیر ښکاري، ځکه چې د وخت په تیریدو سره، د فایل سرورونه، د یوې قاعدې په توګه، د شبکې فولډرونو لوی شمیر راټولوي او د ډیرو خلکو لخوا دوی ته ډیر لاسرسی.

د وینډوز اکسپلورر سره لټون کول موږ ته اجازه راکوي چې د خلاص شریک فولډر شتون کشف کړو، مګر زموږ اوسنی حساب نشي کولی ورته لاسرسی ومومي (شاید موږ یوازې د لیست کولو حقونه لرو).

دریم ګام: ACLs زده کړئ

اوس، زموږ د HUB-FILER کوربه او هدف ونډې کې، موږ کولی شو د ACL ترلاسه کولو لپاره د پاور شیل سکریپټ چلوو. موږ کولی شو دا د ځایی ماشین څخه ترسره کړو، ځکه چې موږ دمخه د محلي مدیر حقونه لرو:

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

د اجرا پایله:

له دې څخه موږ ګورو چې د ډومین کاروونکو ګروپ یوازې لیست کولو ته لاسرسی لري، مګر د هیلپ ډیسک ګروپ هم د بدلون حق لري.

4 ګام: د حساب پیژندنه

په چلولو سره د ADGroupMember ترلاسه کړئموږ کولی شو د دې ګروپ ټول غړي ترلاسه کړو:

Get-ADGroupMember -identity Helpdesk

پدې لیست کې موږ یو کمپیوټر حساب ګورو چې موږ دمخه پیژندلی او دمخه یې لاسرسی موندلی دی:

5 ګام: د کمپیوټر حساب په توګه چلولو لپاره PSExec وکاروئ

PSExec د مایکروسافټ سیسینټرنل څخه تاسو ته اجازه درکوي د سیسټم@HUB-SHAREPOINT سیسټم حساب په شرایطو کې امرونه اجرا کړئ، کوم چې موږ پوهیږو د هیلپ ډیسک هدف ګروپ غړی دی. دا، موږ باید یوازې دا وکړو:

PsExec.exe -s -i cmd.exe

ښه، بیا تاسو د HUB-FILERshareHR هدف فولډر ته بشپړ لاسرسی لرئ، ځکه چې تاسو د HUB-SHAREPOINT کمپیوټر حساب په شرایطو کې کار کوئ. او د دې لاسرسي سره ، ډاټا د پورټ ایبل ذخیره کولو وسیلې ته کاپي کیدی شي یا په بل ډول د شبکې له لارې ترلاسه او لیږدول کیدی شي.

6 ګام: د دې برید کشف

د دې ځانګړي حساب امتیازي توزیع زیانمنتیا (د کمپیوټر حسابونه د کارونکي حسابونو یا خدماتو حسابونو پرځای د شبکې ونډو ته لاسرسی لري) کشف کیدی شي. په هرصورت، د سمو وسیلو پرته، دا خورا ستونزمن کار دی.

د دې کټګورۍ بریدونو کشف او مخنیوي لپاره، موږ کولی شو وکاروو د معلوماتو ګټه د کمپیوټر حسابونو سره ګروپونه وپیژني او بیا دوی ته لاسرسی رد کړي. DataAlert نور هم ځي او تاسو ته اجازه درکوي په ځانګړي ډول د دې ډول سناریو لپاره خبرتیا رامینځته کړئ.

لاندې سکرین شاټ یو دودیز خبرتیا ښیې چې هرکله چې د کمپیوټر حساب په نظارت شوي سرور کې ډیټا ته لاسرسی ومومي ډزې به وکړي.

د PowerShell سره راتلونکی ګامونه

غواړئ نور پوه شئ؟ بشپړ ته د وړیا لاسرسي لپاره د "بلاګ" انلاک کوډ وکاروئ پاورشیل او د فعال لارښود اساساتو ویډیو کورس.

سرچینه: www.habr.com