Eu fiz testes de penetração usando
Mas antes de falarmos sobre questões de privacidade e como resolvê-las, vamos dar uma olhada nos dados armazenados no AD.
Active Directory é o Facebook corporativo
Mas neste caso você já fez amizade com todo mundo! Você pode não saber sobre os filmes, livros ou restaurantes favoritos de seus colegas de trabalho, mas o AD contém informações de contato confidenciais.
dados e outros campos que podem ser usados por hackers e até mesmo por pessoas internas sem habilidades técnicas especiais.
É claro que os administradores do sistema estão familiarizados com a imagem abaixo. Esta é a interface de usuários e computadores do Active Directory (ADUC), onde eles definem e editam informações do usuário e atribuem usuários a grupos apropriados.
O AD contém campos para nome, endereço e número de telefone do funcionário, portanto é semelhante a uma lista telefônica. Mas há muito mais! Outras guias também incluem e-mail e endereço da web, gerente de linha e notas.
Todos na organização precisam ver essas informações, especialmente em uma época
Claro que não! O problema é agravado quando os dados da gestão de topo de uma empresa estão disponíveis para todos os funcionários.
PowerView para todos
É aqui que o PowerView entra em ação. Ele fornece uma interface PowerShell muito amigável para as funções Win32 subjacentes (e confusas) que acessam o AD. Resumidamente:
isso torna a recuperação de campos do AD tão fácil quanto digitar um cmdlet muito curto.
Vejamos um exemplo de coleta de informações sobre uma funcionária da Cruella Deville, que é uma das dirigentes da empresa. Para fazer isso, use o cmdlet get-NetUser do PowerView:
Instalar o PowerView não é um problema sério - veja você mesmo na página
Na captura de tela acima, você pode ver que um insider pode aprender muito rapidamente sobre Cruella. Você também percebeu que o campo “info” revela informações sobre hábitos pessoais e senha do usuário?
Esta não é uma possibilidade teórica. De
O Active Directory tem suas próprias ACLs
A interface de usuários e computadores do AD permite definir permissões em objetos do AD. O AD possui ACLs e os administradores podem conceder ou negar acesso por meio delas. Você precisa clicar em "Avançado" no menu ADUC View e então ao abrir o usuário você verá a aba "Segurança" onde você configura a ACL.
No meu cenário Cruella, eu não queria que todos os usuários autenticados pudessem ver suas informações pessoais, então neguei-lhes acesso de leitura:
E agora um usuário normal verá isso se tentar Get-NetUser no PowerView:
Consegui esconder informações obviamente úteis de olhares indiscretos. Para mantê-lo acessível aos usuários relevantes, criei outra ACL para permitir que membros do grupo VIP (Cruella e seus outros colegas de alto escalão) acessem esses dados confidenciais. Em outras palavras, implementei permissões AD com base em um modelo, o que tornou os dados confidenciais inacessíveis para a maioria dos funcionários, incluindo Insiders.
No entanto, você pode tornar a associação ao grupo invisível para os usuários definindo a ACL no objeto de grupo no AD adequadamente. Isso ajudará em termos de privacidade e segurança.
Na sua
Consegui ocultar a participação de Cruella e Monty Burns no grupo VIP, dificultando a exploração da infraestrutura por hackers e pessoas internas.
Este post teve como objetivo motivá-lo a olhar mais de perto os campos
AD e permissões relacionadas. AD é um ótimo recurso, mas pense em como você faria
queria compartilhar informações confidenciais e dados pessoais, especialmente
quando se trata dos altos funcionários da sua organização.
Fonte: habr.com