Eu fiz testes de penetração usando e o usou para recuperar informações do usuário do Active Directory (doravante denominado AD). Na época, minha ênfase estava na coleta de informações sobre membros de grupos de segurança e no uso dessas informações para navegar na rede. De qualquer forma, o AD contém dados confidenciais de funcionários, alguns dos quais não deveriam estar acessíveis a todos na organização. Na verdade, nos sistemas de arquivos do Windows existe um equivalente , que também pode ser usado por invasores internos e externos.
Mas antes de falarmos sobre questões de privacidade e como resolvê-las, vamos dar uma olhada nos dados armazenados no AD.
Active Directory é o Facebook corporativo
Mas neste caso você já fez amizade com todo mundo! Você pode não saber sobre os filmes, livros ou restaurantes favoritos de seus colegas de trabalho, mas o AD contém informações de contato confidenciais.
dados e outros campos que podem ser usados por hackers e até mesmo por pessoas internas sem habilidades técnicas especiais.
É claro que os administradores do sistema estão familiarizados com a imagem abaixo. Esta é a interface de usuários e computadores do Active Directory (ADUC), onde eles definem e editam informações do usuário e atribuem usuários a grupos apropriados.
O AD contém campos para nome, endereço e número de telefone do funcionário, portanto é semelhante a uma lista telefônica. Mas há muito mais! Outras guias também incluem e-mail e endereço da web, gerente de linha e notas.
Todos na organização precisam ver essas informações, especialmente em uma época , quando cada novo detalhe torna a busca por mais informações ainda mais fácil?
Claro que não! O problema é agravado quando os dados da gestão de topo de uma empresa estão disponíveis para todos os funcionários.
PowerView para todos
É aqui que o PowerView entra em ação. Ele fornece uma interface PowerShell muito amigável para as funções Win32 subjacentes (e confusas) que acessam o AD. Resumidamente:
isso torna a recuperação de campos do AD tão fácil quanto digitar um cmdlet muito curto.
Vejamos um exemplo de coleta de informações sobre uma funcionária da Cruella Deville, que é uma das dirigentes da empresa. Para fazer isso, use o cmdlet get-NetUser do PowerView:
Instalar o PowerView não é um problema sério - veja você mesmo na página . E o mais importante, você não precisa de privilégios elevados para executar muitos comandos do PowerView, como get-NetUser. Dessa forma, um funcionário motivado, mas não muito experiente em tecnologia, pode começar a mexer no AD sem muito esforço.
Na captura de tela acima, você pode ver que um insider pode aprender muito rapidamente sobre Cruella. Você também percebeu que o campo “info” revela informações sobre hábitos pessoais e senha do usuário?
Esta não é uma possibilidade teórica. De Aprendi que eles examinam o AD para encontrar senhas em texto simples e, muitas vezes, essas tentativas são, infelizmente, bem-sucedidas. Eles sabem que as empresas são descuidadas com as informações do AD e tendem a desconhecer o próximo tópico: permissões do AD.
O Active Directory tem suas próprias ACLs
A interface de usuários e computadores do AD permite definir permissões em objetos do AD. O AD possui ACLs e os administradores podem conceder ou negar acesso por meio delas. Você precisa clicar em "Avançado" no menu ADUC View e então ao abrir o usuário você verá a aba "Segurança" onde você configura a ACL.
No meu cenário Cruella, eu não queria que todos os usuários autenticados pudessem ver suas informações pessoais, então neguei-lhes acesso de leitura:
E agora um usuário normal verá isso se tentar Get-NetUser no PowerView:
Consegui esconder informações obviamente úteis de olhares indiscretos. Para mantê-lo acessível aos usuários relevantes, criei outra ACL para permitir que membros do grupo VIP (Cruella e seus outros colegas de alto escalão) acessem esses dados confidenciais. Em outras palavras, implementei permissões AD com base em um modelo, o que tornou os dados confidenciais inacessíveis para a maioria dos funcionários, incluindo Insiders.
No entanto, você pode tornar a associação ao grupo invisível para os usuários definindo a ACL no objeto de grupo no AD adequadamente. Isso ajudará em termos de privacidade e segurança.
Na sua Mostrei como você pode navegar no sistema examinando a associação ao grupo usando PowerViews Get-NetGroupMember. No meu script, restringi o acesso de leitura à participação em um grupo específico. Você pode ver o resultado da execução do comando antes e depois das alterações:
Consegui ocultar a participação de Cruella e Monty Burns no grupo VIP, dificultando a exploração da infraestrutura por hackers e pessoas internas.
Este post teve como objetivo motivá-lo a olhar mais de perto os campos
AD e permissões relacionadas. AD é um ótimo recurso, mas pense em como você faria
queria compartilhar informações confidenciais e dados pessoais, especialmente
quando se trata dos altos funcionários da sua organização.
Fonte: habr.com