مون استعمال ڪيو آهي دخول جاچ ۽ ان کي استعمال ڪيو ويو صارف جي معلومات کي ٻيهر حاصل ڪرڻ لاءِ Active Directory (هتان کان پوءِ AD طور حوالو ڏنو ويو). ان وقت، منهنجو زور سيڪيورٽي گروپ رڪنيت جي معلومات گڏ ڪرڻ تي هو ۽ پوءِ انهي معلومات کي استعمال ڪندي نيٽ ورڪ کي نيويگيٽ ڪرڻ لاءِ. ڪنهن به صورت ۾، AD ۾ حساس ملازم ڊيٽا شامل آهي، جن مان ڪجهه حقيقت ۾ تنظيم ۾ هر ڪنهن تائين رسائي نه هجڻ گهرجي. حقيقت ۾، ونڊوز فائل سسٽم ۾ هڪ برابر آهي ، جيڪو پڻ اندروني ۽ بيروني حملي آورن طرفان استعمال ڪري سگهجي ٿو.
پر ان کان اڳ جو اسان رازداري جي مسئلن بابت ڳالهايون ۽ انهن کي ڪيئن حل ڪجي، اچو ته AD ۾ محفوظ ڪيل ڊيٽا تي هڪ نظر وجهون.
Active Directory is the Corporate Facebook
پر هن معاملي ۾، توهان اڳ ۾ ئي سڀني سان دوستي ڪئي آهي! توهان کي شايد توهان جي همراهن جي پسنديده فلمن، ڪتابن، يا ريسٽورنٽ جي خبر نه هجي، پر AD حساس رابطي جي معلومات تي مشتمل آهي.
ڊيٽا ۽ ٻيا شعبا جيڪي خاص ٽيڪنيڪل صلاحيتن کان سواءِ هيڪرز ۽ حتي اندروني طور استعمال ڪري سگھجن ٿا.
سسٽم منتظمين يقيناً هيٺ ڏنل اسڪرين شاٽ سان واقف آهن. ھي آھي Active Directory Users and Computers (ADUC) انٽرفيس جتي اھي صارف جي معلومات کي سيٽ ۽ ايڊٽ ڪن ٿا ۽ صارفين کي مناسب گروپن کي تفويض ڪن ٿا.
AD ملازم جو نالو، پتو، ۽ فون نمبر لاءِ شعبن تي مشتمل آھي، تنھنڪري اھو ساڳيو آھي ٽيليفون ڊاريڪٽري. پر اتي تمام گهڻو آهي! ٻيون ٽيب پڻ شامل آهن اي ميل ۽ ويب ايڊريس، لائن مئنيجر، ۽ نوٽس.
ڇا تنظيم ۾ هرڪو هن معلومات کي ڏسڻ جي ضرورت آهي، خاص طور تي هڪ دور ۾ جڏهن هر نئين تفصيل وڌيڪ معلومات جي ڳولا کي وڌيڪ آسان بڻائي ٿي؟
يقيناً نه! مسئلو تڏهن وڌي ويندو آهي جڏهن ڪنهن ڪمپني جي اعليٰ انتظاميا کان ڊيٽا سڀني ملازمن وٽ موجود هوندي آهي.
PowerView هر ڪنهن لاءِ
هي آهي جتي PowerView راند ۾ اچي ٿو. اهو هڪ تمام صارف دوست پاور شيل انٽرفيس مهيا ڪري ٿو هيٺ ڏنل (۽ مونجهارو) Win32 افعال جيڪي AD تائين رسائي ڪن ٿا. مختصر ۾:
هي AD فيلڊز کي ٻيهر حاصل ڪرڻ آسان بڻائي ٿو جيترو تمام ننڍو cmdlet ٽائپ ڪرڻ.
اچو ته هڪ مثال وٺون ٿا معلومات گڏ ڪرڻ جو هڪ ملازم Cruella Deville، جيڪو ڪمپني جي اڳواڻن مان هڪ آهي. ائين ڪرڻ لاءِ، PowerView get-NetUser cmdlet استعمال ڪريو:
PowerView انسٽال ڪرڻ هڪ سنگين مسئلو ناهي - صفحي تي پنهنجو پاڻ لاء ڏسو . ۽ وڌيڪ اهم، توهان کي ڪيترن ئي PowerView حڪمن کي هلائڻ لاءِ اعليٰ مراعات جي ضرورت ناهي، جهڙوڪ get-NetUser. اهو طريقو، هڪ حوصلا افزائي نه پر تمام گهڻو ٽيڪنالاجي-پريشان ڪندڙ ملازم بغير ڪنهن ڪوشش جي AD سان ٽينڪرنگ شروع ڪري سگهي ٿو.
مٿين اسڪرين شاٽ مان، توهان ڏسي سگهو ٿا ته هڪ اندروني جلدي Cruella بابت گهڻو ڪجهه سکي سگهي ٿو. ڇا توهان اهو پڻ محسوس ڪيو آهي ته "معلومات" فيلڊ صارف جي ذاتي عادتن ۽ پاسورڊ بابت معلومات ظاهر ڪري ٿي؟
اهو هڪ نظرياتي امڪان نه آهي. کان مون سکيو آهي ته اهي AD اسڪين ڪن ٿا سادي متن جا پاسورڊ ڳولڻ لاءِ، ۽ اڪثر اهي ڪوششون بدقسمتيءَ سان ڪامياب ٿيون آهن. انهن کي خبر آهي ته ڪمپنيون AD ۾ معلومات سان لاپرواهه آهن، ۽ اهي ايندڙ موضوع کان بي خبر هوندا آهن: AD اجازتون.
فعال ڊاريڪٽري کي پنهنجون ACLs آهن
AD صارفين ۽ ڪمپيوٽرن جو انٽرفيس توهان کي AD شين تي اجازتون مقرر ڪرڻ جي اجازت ڏئي ٿو. AD وٽ ACLs آھن ۽ منتظمين انھن جي ذريعي رسائي ڏئي سگھن ٿا يا رد ڪري سگھن ٿا. توھان کي ADUC View مينيو ۾ "advanced" تي ڪلڪ ڪرڻ جي ضرورت آھي ۽ پوءِ جڏھن توھان صارف کوليو توھان کي "سيڪيورٽي" ٽئب نظر ايندو جتي توھان ACL سيٽ ڪيو.
منهنجي Cruella منظر ۾، مون نه چاهيو ته سڀئي مستند استعمال ڪندڙ هن جي ذاتي معلومات ڏسي سگھن، تنهنڪري مون انهن کي پڙهڻ جي رسائي کان انڪار ڪيو:
۽ ھاڻي ھڪڙو عام صارف اھو ڏسندو جيڪڏھن اھي ڪوشش ڪندا Get-NetUser PowerView ۾:
مون واضح طور تي مفيد معلومات کي لڪائڻ ۾ مدد ڪئي، اکين جي اکين کان. ان کي لاڳاپيل صارفين تائين پهچ ۾ رکڻ لاءِ، مون هڪ ٻيو ACL ٺاهيو ته جيئن VIP گروپ جي ميمبرن (ڪرولا ۽ سندس ٻين اعليٰ درجي جي ساٿين) کي هن حساس ڊيٽا تائين رسائي جي اجازت ڏني وڃي. ٻين لفظن ۾، مون هڪ رول ماڊل جي بنياد تي AD اجازتن تي عمل ڪيو، جنهن حساس ڊيٽا کي گهڻن ملازمن لاءِ ناقابل رسائي بنايو، بشمول اندروني.
بهرحال، توهان گروپ جي رڪنيت کي AD ۾ گروپ اعتراض تي ACL ترتيب ڏيندي صارفين لاءِ پوشيده ڪري سگهو ٿا. اهو رازداري ۽ سيڪيورٽي جي لحاظ کان مدد ڪندو.
هن جي مون ڏيکاريو ته توهان PowerViews Get-NetGroupMember استعمال ڪندي گروپ رڪنيت جي جانچ ڪندي سسٽم کي ڪيئن نيويگيٽ ڪري سگهو ٿا. منهنجي اسڪرپٽ ۾، مون هڪ مخصوص گروپ ۾ رڪنيت تائين پڙهڻ جي رسائي کي محدود ڪيو. توهان تبديلين کان اڳ ۽ بعد ۾ حڪم هلائڻ جو نتيجو ڏسي سگهو ٿا:
مان وي آءِ پي گروپ ۾ ڪرولا ۽ مونٽي برنس جي رڪنيت کي لڪائڻ جي قابل ٿي ويو، هيڪرز ۽ اندرين لاءِ انفراسٽرڪچر کي اسڪائوٽ ڪرڻ ڏکيو بڻائي ڇڏيو.
هي پوسٽ توهان کي حوصلا افزائي ڪرڻ جو ارادو ڪيو ويو ته فيلڊ تي ويجهي نظر وٺو
AD ۽ لاڳاپيل اجازتون. AD ھڪڙو وڏو وسيلو آھي، پر سوچيو ته توھان ڪيئن ڪندا
خاص طور تي ڳجهي معلومات ۽ ذاتي ڊيٽا کي حصيداري ڪرڻ چاهيندا هئا
جڏهن اهو اچي ٿو توهان جي تنظيم جي اعلي عملدارن جي.
جو ذريعو: www.habr.com