ප්‍රාදේශීය ගිණුම්වල වරප්‍රසාද ඉහළ නැංවීමට PowerShell භාවිතා කිරීම

වරප්‍රසාද උත්සන්න කිරීම යනු ගිණුමක වත්මන් අයිතීන් ප්‍රහාරකයෙකු විසින් අතිරේක, සාමාන්‍යයෙන් පද්ධතියට ඉහළ මට්ටමේ ප්‍රවේශයක් ලබා ගැනීම සඳහා භාවිතා කිරීමයි. වරප්‍රසාද උත්සන්න වීම ශුන්‍ය-දින දුර්වලතා ගසාකෑමේ ප්‍රතිඵලයක් විය හැකි අතර, ඉලක්කගත ප්‍රහාරයක් දියත් කරන පළමු පන්තියේ හැකර්වරුන්ගේ ක්‍රියාකාරකම් හෝ හොඳින් වෙස්වළාගත් අනිෂ්ට මෘදුකාංග, එය බොහෝ විට සිදුවන්නේ පරිගණකයේ හෝ ගිණුමේ වැරදි වින්‍යාසය හේතුවෙනි. ප්‍රහාරය තවදුරටත් වර්ධනය කරමින්, ප්‍රහාරකයන් තනි පුද්ගල දුර්වලතා ගණනාවක් භාවිතා කරන අතර, ඒවා එක්ව ව්‍යසනකාරී දත්ත කාන්දුවකට තුඩු දිය හැකිය.

පරිශීලකයින්ට ප්‍රාදේශීය පරිපාලක අයිතිවාසිකම් නොතිබිය යුත්තේ ඇයි?

ඔබ ආරක්‍ෂක වෘත්තිකයෙක් නම්, පරිශීලකයින්ට ප්‍රාදේශීය පරිපාලක අයිතිවාසිකම් නොතිබිය යුතු බව පැහැදිලිව පෙනෙන්නට ඇත, පහත පරිදි:

• විවිධ ප්‍රහාරවලට ඔවුන්ගේ ගිණුම් වඩාත් අවදානමට ලක් කරයි
• එම ප්‍රහාර වඩාත් දරුණු කරයි

අවාසනාවකට මෙන්, බොහෝ සංවිධාන සඳහා මෙය තවමත් ඉතා මතභේදාත්මක කාරණයක් වන අතර සමහර විට උණුසුම් සාකච්ඡා සමඟ ඇත (බලන්න, උදාහරණයක් ලෙස, මගේ අධීක්ෂක පවසන්නේ සියලුම පරිශීලකයින් ප්‍රාදේශීය පරිපාලකයින් විය යුතු බවයි) මෙම සාකච්ඡාවේ විස්තර වෙත නොගොස්, ප්‍රහාරකයා විසින් විමර්ශනයට ලක්ව ඇති පද්ධතිය මත ප්‍රාදේශීය පරිපාලක අයිතිවාසිකම් ලබාගෙන ඇත්තේ ගසාකෑමක් හරහා හෝ යන්ත්‍ර නිසි ලෙස ආරක්‍ෂා නොකිරීම නිසා බව අපි විශ්වාස කරමු.

පියවර 1 PowerShell සමඟින් DNS විභේදනය ආපසු හරවන්න

පෙරනිමියෙන්, PowerShell බොහෝ දේශීය වැඩපොළවල සහ බොහෝ වින්ඩෝස් සේවාදායකයන් මත ස්ථාපනය කර ඇත. එය ඇදහිය නොහැකි තරම් ප්‍රයෝජනවත් ස්වයංක්‍රීයකරණයක් සහ පාලන මෙවලමක් ලෙස සැලකීම අතිශයෝක්තියකින් තොරව නොවුණත්, එය නොපෙනෙන ආසන්න දෙයක් බවට පරිවර්තනය වීමට සමානව හැකියාව ඇත. ගොනු රහිත අනිෂ්ට මෘදුකාංග (ප්‍රහාරයේ අංශු මාත්‍ර ඉතිරි නොකරන අනවසරයෙන් ඇතුළුවීමේ වැඩසටහනක්).

අපගේ නඩුවේදී, ප්‍රහාරකයා PowerShell ස්ක්‍රිප්ට් භාවිතයෙන් ජාල ඔත්තු බැලීම සිදු කිරීමට පටන් ගනී, ජාල IP ලිපින අවකාශය හරහා අනුක්‍රමිකව පුනරාවර්තනය කරයි, ලබා දී ඇති IP ධාරකයකට විසඳන්නේද යන්න තීරණය කිරීමට උත්සාහ කරයි, සහ එසේ නම්, මෙම සත්කාරකයේ ජාල නාමය කුමක්ද.
මෙම කාර්යය ඉටු කිරීමට බොහෝ ක්රම තිබේ, නමුත් cmdlet භාවිතා කිරීම ලබා ගන්න-ADComputer යනු ශක්තිමත් විකල්පයකි, මන්ද එය එක් එක් නෝඩය ගැන සැබවින්ම පොහොසත් දත්ත කට්ටලයක් ලබා දෙයි:

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

විශාල ජාල වල වේගය ගැටළුවක් නම්, DNS ආපසු ඇමතුමක් භාවිතා කළ හැක:

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

ජාලයක ධාරක ලැයිස්තුගත කිරීමේ මෙම ක්‍රමය ඉතා ජනප්‍රිය වේ, බොහෝ ජාල ශුන්‍ය-විශ්වාස ආරක්ෂණ ආකෘතියක් භාවිතා නොකරන අතර ක්‍රියාකාරකම්වල සැක සහිත පිපිරීම් සඳහා අභ්‍යන්තර DNS විමසුම් නිරීක්ෂණය නොකරයි.

පියවර 2: ඉලක්කයක් තෝරන්න

මෙම පියවරේ අවසාන ප්‍රතිඵලය වන්නේ ප්‍රහාරය දිගටම කරගෙන යාමට භාවිතා කළ හැකි සේවාදායක සහ සේවා ස්ථාන සත්කාරක නාම ලැයිස්තුවක් ලබා ගැනීමයි.

නමේ සිට, 'HUB-Filer' සේවාදායකය වටිනා ඉලක්කයක් සේ පෙනේ කාලයාගේ ඇවෑමෙන්, ගොනු සේවාදායකයන්, රීතියක් ලෙස, ජාල ෆෝල්ඩර විශාල ප්‍රමාණයක් රැස් කර ගන්නා අතර බොහෝ පුද්ගලයින් විසින් ඒවාට අධික ලෙස ප්‍රවේශ වේ.

වින්ඩෝස් එක්ස්ප්ලෝරර් සමඟින් බ්‍රවුස් කිරීම විවෘත හවුල් ෆෝල්ඩරයක් තිබීම හඳුනා ගැනීමට අපට ඉඩ සලසයි, නමුත් අපගේ ජංගම ගිණුමට එයට ප්‍රවේශ විය නොහැක (සමහර විට අපට ඇත්තේ ලැයිස්තුගත කිරීමේ අයිතිය පමණි).

පියවර 3: ACL ඉගෙන ගන්න

දැන්, අපගේ HUB-FILER සත්කාරක සහ ඉලක්ක බෙදාගැනීමේ, අපට ACL ලබා ගැනීමට PowerShell ස්ක්‍රිප්ට් එකක් ධාවනය කළ හැක. අපට දැනටමත් ප්‍රාදේශීය පරිපාලක අයිතිවාසිකම් ඇති බැවින් අපට මෙය දේශීය යන්ත්‍රයෙන් කළ හැකිය:

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

ක්රියාත්මක කිරීමේ ප්රතිඵල:

එයින් අපට පෙනෙන්නේ වසම් පරිශීලකයින් කණ්ඩායමට ප්‍රවේශය ඇත්තේ ලැයිස්තුගත කිරීමට පමණක් වන නමුත් හෙල්ප්ඩෙස්ක් කණ්ඩායමට වෙනස් කිරීමේ අයිතියද ඇත.

පියවර 4: ගිණුම් හඳුනාගැනීම

දුවනවා ලබා ගන්න-ADGroupMember, අපට මෙම සමූහයේ සියලුම සාමාජිකයින් ලබා ගත හැක:

Get-ADGroupMember -identity Helpdesk

මෙම ලැයිස්තුවේ අපි දැනටමත් හඳුනාගෙන ඇති සහ දැනටමත් ප්‍රවේශ වී ඇති පරිගණක ගිණුමක් අපට පෙනේ:

පියවර 5: පරිගණක ගිණුමක් ලෙස ධාවනය කිරීමට PSExec භාවිතා කරන්න

psexec Microsoft Sysinternals වෙතින් ඔබට SYSTEM@HUB-SHAREPOINT පද්ධති ගිණුමේ සන්දර්භය තුළ විධාන ක්‍රියාත්මක කිරීමට ඉඩ සලසයි, එය හෙල්ප්ඩෙස්ක් ඉලක්ක කණ්ඩායමේ සාමාජිකයෙකු බව අපි දනිමු. එනම්, අප කළ යුත්තේ:

PsExec.exe -s -i cmd.exe

හොඳයි, එවිට ඔබ HUB-SHAREPOINT පරිගණක ගිණුමේ සන්දර්භය තුළ වැඩ කරන බැවින්, ඉලක්ක ෆෝල්ඩරය HUB-FILERshareHR වෙත ඔබට පූර්ණ ප්‍රවේශය ඇත. මෙම ප්‍රවේශය සමඟින්, දත්ත අතේ ගෙන යා හැකි ගබඩා උපාංගයකට පිටපත් කිරීමට හෝ වෙනත් ආකාරයකින් ලබාගෙන ජාලය හරහා සම්ප්‍රේෂණය කළ හැක.

පියවර 6: මෙම ප්‍රහාරය හඳුනා ගැනීම

මෙම විශේෂිත ගිණුම් වරප්‍රසාද සුසර කිරීමේ අවදානම (පරිශීලක ගිණුම් හෝ සේවා ගිණුම් වෙනුවට ජාල කොටස් වෙත ප්‍රවේශ වන පරිගණක ගිණුම්) සොයා ගත හැක. කෙසේ වෙතත්, නිවැරදි මෙවලම් නොමැතිව, මෙය කිරීම ඉතා අපහසු වේ.

මෙම ප්‍රහාරයන් හඳුනා ගැනීමට සහ වැළැක්වීමට, අපට භාවිතා කළ හැක දත්ත වාසි ඔවුන් තුළ පරිගණක ගිණුම් ඇති කණ්ඩායම් හඳුනා ගැනීමට, පසුව ඒවාට ප්රවේශ වීම ප්රතික්ෂේප කිරීම. DataAlert තව දුරටත් ගොස් මෙවැනි අවස්ථා සඳහා විශේෂයෙන් දැනුම්දීමක් නිර්මාණය කිරීමට ඔබට ඉඩ සලසයි.

පහත තිර රුවක් මඟින් පරිගණක ගිණුමක් නිරීක්‍ෂණය කරන ලද සේවාදායකයක දත්ත වෙත ප්‍රවේශ වන සෑම අවස්ථාවකම වෙඩි තබන අභිරුචි දැනුම්දීමක් පෙන්වයි.

PowerShell සමඟ ඊළඟ පියවර

වැඩි විස්තර දැන ගැනීමට අවශ්‍යද? සම්පුර්ණයෙන්ම නොමිලේ ප්‍රවේශය සඳහා "බ්ලොග්" අගුළු ඇරීමේ කේතය භාවිතා කරන්න PowerShell සහ Active Directory මූලික වීඩියෝ පාඨමාලාව.

මූලාශ්රය: www.habr.com