Robil som penetračné testy pomocou a použil som ho na extrahovanie informácií o používateľoch zo služby Active Directory (ďalej len AD). V tom čase som sa zameriaval na zhromažďovanie informácií o členstve v bezpečnostných skupinách a následné používanie týchto informácií na navigáciu v sieti. AD obsahuje citlivé údaje o zamestnancoch, z ktorých niektoré by v skutočnosti nemali byť prístupné každému v organizácii. V podstate súborové systémy Windows existuje ekvivalent , ktorý môžu využiť aj interní aj externí útočníci.
Ale skôr, ako sa budeme venovať problémom so súkromím a tomu, ako ich riešiť, pozrime sa na údaje uložené v službe Active Directory.
Active Directory je firemný Facebook.
Ale v tomto prípade ste sa už s každým spriatelili! Možno sa nedozviete o obľúbených filmoch, knihách a reštauráciách svojich kolegov, ale AD obsahuje citlivé kontaktné informácie.
údaje a ďalšie polia, ktoré môžu použiť hackeri a dokonca aj zasvätené osoby bez špeciálnych technických zručností.
Systémoví administrátori určite poznajú snímku obrazovky nižšie. Ide o rozhranie služby Active Directory Users and Computers (ADUC), kde nastavujú a upravujú informácie o používateľoch a priraďujú používateľov do príslušných skupín.
AD obsahuje polia pre meno, adresu a telefónne číslo zamestnanca, takže je podobný telefónnemu zoznamu. Ale je toho oveľa viac! Ďalšie karty obsahujú aj e-mailové a webové adresy, priamych nadriadených a poznámky.
Mali by tieto informácie vidieť všetci v organizácii, najmä v tejto dobe? , keď každý nový detail ešte viac uľahčuje vyhľadávanie ďalších informácií?
Samozrejme, že nie! Problém sa zhoršuje, keď sú údaje vrcholového manažmentu prístupné všetkým zamestnancom.
PowerView pre každého
Tu prichádza na rad PowerView. Poskytuje veľmi pohodlné rozhranie PowerShellu pre základné (a mätúce) funkcie Win32, ktoré pristupujú k AD. Stručne povedané:
Vďaka tomu je získanie polí AD rovnako jednoduché ako zadanie veľmi krátkeho cmdletu.
Vezmime si príklad zhromažďovania informácií o zamestnankyni menom Cruella Deville, ktorá je jednou z vedúcich pracovníkov spoločnosti. Na to použijeme cmdlet PowerView get-NetUser:
Inštalácia PowerView nie je veľký problém - presvedčte sa sami na stránke A čo je dôležitejšie, na spustenie mnohých príkazov PowerView, ako napríklad get-NetUser, nepotrebujete zvýšené oprávnenia. Takže motivovaný, ale menej technicky zdatný zamestnanec sa môže bez väčšej námahy začať ponárať do služby AD.
Snímka obrazovky vyššie ukazuje, že zasvätená osoba sa môže o Cruelle rýchlo veľa dozvedieť. Všimli ste si tiež, že pole „info“ odhaľuje informácie o osobných zvykoch a hesle používateľa?
Toto nie je teoretická pravdepodobnosť. Dozvedel som sa, že skenujú AD a hľadajú nezašifrované heslá a tieto pokusy sú, žiaľ, často úspešné. Vedia, že spoločnosti sú neopatrné s informáciami v AD a spravidla nevedia o ďalšej téme: povoleniach AD.
Active Directory má vlastné ACL
Rozhranie Používatelia a počítače služby AD umožňuje nastaviť povolenia pre objekty služby AD. Služba AD používa zoznamy ACL, ktoré môžu správcovia použiť na udelenie alebo zamietnutie prístupu. V ponuke Zobraziť ADUC kliknite na položku „Rozšírené“ a po otvorení používateľa sa zobrazí karta „Zabezpečenie“, kde môžete nastaviť zoznamy ACL.
V mojom scenári s Cruellou som nechcel, aby všetci overení používatelia videli jej osobné údaje, a tak som im odmietol prístup na čítanie:
A teraz bežný používateľ uvidí toto, ak skúsi Get-NetUser v PowerView:
Podarilo sa mi skryť očividne užitočné informácie pred zvedavými očami. Aby som zachoval prístup pre príslušných používateľov, vytvoril som ďalší ACL, ktorý umožňuje členom VIP skupiny (Cruella a jej ďalší vysokopostavení kolegovia) prístup k týmto citlivým údajom. Inými slovami, implementoval som povolenia AD založené na rolách, čím som zneprístupnil citlivé údaje väčšine zamestnancov vrátane zasvätených osôb.
Členstvo v skupine však môžete pre používateľov skryť nastavením príslušného zoznamu ACL pre objekt skupiny v službe Active Directory. Pomôže to so súkromím a zabezpečením.
vo svojom Predviedol som, ako sa orientovať v systéme a kontrolovať členstvo v skupinách pomocou príkazu Get-NetGroupMember v PowerViews. V mojom scenári som obmedzil prístup na čítanie na členstvo v konkrétnej skupine. Výstup príkazu pred a po zmenach si môžete pozrieť:
Podarilo sa mi skryť členstvo Cruelly a Montyho Burnsa vo VIP skupine, čo hackerom a zasväteným osobám sťažilo prieskum infraštruktúry.
Tento príspevok mal motivovať vás, aby ste sa bližšie pozreli na tieto polia.
AD a s ním spojené povolenia. AD je skvelý zdroj, ale zvážte, ako by ste
chcel zdieľať dôverné informácie a osobné údaje, najmä
pokiaľ ide o najvyšších predstaviteľov vašej organizácie.
Zdroj: hab.com
