Test penetracije sem opravil z uporabo in ga uporabil za pridobivanje podatkov o uporabniku iz imenika Active Directory (v nadaljevanju AD). Takrat sem bil poudarek na zbiranju informacij o članstvu v varnostni skupini in nato uporabi teh informacij za krmarjenje po omrežju. Kakor koli že, AD vsebuje občutljive podatke o zaposlenih, od katerih nekateri res ne bi smeli biti dostopni vsem v organizaciji. Pravzaprav v datotečnih sistemih Windows obstaja ekvivalent , ki ga lahko uporabljajo tako notranji kot zunanji napadalci.
Toda preden se pogovorimo o težavah z zasebnostjo in kako jih odpraviti, si poglejmo podatke, shranjene v AD.
Active Directory je korporativni Facebook
Toda v tem primeru ste se spoprijateljili že z vsemi! Morda ne veste za najljubše filme, knjige ali restavracije svojih sodelavcev, vendar AD vsebuje občutljive kontaktne podatke.
podatkov in drugih polj, ki jih lahko uporabljajo hekerji in celo insajderji brez posebnega tehničnega znanja.
Sistemski skrbniki seveda poznajo spodnji posnetek zaslona. To je vmesnik Active Directory Users and Computers (ADUC), kjer nastavljajo in urejajo informacije o uporabnikih ter dodeljujejo uporabnike ustreznim skupinam.
AD vsebuje polja za ime, naslov in telefonsko številko zaposlenega, zato je podoben telefonskemu imeniku. Vendar je še veliko več! Drugi zavihki vključujejo tudi e-poštni in spletni naslov, linijskega vodjo in opombe.
Ali morajo vsi v organizaciji videti te informacije, še posebej v obdobju , ko vsaka nova podrobnost še olajša iskanje več informacij?
Seveda ne! Težava je še večja, ko so podatki najvišjega vodstva podjetja na voljo vsem zaposlenim.
PowerView za vsakogar
Tukaj nastopi PowerView. Zagotavlja zelo uporabniku prijazen vmesnik PowerShell za osnovne (in zmede) funkcije Win32, ki dostopajo do AD. V kratkem:
zaradi tega je pridobivanje polj AD tako preprosto kot vnos zelo kratkega cmdleta.
Vzemimo primer zbiranja informacij o uslužbencu Cruelle Deville, ki je eden od vodij podjetja. Če želite to narediti, uporabite cmdlet PowerView get-NetUser:
Namestitev PowerViewa ni resna težava - prepričajte se sami na strani . In kar je še pomembneje, ne potrebujete povišanih pravic za zagon številnih ukazov PowerView, kot je get-NetUser. Tako se lahko motiviran, a tehnično ne preveč podkovan zaposleni začne ukvarjati z AD brez posebnega truda.
Iz zgornjega posnetka zaslona lahko vidite, da lahko notranji uporabnik hitro izve veliko o Cruelli. Ste tudi opazili, da polje »info« razkriva podatke o uporabnikovih osebnih navadah in geslu?
To ni teoretična možnost. Od Izvedel sem, da skenirajo AD, da bi našli gesla v navadnem besedilu, in pogosto so ti poskusi žal uspešni. Vedo, da so podjetja malomarna z informacijami v AD, in se navadno ne zavedajo naslednje teme: dovoljenj AD.
Active Directory ima lastne ACL-je
Vmesnik AD Users and Computers vam omogoča nastavitev dovoljenj za objekte AD. AD ima ACL in skrbniki lahko odobrijo ali zavrnejo dostop prek njih. V meniju Pogled ADUC morate klikniti »Napredno« in nato, ko odprete uporabnika, boste videli zavihek »Varnost«, kjer nastavite ACL.
V mojem scenariju Cruella nisem želel, da bi lahko vsi overjeni uporabniki videli njene osebne podatke, zato sem jim zavrnil dostop za branje:
In zdaj bo običajen uporabnik videl to, če poskusi Get-NetUser v PowerViewu:
Uspelo mi je skriti očitno koristne informacije pred radovednimi očmi. Da bi bil dostopen ustreznim uporabnikom, sem ustvaril še en ACL, da bi članom skupine VIP (Cruella in njenim drugim visokim sodelavcem) omogočil dostop do teh občutljivih podatkov. Z drugimi besedami, implementiral sem dovoljenja AD na podlagi vzornika, zaradi česar so bili občutljivi podatki nedostopni večini zaposlenih, vključno z notranjimi osebami.
Vendar pa lahko članstvo v skupini naredite nevidno za uporabnike, tako da ustrezno nastavite ACL za objekt skupine v AD. To bo pomagalo pri zasebnosti in varnosti.
v svojem Pokazal sem, kako lahko krmarite po sistemu s preučevanjem članstva v skupini s programom PowerViews Get-NetGroupMember. V svojem scenariju sem omejil dostop za branje na članstvo v določeni skupini. Vidite lahko rezultat izvajanja ukaza pred in po spremembah:
Uspelo mi je skriti članstvo Cruelle in Montyja Burnsa v skupini VIP, kar je hekerjem in poznavalcem otežilo pregledovanje infrastrukture.
Ta objava je bila namenjena temu, da vas motivira, da si polja ogledate pobližje
AD in sorodna dovoljenja. AD je odličen vir, vendar pomislite, kako bi
želel deliti zaupne informacije ter osebne podatke, predvsem
ko gre za najvišje uradnike vaše organizacije.
Vir: www.habr.com