Test penetracije sem opravil z uporabo
Toda preden se pogovorimo o težavah z zasebnostjo in kako jih odpraviti, si poglejmo podatke, shranjene v AD.
Active Directory je korporativni Facebook
Toda v tem primeru ste se spoprijateljili že z vsemi! Morda ne veste za najljubše filme, knjige ali restavracije svojih sodelavcev, vendar AD vsebuje občutljive kontaktne podatke.
podatkov in drugih polj, ki jih lahko uporabljajo hekerji in celo insajderji brez posebnega tehničnega znanja.
Sistemski skrbniki seveda poznajo spodnji posnetek zaslona. To je vmesnik Active Directory Users and Computers (ADUC), kjer nastavljajo in urejajo informacije o uporabnikih ter dodeljujejo uporabnike ustreznim skupinam.
AD vsebuje polja za ime, naslov in telefonsko številko zaposlenega, zato je podoben telefonskemu imeniku. Vendar je še veliko več! Drugi zavihki vključujejo tudi e-poštni in spletni naslov, linijskega vodjo in opombe.
Ali morajo vsi v organizaciji videti te informacije, še posebej v obdobju
Seveda ne! Težava je še večja, ko so podatki najvišjega vodstva podjetja na voljo vsem zaposlenim.
PowerView za vsakogar
Tukaj nastopi PowerView. Zagotavlja zelo uporabniku prijazen vmesnik PowerShell za osnovne (in zmede) funkcije Win32, ki dostopajo do AD. V kratkem:
zaradi tega je pridobivanje polj AD tako preprosto kot vnos zelo kratkega cmdleta.
Vzemimo primer zbiranja informacij o uslužbencu Cruelle Deville, ki je eden od vodij podjetja. Če želite to narediti, uporabite cmdlet PowerView get-NetUser:
Namestitev PowerViewa ni resna težava - prepričajte se sami na strani
Iz zgornjega posnetka zaslona lahko vidite, da lahko notranji uporabnik hitro izve veliko o Cruelli. Ste tudi opazili, da polje »info« razkriva podatke o uporabnikovih osebnih navadah in geslu?
To ni teoretična možnost. Od
Active Directory ima lastne ACL-je
Vmesnik AD Users and Computers vam omogoča nastavitev dovoljenj za objekte AD. AD ima ACL in skrbniki lahko odobrijo ali zavrnejo dostop prek njih. V meniju Pogled ADUC morate klikniti »Napredno« in nato, ko odprete uporabnika, boste videli zavihek »Varnost«, kjer nastavite ACL.
V mojem scenariju Cruella nisem želel, da bi lahko vsi overjeni uporabniki videli njene osebne podatke, zato sem jim zavrnil dostop za branje:
In zdaj bo običajen uporabnik videl to, če poskusi Get-NetUser v PowerViewu:
Uspelo mi je skriti očitno koristne informacije pred radovednimi očmi. Da bi bil dostopen ustreznim uporabnikom, sem ustvaril še en ACL, da bi članom skupine VIP (Cruella in njenim drugim visokim sodelavcem) omogočil dostop do teh občutljivih podatkov. Z drugimi besedami, implementiral sem dovoljenja AD na podlagi vzornika, zaradi česar so bili občutljivi podatki nedostopni večini zaposlenih, vključno z notranjimi osebami.
Vendar pa lahko članstvo v skupini naredite nevidno za uporabnike, tako da ustrezno nastavite ACL za objekt skupine v AD. To bo pomagalo pri zasebnosti in varnosti.
v svojem
Uspelo mi je skriti članstvo Cruelle in Montyja Burnsa v skupini VIP, kar je hekerjem in poznavalcem otežilo pregledovanje infrastrukture.
Ta objava je bila namenjena temu, da vas motivira, da si polja ogledate pobližje
AD in sorodna dovoljenja. AD je odličen vir, vendar pomislite, kako bi
želel deliti zaupne informacije ter osebne podatke, predvsem
ko gre za najvišje uradnike vaše organizacije.
Vir: www.habr.com