Unë kam bërë testimin e penetrimit duke përdorur
Por, përpara se të flasim për çështjet e privatësisë dhe si t'i rregullojmë ato, le t'i hedhim një sy të dhënave të ruajtura në AD.
Active Directory është Facebook i korporatës
Por në këtë rast, ju tashmë keni bërë miq me të gjithë! Ju mund të mos dini për filmat, librat ose restorantet e preferuara të kolegëve tuaj, por AD përmban informacione të ndjeshme kontakti.
të dhëna dhe fusha të tjera që mund të përdoren nga hakerë dhe madje edhe persona të brendshëm pa aftësi të veçanta teknike.
Administratorët e sistemit janë sigurisht të njohur me pamjen e mëposhtme të ekranit. Kjo është ndërfaqja e përdoruesve dhe kompjuterëve të drejtorisë aktive (ADUC) ku ata vendosin dhe modifikojnë informacionin e përdoruesit dhe caktojnë përdoruesit në grupe të përshtatshme.
AD përmban fusha për emrin e punonjësit, adresën dhe numrin e telefonit, kështu që është e ngjashme me një drejtori telefonike. Por ka shumë më tepër! Skedat e tjera përfshijnë gjithashtu adresën e postës elektronike dhe ueb, menaxherin e linjës dhe shënimet.
A duhet të gjithë në organizatë ta shohin këtë informacion, veçanërisht në një epokë
Sigurisht që jo! Problemi shtohet kur të dhënat nga drejtuesit e lartë të një kompanie janë të disponueshme për të gjithë punonjësit.
PowerView për të gjithë
Këtu hyn në lojë PowerView. Ai siguron një ndërfaqe PowerShell shumë miqësore për përdoruesit për funksionet themelore (dhe konfuze) Win32 që aksesojnë AD. Shkurtimisht:
kjo e bën marrjen e fushave AD po aq të lehtë sa të shtypni një cmdlet shumë të shkurtër.
Le të marrim një shembull të mbledhjes së informacionit për një punonjës të Cruella Deville, i cili është një nga drejtuesit e kompanisë. Për ta bërë këtë, përdorni cmdlet PowerView get-NetUser:
Instalimi i PowerView nuk është një problem serioz - shikoni vetë në faqe
Nga pamja e mësipërme e ekranit, mund të shihni se një person i brendshëm mund të mësojë shpejt shumë për Cruella. A keni vënë re gjithashtu se fusha "info" zbulon informacione në lidhje me zakonet personale dhe fjalëkalimin e përdoruesit?
Kjo nuk është një mundësi teorike. Nga
Active Directory ka ACL-të e veta
Ndërfaqja e përdoruesve dhe kompjuterëve të AD ju lejon të vendosni lejet për objektet e AD. AD ka ACL dhe administratorët mund të japin ose refuzojnë aksesin nëpërmjet tyre. Duhet të klikoni "Advanced" në menunë ADUC View dhe më pas kur të hapni përdoruesin do të shihni skedën "Security" ku keni vendosur ACL.
Në skenarin tim Cruella, nuk doja që të gjithë Përdoruesit e Autentifikuar të mund të shihnin informacionin e saj personal, kështu që ua mohova aksesin për lexim:
Dhe tani një përdorues normal do ta shohë këtë nëse provon Get-NetUser në PowerView:
Arrita të fsheh informacione dukshëm të dobishme nga sytë kureshtarë. Për ta mbajtur atë të aksesueshëm për përdoruesit përkatës, krijova një tjetër ACL për të lejuar anëtarët e grupit VIP (Cruella dhe kolegët e tjerë të saj të rangut të lartë) të aksesojnë këto të dhëna të ndjeshme. Me fjalë të tjera, unë zbatova lejet e AD bazuar në një model roli, i cili i bëri të dhënat e ndjeshme të paarritshme për shumicën e punonjësve, përfshirë Insajderët.
Megjithatë, ju mund ta bëni anëtarësimin në grup të padukshëm për përdoruesit duke vendosur ACL në objektin e grupit në AD në përputhje me rrethanat. Kjo do të ndihmojë në aspektin e privatësisë dhe sigurisë.
Në të tijën
Unë isha në gjendje të fsheha anëtarësimin e Cruella dhe Monty Burns në grupin VIP, duke e bërë të vështirë për hakerët dhe personat e brendshëm të zbulojnë infrastrukturën.
Ky postim kishte për qëllim t'ju motivonte për të parë më nga afër fushat
AD dhe lejet përkatëse. AD është një burim i madh, por mendoni se si do të bënit
donte të ndante informacione konfidenciale dhe të dhëna personale, veçanërisht
kur bëhet fjalë për zyrtarët më të lartë të organizatës suaj.
Burimi: www.habr.com