Unë kam bërë testimin e penetrimit duke përdorur dhe e përdori atë për të tërhequr informacionin e përdoruesit nga Active Directory (më tej referuar si AD). Në atë kohë, theksi im ishte në mbledhjen e informacionit të anëtarësimit në grupin e sigurisë dhe më pas përdorimin e atij informacioni për të lundruar në rrjet. Sido që të jetë, AD përmban të dhëna të ndjeshme të punonjësve, disa prej të cilave me të vërtetë nuk duhet të jenë të arritshme për të gjithë në organizatë. Në fakt, në sistemet e skedarëve Windows ekziston një ekuivalent , i cili gjithashtu mund të përdoret nga sulmuesit e brendshëm dhe të jashtëm.
Por, përpara se të flasim për çështjet e privatësisë dhe si t'i rregullojmë ato, le t'i hedhim një sy të dhënave të ruajtura në AD.
Active Directory është Facebook i korporatës
Por në këtë rast, ju tashmë keni bërë miq me të gjithë! Ju mund të mos dini për filmat, librat ose restorantet e preferuara të kolegëve tuaj, por AD përmban informacione të ndjeshme kontakti.
të dhëna dhe fusha të tjera që mund të përdoren nga hakerë dhe madje edhe persona të brendshëm pa aftësi të veçanta teknike.
Administratorët e sistemit janë sigurisht të njohur me pamjen e mëposhtme të ekranit. Kjo është ndërfaqja e përdoruesve dhe kompjuterëve të drejtorisë aktive (ADUC) ku ata vendosin dhe modifikojnë informacionin e përdoruesit dhe caktojnë përdoruesit në grupe të përshtatshme.
AD përmban fusha për emrin e punonjësit, adresën dhe numrin e telefonit, kështu që është e ngjashme me një drejtori telefonike. Por ka shumë më tepër! Skedat e tjera përfshijnë gjithashtu adresën e postës elektronike dhe ueb, menaxherin e linjës dhe shënimet.
A duhet të gjithë në organizatë ta shohin këtë informacion, veçanërisht në një epokë , kur çdo detaj i ri e bën edhe më të lehtë kërkimin për më shumë informacion?
Sigurisht që jo! Problemi shtohet kur të dhënat nga drejtuesit e lartë të një kompanie janë të disponueshme për të gjithë punonjësit.
PowerView për të gjithë
Këtu hyn në lojë PowerView. Ai siguron një ndërfaqe PowerShell shumë miqësore për përdoruesit për funksionet themelore (dhe konfuze) Win32 që aksesojnë AD. Shkurtimisht:
kjo e bën marrjen e fushave AD po aq të lehtë sa të shtypni një cmdlet shumë të shkurtër.
Le të marrim një shembull të mbledhjes së informacionit për një punonjës të Cruella Deville, i cili është një nga drejtuesit e kompanisë. Për ta bërë këtë, përdorni cmdlet PowerView get-NetUser:
Instalimi i PowerView nuk është një problem serioz - shikoni vetë në faqe . Dhe më e rëndësishmja, nuk keni nevojë për privilegje të ngritura për të ekzekutuar shumë komanda të PowerView, të tilla si get-NetUser. Në këtë mënyrë, një punonjës i motivuar, por jo shumë i aftë për teknologjinë, mund të fillojë të ndërhyjë me AD pa shumë përpjekje.
Nga pamja e mësipërme e ekranit, mund të shihni se një person i brendshëm mund të mësojë shpejt shumë për Cruella. A keni vënë re gjithashtu se fusha "info" zbulon informacione në lidhje me zakonet personale dhe fjalëkalimin e përdoruesit?
Kjo nuk është një mundësi teorike. Nga Mësova se ata skanojnë AD për të gjetur fjalëkalime të tekstit të thjeshtë dhe shpesh këto përpjekje për fat të keq janë të suksesshme. Ata e dinë që kompanitë janë të pakujdesshme me informacionin në AD dhe priren të mos jenë të vetëdijshëm për temën tjetër: lejet e AD.
Active Directory ka ACL-të e veta
Ndërfaqja e përdoruesve dhe kompjuterëve të AD ju lejon të vendosni lejet për objektet e AD. AD ka ACL dhe administratorët mund të japin ose refuzojnë aksesin nëpërmjet tyre. Duhet të klikoni "Advanced" në menunë ADUC View dhe më pas kur të hapni përdoruesin do të shihni skedën "Security" ku keni vendosur ACL.
Në skenarin tim Cruella, nuk doja që të gjithë Përdoruesit e Autentifikuar të mund të shihnin informacionin e saj personal, kështu që ua mohova aksesin për lexim:
Dhe tani një përdorues normal do ta shohë këtë nëse provon Get-NetUser në PowerView:
Arrita të fsheh informacione dukshëm të dobishme nga sytë kureshtarë. Për ta mbajtur atë të aksesueshëm për përdoruesit përkatës, krijova një tjetër ACL për të lejuar anëtarët e grupit VIP (Cruella dhe kolegët e tjerë të saj të rangut të lartë) të aksesojnë këto të dhëna të ndjeshme. Me fjalë të tjera, unë zbatova lejet e AD bazuar në një model roli, i cili i bëri të dhënat e ndjeshme të paarritshme për shumicën e punonjësve, përfshirë Insajderët.
Megjithatë, ju mund ta bëni anëtarësimin në grup të padukshëm për përdoruesit duke vendosur ACL në objektin e grupit në AD në përputhje me rrethanat. Kjo do të ndihmojë në aspektin e privatësisë dhe sigurisë.
Në të tijën Unë tregova se si mund të lundroni në sistem duke ekzaminuar anëtarësimin në grup duke përdorur PowerViews Get-NetGroupMember. Në skenarin tim, kufizova aksesin e leximit për anëtarësimin në një grup të caktuar. Ju mund të shihni rezultatin e ekzekutimit të komandës para dhe pas ndryshimeve:
Unë isha në gjendje të fsheha anëtarësimin e Cruella dhe Monty Burns në grupin VIP, duke e bërë të vështirë për hakerët dhe personat e brendshëm të zbulojnë infrastrukturën.
Ky postim kishte për qëllim t'ju motivonte për të parë më nga afër fushat
AD dhe lejet përkatëse. AD është një burim i madh, por mendoni se si do të bënit
donte të ndante informacione konfidenciale dhe të dhëna personale, veçanërisht
kur bëhet fjalë për zyrtarët më të lartë të organizatës suaj.
Burimi: www.habr.com