Kuring geus dipigawé nguji penetrasi maké
Tapi sateuacan urang ngobrol ngeunaan masalah privasi sareng cara ngalereskeunana, hayu urang tingali data anu disimpen dina AD.
Active Directory nyaéta Facebook perusahaan
Tapi dina hal ieu, anjeun parantos damel babaturan sareng sadayana! Anjeun panginten henteu terang ngeunaan pilem, buku, atanapi réstoran karesep batur-batur anjeun, tapi AD ngandung inpormasi kontak anu sénsitip.
data jeung widang séjénna nu bisa dipaké ku hacker komo insiders tanpa kaahlian teknis husus.
Administrator sistem tangtu wawuh jeung screenshot di handap. Ieu mangrupikeun antarmuka Pangguna sareng Komputer Diréktori Aktif (ADUC) dimana aranjeunna nyetél sareng ngédit inpormasi pangguna sareng napelkeun pangguna ka grup anu cocog.
AD ngandung widang pikeun ngaran pagawe, alamat, jeung nomer telepon, jadi eta sarupa jeung diréktori telepon. Tapi aya seueur deui! Tab sanésna ogé kalebet alamat email sareng wéb, manajer garis, sareng catetan.
Naha sadayana dina organisasi kedah ningali inpormasi ieu, khususna dina jaman
Nya kantenan henteu! Masalahna diperparah nalika data ti manajemén luhur perusahaan sayogi pikeun sadaya karyawan.
PowerView pikeun sadayana
Ieu dimana PowerView asalna kana antrian. Nyadiakeun antarbeungeut PowerShell anu ramah-pamaké ka dasar (sareng ngabingungkeun) fungsi Win32 anu ngaksés AD. Pondokna:
hal ieu ngajadikeun retrieving widang AD sagampang ngetik hiji cmdlet pisan pondok.
Hayu urang nyandak conto ngumpulkeun informasi ngeunaan hiji pagawe di Cruella Deville, nu salah sahiji pamingpin pausahaan. Jang ngalampahkeun ieu, paké PowerView get-NetUser cmdlet:
Masang PowerView sanes masalah serius - tingali sorangan dina kaca
Tina screenshot di luhur, anjeun tiasa ningali yén insider tiasa gancang diajar seueur ngeunaan Cruella. Naha anjeun ogé perhatikeun yén médan "info" ngungkabkeun inpormasi ngeunaan kabiasaan sareng kecap konci pribadi pangguna?
Ieu sanés kamungkinan téoritis. Ti
Active Directory boga ACLs sorangan
Antarbeungeut AD Pamaké sareng Komputer ngamungkinkeun anjeun nyetél idin kana objék AD. AD gaduh ACL sareng pangurus tiasa masihan atanapi nolak aksés ngalangkunganana. Anjeun kudu klik "Advanced" dina menu ADUC View lajeng mun anjeun muka pamaké anjeun bakal nempo tab "Kaamanan" dimana anjeun nyetel ACL.
Dina skenario Cruella kuring, kuring henteu hoyong sadaya Pamaké anu Dioténtikasi tiasa ningali inpormasi pribadina, janten kuring nolak aranjeunna aksés maca:
Sareng ayeuna pangguna normal bakal ningali ieu upami aranjeunna nyobian Get-NetUser di PowerView:
Kuring junun nyumputkeun informasi écés mangpaat ti prying panon. Pikeun tetep diaksés ka pamaké relevan, Kuring dijieun ACL sejen pikeun ngidinan anggota grup VIP (Cruella sareng kolega-ranking luhur séjén) ngakses data sénsitip ieu. Kalayan kecap sanésna, kuring ngalaksanakeun idin AD dumasar kana panutan, anu ngajantenkeun data sénsitip teu tiasa diaksés ku kalolobaan karyawan, kalebet Insiders.
Nanging, anjeun tiasa ngajantenkeun kaanggotaan grup teu katingali ku pangguna ku netepkeun ACL dina obyék grup dina AD sasuai. Ieu bakal ngabantosan dina hal privasi sareng kaamanan.
Dina anjeunna
Kuring bisa nyumputkeun kaanggotaan Cruella na Monty Burns 'dina grup VIP, sahingga hésé pikeun hacker jeung insiders pikeun pramuka infrastruktur.
Tulisan ieu dimaksudkeun pikeun memotivasi anjeun pikeun ningali sawah
AD sareng idin anu aya hubunganana. AD mangrupakeun sumberdaya hébat, tapi pikir ngeunaan kumaha anjeun ngalakukeunana
hoyong bagikeun inpormasi rahasia sareng data pribadi, khususna
lamun datang ka pajabat luhur organisasi Anjeun.
sumber: www.habr.com