Kuring geus dipigawé nguji penetrasi maké sareng dianggo pikeun nyandak inpormasi pangguna tina Active Directory (saterusna disebut AD). Dina waktos éta, tekenan kuring nyaéta pikeun ngumpulkeun inpormasi kaanggotaan grup kaamanan teras nganggo inpormasi éta pikeun nganapigasi jaringan. Barina ogé, AD ngandung data karyawan sénsitip, sababaraha nu bener teu kudu diaksés ku dulur di organisasi. Nyatana, dina sistem file Windows aya anu sami , anu ogé tiasa dianggo ku panyerang internal sareng éksternal.
Tapi sateuacan urang ngobrol ngeunaan masalah privasi sareng cara ngalereskeunana, hayu urang tingali data anu disimpen dina AD.
Active Directory nyaéta Facebook perusahaan
Tapi dina hal ieu, anjeun parantos damel babaturan sareng sadayana! Anjeun panginten henteu terang ngeunaan pilem, buku, atanapi réstoran karesep batur-batur anjeun, tapi AD ngandung inpormasi kontak anu sénsitip.
data jeung widang séjénna nu bisa dipaké ku hacker komo insiders tanpa kaahlian teknis husus.
Administrator sistem tangtu wawuh jeung screenshot di handap. Ieu mangrupikeun antarmuka Pangguna sareng Komputer Diréktori Aktif (ADUC) dimana aranjeunna nyetél sareng ngédit inpormasi pangguna sareng napelkeun pangguna ka grup anu cocog.
AD ngandung widang pikeun ngaran pagawe, alamat, jeung nomer telepon, jadi eta sarupa jeung diréktori telepon. Tapi aya seueur deui! Tab sanésna ogé kalebet alamat email sareng wéb, manajer garis, sareng catetan.
Naha sadayana dina organisasi kedah ningali inpormasi ieu, khususna dina jaman , nalika unggal jéntré anyar ngajadikeun neangan informasi leuwih malah gampang?
Nya kantenan henteu! Masalahna diperparah nalika data ti manajemén luhur perusahaan sayogi pikeun sadaya karyawan.
PowerView pikeun sadayana
Ieu dimana PowerView asalna kana antrian. Nyadiakeun antarbeungeut PowerShell anu ramah-pamaké ka dasar (sareng ngabingungkeun) fungsi Win32 anu ngaksés AD. Pondokna:
hal ieu ngajadikeun retrieving widang AD sagampang ngetik hiji cmdlet pisan pondok.
Hayu urang nyandak conto ngumpulkeun informasi ngeunaan hiji pagawe di Cruella Deville, nu salah sahiji pamingpin pausahaan. Jang ngalampahkeun ieu, paké PowerView get-NetUser cmdlet:
Masang PowerView sanes masalah serius - tingali sorangan dina kaca . Sareng anu langkung penting, anjeun henteu peryogi hak istimewa anu luhur pikeun ngajalankeun seueur paréntah PowerView, sapertos get-NetUser. Ku cara ieu, hiji pagawe ngamotivasi tapi teu pisan tech-savvy bisa ngamimitian tinkering kalawan AD tanpa loba usaha.
Tina screenshot di luhur, anjeun tiasa ningali yén insider tiasa gancang diajar seueur ngeunaan Cruella. Naha anjeun ogé perhatikeun yén médan "info" ngungkabkeun inpormasi ngeunaan kabiasaan sareng kecap konci pribadi pangguna?
Ieu sanés kamungkinan téoritis. Ti Kuring diajar yén maranéhna nyeken AD pikeun manggihan kecap akses plaintext, sarta mindeng usaha ieu hanjakalna suksés. Aranjeunna terang yén perusahaan teu malire inpormasi dina AD, sareng aranjeunna condong henteu sadar kana topik salajengna: idin AD.
Active Directory boga ACLs sorangan
Antarbeungeut AD Pamaké sareng Komputer ngamungkinkeun anjeun nyetél idin kana objék AD. AD gaduh ACL sareng pangurus tiasa masihan atanapi nolak aksés ngalangkunganana. Anjeun kudu klik "Advanced" dina menu ADUC View lajeng mun anjeun muka pamaké anjeun bakal nempo tab "Kaamanan" dimana anjeun nyetel ACL.
Dina skenario Cruella kuring, kuring henteu hoyong sadaya Pamaké anu Dioténtikasi tiasa ningali inpormasi pribadina, janten kuring nolak aranjeunna aksés maca:
Sareng ayeuna pangguna normal bakal ningali ieu upami aranjeunna nyobian Get-NetUser di PowerView:
Kuring junun nyumputkeun informasi écés mangpaat ti prying panon. Pikeun tetep diaksés ka pamaké relevan, Kuring dijieun ACL sejen pikeun ngidinan anggota grup VIP (Cruella sareng kolega-ranking luhur séjén) ngakses data sénsitip ieu. Kalayan kecap sanésna, kuring ngalaksanakeun idin AD dumasar kana panutan, anu ngajantenkeun data sénsitip teu tiasa diaksés ku kalolobaan karyawan, kalebet Insiders.
Nanging, anjeun tiasa ngajantenkeun kaanggotaan grup teu katingali ku pangguna ku netepkeun ACL dina obyék grup dina AD sasuai. Ieu bakal ngabantosan dina hal privasi sareng kaamanan.
Dina anjeunna Kuring nunjukkeun kumaha anjeun tiasa napigasi sistem ku mariksa kaanggotaan grup nganggo PowerViews Get-NetGroupMember. Dina naskah kuring, kuring ngabatesan aksés maca pikeun kaanggotaan dina grup khusus. Anjeun tiasa ningali hasil ngajalankeun paréntah sateuacan sareng saatos parobihan:
Kuring bisa nyumputkeun kaanggotaan Cruella na Monty Burns 'dina grup VIP, sahingga hésé pikeun hacker jeung insiders pikeun pramuka infrastruktur.
Tulisan ieu dimaksudkeun pikeun memotivasi anjeun pikeun ningali sawah
AD sareng idin anu aya hubunganana. AD mangrupakeun sumberdaya hébat, tapi pikir ngeunaan kumaha anjeun ngalakukeunana
hoyong bagikeun inpormasi rahasia sareng data pribadi, khususna
lamun datang ka pajabat luhur organisasi Anjeun.
sumber: www.habr.com