உள்ளூர் கணக்குகளின் சிறப்புரிமையை உயர்த்துவதற்கு PowerShell ஐப் பயன்படுத்துதல்

சிறப்புரிமை அதிகரிப்பு என்பது, ஒரு கணக்கின் தற்போதைய உரிமைகளைத் தாக்குபவர்களால் கூடுதலாகப் பெறுவதற்குப் பயன்படுத்துவதாகும், பொதுவாக கணினிக்கான அணுகல் அதிக அளவில் இருக்கும். சிறப்புரிமை அதிகரிப்பு என்பது பூஜ்ஜிய-நாள் பாதிப்புகளை பயன்படுத்திக் கொள்ளுதல் அல்லது இலக்கு தாக்குதலை நடத்தும் முதல்-தர ஹேக்கர்களின் வேலை அல்லது நன்கு மாறுவேடமிட்ட தீம்பொருளின் விளைவாக இருக்கலாம், இது பெரும்பாலும் கணினி அல்லது கணக்கின் தவறான உள்ளமைவின் காரணமாகும். தாக்குதலை மேலும் வளர்த்து, தாக்குபவர்கள் பல தனிப்பட்ட பாதிப்புகளைப் பயன்படுத்துகின்றனர், இது ஒன்றாக ஒரு பேரழிவு தரவு கசிவுக்கு வழிவகுக்கும்.

பயனர்களுக்கு உள்ளூர் நிர்வாகி உரிமைகள் ஏன் இருக்கக்கூடாது?

நீங்கள் ஒரு பாதுகாப்பு நிபுணராக இருந்தால், பயனர்களுக்கு உள்ளூர் நிர்வாகி உரிமைகள் இருக்கக் கூடாது என்பது தெளிவாகத் தோன்றலாம்.

• அவர்களின் கணக்குகளை பல்வேறு தாக்குதல்களுக்கு ஆளாக்குகிறது
• அதே தாக்குதல்களை மிகவும் கடுமையாக்குகிறது

துரதிர்ஷ்டவசமாக, பல நிறுவனங்களுக்கு இது இன்னும் சர்ச்சைக்குரிய பிரச்சினையாக உள்ளது மற்றும் சில சமயங்களில் சூடான விவாதங்களுடன் உள்ளது (உதாரணமாக, பார்க்கவும், அனைத்து பயனர்களும் உள்ளூர் நிர்வாகிகளாக இருக்க வேண்டும் என்று எனது மேற்பார்வையாளர் கூறுகிறார்) இந்த விவாதத்தின் விவரங்களுக்குச் செல்லாமல், சுரண்டல் மூலமாகவோ அல்லது இயந்திரங்கள் சரியாகப் பாதுகாக்கப்படாத காரணத்தினாலோ, விசாரணையின் கீழ் உள்ள கணினியில் உள்ளூர் நிர்வாகி உரிமைகளைத் தாக்குபவர் பெற்றார் என்று நாங்கள் நம்புகிறோம்.

படி 1பவர்ஷெல் மூலம் டிஎன்எஸ் தெளிவுத்திறனை மாற்றவும்

இயல்பாக, பவர்ஷெல் பல உள்ளூர் பணிநிலையங்களிலும் பெரும்பாலான விண்டோஸ் சர்வர்களிலும் நிறுவப்பட்டுள்ளது. அது ஒரு நம்பமுடியாத பயனுள்ள ஆட்டோமேஷன் மற்றும் கட்டுப்பாட்டு கருவியாகக் கருதப்படுகிறது என்பது மிகைப்படுத்தப்படாமல் இல்லை என்றாலும், அது தன்னை கண்ணுக்கு தெரியாததாக மாற்றிக்கொள்ளும் திறன் கொண்டது. கோப்பு இல்லாத தீம்பொருள் (தாக்குதல் தடயங்களை விடாத ஒரு ஹேக்கிங் திட்டம்).

எங்கள் விஷயத்தில், தாக்குபவர் ஒரு பவர்ஷெல் ஸ்கிரிப்டைப் பயன்படுத்தி பிணைய உளவு பார்க்கத் தொடங்குகிறார், நெட்வொர்க் ஐபி முகவரி இடத்தை தொடர்ச்சியாக மீண்டும் செய்கிறார், கொடுக்கப்பட்ட ஐபி ஹோஸ்டுக்குத் தீர்க்கப்படுகிறதா என்பதைத் தீர்மானிக்க முயற்சிக்கிறார், அப்படியானால், இந்த ஹோஸ்டின் நெட்வொர்க் பெயர் என்ன.
இந்த பணியை நிறைவேற்ற பல வழிகள் உள்ளன, ஆனால் cmdlet ஐப் பயன்படுத்தவும் பெறு-ADComputer என்பது ஒரு திடமான விருப்பமாகும், ஏனெனில் இது ஒவ்வொரு முனையைப் பற்றிய மிகவும் பணக்கார தரவை வழங்குகிறது:

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

பெரிய நெட்வொர்க்குகளில் வேகம் சிக்கலாக இருந்தால், DNS கால்பேக்கைப் பயன்படுத்தலாம்:

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

நெட்வொர்க்கில் ஹோஸ்ட்களை பட்டியலிடும் இந்த முறை மிகவும் பிரபலமானது, பெரும்பாலான நெட்வொர்க்குகள் பூஜ்ஜிய நம்பிக்கை பாதுகாப்பு மாதிரியைப் பயன்படுத்துவதில்லை மற்றும் சந்தேகத்திற்குரிய செயல்பாட்டின் உள் DNS வினவல்களைக் கண்காணிக்காது.

படி 2: இலக்கைத் தேர்ந்தெடுக்கவும்

தாக்குதலைத் தொடரப் பயன்படுத்தக்கூடிய சர்வர் மற்றும் பணிநிலைய ஹோஸ்ட்பெயர்களின் பட்டியலைப் பெறுவதே இந்தப் படியின் இறுதி முடிவு.

பெயரிலிருந்து, 'ஹப்-ஃபைலர்' சர்வர் ஒரு தகுதியான இலக்காகத் தெரிகிறது காலப்போக்கில், கோப்பு சேவையகங்கள், ஒரு விதியாக, அதிக எண்ணிக்கையிலான பிணைய கோப்புறைகளைக் குவிக்கின்றன மற்றும் அதிகமான நபர்களால் அவற்றை அணுகலாம்.

Windows Explorer உடன் உலாவுவது திறந்த பகிரப்பட்ட கோப்புறை இருப்பதைக் கண்டறிய அனுமதிக்கிறது, ஆனால் எங்கள் நடப்புக் கணக்கில் அதை அணுக முடியாது (அநேகமாக எங்களிடம் பட்டியல் உரிமைகள் மட்டுமே இருக்கலாம்).

படி 3: ACL களைக் கற்றுக்கொள்ளுங்கள்

இப்போது, ​​​​எங்கள் HUB-Filer ஹோஸ்ட் மற்றும் இலக்கு பகிர்வில், ACL ஐப் பெறுவதற்கு நாம் PowerShell ஸ்கிரிப்டை இயக்கலாம். எங்களிடம் ஏற்கனவே உள்ளூர் நிர்வாகி உரிமைகள் இருப்பதால், உள்ளூர் இயந்திரத்திலிருந்து இதைச் செய்யலாம்:

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

செயல்படுத்தல் முடிவு:

அதிலிருந்து டொமைன் பயனர்கள் குழுவிற்கு பட்டியலுக்கு மட்டுமே அணுகல் உள்ளது, ஆனால் ஹெல்ப்டெஸ்க் குழுவிற்கும் மாற்றுவதற்கான உரிமைகள் உள்ளன.

படி 4: கணக்கு அடையாளம்

ஓடுதல் பெறு-ADGroupMember, இந்தக் குழுவின் அனைத்து உறுப்பினர்களையும் நாங்கள் பெறலாம்:

Get-ADGroupMember -identity Helpdesk

இந்தப் பட்டியலில் நாம் ஏற்கனவே கண்டறிந்து ஏற்கனவே அணுகிய கணினிக் கணக்கைப் பார்க்கிறோம்:

படி 5: கணினி கணக்காக இயக்க PSExec ஐப் பயன்படுத்தவும்

psexec от Microsoft Sysinternals позволяет выполнять команды в контексте системной учетной записи SYSTEM@HUB-SHAREPOINT, которая, как мы знаем, является членом целевой группы Helpdesk. То есть нам достаточно выполнить:

PsExec.exe -s -i cmd.exe

சரி, நீங்கள் HUB-SHAREPOINT கணினி கணக்கின் சூழலில் பணிபுரிவதால் HUB-FILERshareHR என்ற இலக்கு கோப்புறைக்கு முழு அணுகலைப் பெறுவீர்கள். இந்த அணுகல் மூலம், தரவு ஒரு சிறிய சேமிப்பக சாதனத்திற்கு நகலெடுக்கப்படலாம் அல்லது இல்லையெனில் மீட்டெடுக்கப்பட்டு பிணையத்தில் அனுப்பப்படும்.

படி 6: இந்தத் தாக்குதலைக் கண்டறிதல்

இந்தக் குறிப்பிட்ட கணக்குச் சிறப்புச் சரிப்படுத்தும் பாதிப்பு (பயனர் கணக்குகள் அல்லது சேவைக் கணக்குகளுக்குப் பதிலாக நெட்வொர்க் பங்குகளை அணுகும் கணினி கணக்குகள்) கண்டறியப்படலாம். இருப்பினும், சரியான கருவிகள் இல்லாமல், இதைச் செய்வது மிகவும் கடினம்.

இந்த வகை தாக்குதல்களைக் கண்டறிந்து தடுக்க, நாம் பயன்படுத்தலாம் தரவு நன்மை கணினி கணக்குகள் உள்ள குழுக்களை அடையாளம் காணவும், பின்னர் அவற்றுக்கான அணுகலை மறுக்கவும். டேட்டாஅலர்ட் மேலும் சென்று இந்த வகையான சூழ்நிலைக்கு குறிப்பாக ஒரு அறிவிப்பை உருவாக்க உங்களை அனுமதிக்கிறது.

கீழேயுள்ள ஸ்கிரீன்ஷாட் தனிப்பயன் அறிவிப்பைக் காட்டுகிறது, ஒவ்வொரு முறையும் கணினி கணக்கு கண்காணிக்கப்படும் சர்வரில் தரவை அணுகும்.

PowerShell உடன் அடுத்த படிகள்

மேலும் அறிய வேண்டுமா? முழுமைக்கும் இலவச அணுகலுக்கு "வலைப்பதிவு" திறத்தல் குறியீட்டைப் பயன்படுத்தவும் பவர்ஷெல் மற்றும் ஆக்டிவ் டைரக்டரி அடிப்படைகள் வீடியோ பாடநெறி.

ஆதாரம்: www.habr.com