பயன்படுத்தி ஊடுருவல் சோதனை செய்துள்ளேன் ஆக்டிவ் டைரக்டரியில் இருந்து பயனர் தகவலை மீட்டெடுக்க இதைப் பயன்படுத்தியது (இனி AD என குறிப்பிடப்படுகிறது). அந்த நேரத்தில், பாதுகாப்புக் குழு உறுப்பினர் தகவலைச் சேகரித்து, அந்தத் தகவலைப் பயன்படுத்தி நெட்வொர்க்கில் செல்ல வேண்டும் என்பதில் எனது முக்கியத்துவம் இருந்தது. எப்படியிருந்தாலும், AD இல் முக்கியமான பணியாளர் தரவு உள்ளது, அவற்றில் சில உண்மையில் நிறுவனத்தில் உள்ள அனைவருக்கும் அணுகப்படக்கூடாது. உண்மையில், விண்டோஸ் கோப்பு முறைமைகளில் சமமான ஒன்று உள்ளது , இது உள் மற்றும் வெளிப்புற தாக்குபவர்களாலும் பயன்படுத்தப்படலாம்.
ஆனால் தனியுரிமை சிக்கல்கள் மற்றும் அவற்றை எவ்வாறு சரிசெய்வது என்பதைப் பற்றி பேசுவதற்கு முன், AD இல் சேமிக்கப்பட்ட தரவைப் பார்ப்போம்.
ஆக்டிவ் டைரக்டரி என்பது கார்ப்பரேட் ஃபேஸ்புக் ஆகும்
ஆனால் இந்த விஷயத்தில், நீங்கள் ஏற்கனவே எல்லோருடனும் நண்பர்களாகிவிட்டீர்கள்! உங்கள் சக பணியாளர்களின் விருப்பமான திரைப்படங்கள், புத்தகங்கள் அல்லது உணவகங்கள் பற்றி உங்களுக்குத் தெரியாமல் இருக்கலாம், ஆனால் AD இல் முக்கியமான தொடர்புத் தகவல் உள்ளது.
சிறப்பு தொழில்நுட்ப திறன்கள் இல்லாமல் ஹேக்கர்கள் மற்றும் உள் நபர்களால் கூட பயன்படுத்தக்கூடிய தரவு மற்றும் பிற துறைகள்.
கணினி நிர்வாகிகள் நிச்சயமாக கீழே உள்ள ஸ்கிரீன்ஷாட்டை நன்கு அறிந்திருக்கிறார்கள். இது செயலில் உள்ள டைரக்டரி பயனர்கள் மற்றும் கணினிகள் (ADUC) இடைமுகமாகும், அங்கு அவர்கள் பயனர் தகவலை அமைத்து திருத்துகிறார்கள் மற்றும் பயனர்களை பொருத்தமான குழுக்களுக்கு ஒதுக்குகிறார்கள்.
AD இல் பணியாளரின் பெயர், முகவரி மற்றும் தொலைபேசி எண் ஆகியவற்றிற்கான புலங்கள் உள்ளன, எனவே இது ஒரு தொலைபேசி கோப்பகத்தைப் போன்றது. ஆனால் இன்னும் நிறைய இருக்கிறது! பிற தாவல்களில் மின்னஞ்சல் மற்றும் இணைய முகவரி, வரி மேலாளர் மற்றும் குறிப்புகள் ஆகியவை அடங்கும்.
நிறுவனத்தில் உள்ள அனைவரும் இந்தத் தகவலைப் பார்க்க வேண்டுமா, குறிப்பாக ஒரு காலத்தில் , ஒவ்வொரு புதிய விவரமும் கூடுதலான தகவலைத் தேடுவதை எளிதாக்கும் போது?
நிச்சயமாக இல்லை! ஒரு நிறுவனத்தின் உயர்மட்ட நிர்வாகத்தின் தரவுகள் அனைத்து ஊழியர்களுக்கும் கிடைக்கும்போது சிக்கல் அதிகரிக்கிறது.
அனைவருக்கும் PowerView
இங்குதான் PowerView செயல்பாட்டுக்கு வருகிறது. இது AD ஐ அணுகும் அடிப்படையான (மற்றும் குழப்பமான) Win32 செயல்பாடுகளுக்கு மிகவும் பயனர் நட்பு பவர்ஷெல் இடைமுகத்தை வழங்குகிறது. சுருக்கமாக:
இது AD புலங்களை மீட்டெடுப்பதை மிகக் குறுகிய cmdlet ஐ தட்டச்சு செய்வது போல எளிதாக்குகிறது.
நிறுவனத்தின் தலைவர்களில் ஒருவரான க்ரூயெல்லா டெவில்லின் ஊழியர் பற்றிய தகவல்களைச் சேகரிப்பதற்கான உதாரணத்தை எடுத்துக் கொள்வோம். இதைச் செய்ய, PowerView get-NetUser cmdlet ஐப் பயன்படுத்தவும்:
PowerView ஐ நிறுவுவது ஒரு பெரிய பிரச்சனை அல்ல - பக்கத்தில் நீங்களே பாருங்கள் . மேலும் முக்கியமாக, get-NetUser போன்ற பல PowerView கட்டளைகளை இயக்க உங்களுக்கு உயர்ந்த சலுகைகள் தேவையில்லை. இந்த வழியில், ஒரு உந்துதல் உள்ள ஆனால் மிகவும் தொழில்நுட்ப ஆர்வலரான பணியாளர் அதிக முயற்சி இல்லாமல் AD உடன் டிங்கரிங் செய்ய ஆரம்பிக்கலாம்.
மேலே உள்ள ஸ்கிரீன்ஷாட்டில் இருந்து, க்ரூல்லாவைப் பற்றி ஒரு உள் நபர் விரைவாகக் கற்றுக்கொள்ள முடியும் என்பதை நீங்கள் காணலாம். "தகவல்" புலம் பயனரின் தனிப்பட்ட பழக்கவழக்கங்கள் மற்றும் கடவுச்சொல் பற்றிய தகவலை வெளிப்படுத்துவதையும் நீங்கள் கவனித்தீர்களா?
இது ஒரு தத்துவார்த்த சாத்தியம் அல்ல. இருந்து எளிய உரை கடவுச்சொற்களைக் கண்டறிய அவர்கள் AD ஐ ஸ்கேன் செய்கிறார்கள் என்பதை நான் அறிந்தேன், மேலும் பெரும்பாலும் இந்த முயற்சிகள் துரதிர்ஷ்டவசமாக வெற்றி பெறுகின்றன. AD இல் உள்ள தகவல்களில் நிறுவனங்கள் கவனக்குறைவாக இருப்பதை அவர்கள் அறிவார்கள், மேலும் அவர்கள் அடுத்த தலைப்பைப் பற்றி அறிந்திருக்க மாட்டார்கள்: AD அனுமதிகள்.
ஆக்டிவ் டைரக்டரிக்கு அதன் சொந்த ACLகள் உள்ளன
AD பயனர்கள் மற்றும் கணினிகள் இடைமுகம் AD பொருள்களில் அனுமதிகளை அமைக்க உங்களை அனுமதிக்கிறது. AD இல் ACLகள் உள்ளன மற்றும் நிர்வாகிகள் அவற்றின் மூலம் அணுகலை வழங்கலாம் அல்லது மறுக்கலாம். நீங்கள் ADUC காட்சி மெனுவில் "மேம்பட்ட" என்பதைக் கிளிக் செய்ய வேண்டும், பின்னர் நீங்கள் பயனரைத் திறக்கும் போது நீங்கள் ACL ஐ அமைக்கும் "பாதுகாப்பு" தாவலைக் காண்பீர்கள்.
எனது Cruella சூழ்நிலையில், அனைத்து அங்கீகரிக்கப்பட்ட பயனர்களும் அவரது தனிப்பட்ட தகவலைப் பார்க்க வேண்டும் என்று நான் விரும்பவில்லை, அதனால் நான் அவர்களுக்கு வாசிப்பு அணுகலை மறுத்தேன்:
இப்போது பவர்வியூவில் Get-NetUserஐ முயற்சித்தால் ஒரு சாதாரண பயனர் இதைப் பார்ப்பார்:
துருவியறியும் கண்களிலிருந்து வெளிப்படையாக பயனுள்ள தகவல்களை மறைக்க முடிந்தது. தொடர்புடைய பயனர்களுக்கு அணுகக்கூடியதாக இருக்க, VIP குழுவின் உறுப்பினர்களை (Cruella மற்றும் அவரது மற்ற உயர்மட்ட சகாக்கள்) இந்த முக்கியமான தரவை அணுக அனுமதிக்க மற்றொரு ACL ஐ உருவாக்கினேன். வேறு வார்த்தைகளில் கூறுவதானால், நான் ஒரு முன்மாதிரியின் அடிப்படையில் AD அனுமதிகளை செயல்படுத்தினேன், இது இன்சைடர்கள் உட்பட பெரும்பாலான பணியாளர்களுக்கு முக்கியமான தரவை அணுக முடியாததாக ஆக்கியது.
இருப்பினும், குழு பொருளில் ACL ஐ அதற்கேற்ப AD இல் அமைப்பதன் மூலம், குழு உறுப்பினர்களை பயனர்களுக்கு கண்ணுக்கு தெரியாததாக மாற்றலாம். இது தனியுரிமை மற்றும் பாதுகாப்பிற்கு உதவும்.
அவரது PowerViews Get-NetGroupMember ஐப் பயன்படுத்தி குழு உறுப்பினர்களை ஆராய்வதன் மூலம் கணினியை எவ்வாறு வழிநடத்தலாம் என்பதை நான் காண்பித்தேன். எனது ஸ்கிரிப்ட்டில், ஒரு குறிப்பிட்ட குழுவில் உள்ள உறுப்பினர்களுக்கான வாசிப்பு அணுகலை நான் கட்டுப்படுத்தினேன். மாற்றங்களுக்கு முன்னும் பின்னும் கட்டளையை இயக்குவதன் முடிவை நீங்கள் காணலாம்:
விஐபி குழுவில் உள்ள க்ரூல்லா மற்றும் மான்டி பர்ன்ஸ் உறுப்பினர்களை என்னால் மறைக்க முடிந்தது, இதனால் ஹேக்கர்கள் மற்றும் உள்கட்டமைப்பைத் தேடுவது கடினம்.
இந்த இடுகை புலங்களை உன்னிப்பாகக் கவனிக்க உங்களைத் தூண்டும் நோக்கம் கொண்டது
AD மற்றும் தொடர்புடைய அனுமதிகள். கி.பி ஒரு சிறந்த ஆதாரம், ஆனால் நீங்கள் எப்படி இருப்பீர்கள் என்று சிந்தியுங்கள்
குறிப்பாக ரகசிய தகவல் மற்றும் தனிப்பட்ட தரவைப் பகிர விரும்புகிறது
உங்கள் நிறுவனத்தின் உயர் அதிகாரிகளுக்கு வரும்போது.
ஆதாரம்: www.habr.com