ฉันได้ทำการทดสอบการเจาะโดยใช้ และใช้เพื่อดึงข้อมูลผู้ใช้จาก Active Directory (ต่อไปนี้จะเรียกว่า AD) ในเวลานั้น ฉันเน้นไปที่การรวบรวมข้อมูลสมาชิกกลุ่มความปลอดภัย จากนั้นจึงใช้ข้อมูลนั้นเพื่อนำทางเครือข่าย ไม่ว่าจะด้วยวิธีใด AD จะมีข้อมูลพนักงานที่ละเอียดอ่อน ซึ่งบางส่วนไม่ควรสามารถเข้าถึงได้โดยทุกคนในองค์กร ที่จริงแล้วในระบบไฟล์ Windows นั้นมีสิ่งเทียบเท่ากัน ซึ่งผู้โจมตีทั้งภายในและภายนอกสามารถใช้ได้เช่นกัน
แต่ก่อนที่เราจะพูดถึงปัญหาความเป็นส่วนตัวและวิธีแก้ไข เรามาดูข้อมูลที่จัดเก็บไว้ใน AD กันก่อน
Active Directory คือ Facebook ขององค์กร
แต่ในกรณีนี้คุณได้ผูกมิตรกับทุกคนแล้ว! คุณอาจไม่ทราบเกี่ยวกับภาพยนตร์ หนังสือ หรือร้านอาหารโปรดของเพื่อนร่วมงาน แต่ AD มีข้อมูลการติดต่อที่ละเอียดอ่อน
ข้อมูลและฟิลด์อื่นๆ ที่แฮกเกอร์และแม้แต่คนในสามารถใช้ได้โดยไม่มีทักษะทางเทคนิคพิเศษ
แน่นอนว่าผู้ดูแลระบบคุ้นเคยกับภาพหน้าจอด้านล่าง นี่คืออินเทอร์เฟซผู้ใช้ Active Directory และคอมพิวเตอร์ (ADUC) ที่พวกเขาตั้งค่าและแก้ไขข้อมูลผู้ใช้และกำหนดผู้ใช้ให้กับกลุ่มที่เหมาะสม
AD มีช่องสำหรับชื่อพนักงาน ที่อยู่ และหมายเลขโทรศัพท์ ดังนั้นจึงคล้ายกับสมุดโทรศัพท์ แต่ยังมีอะไรอีกมากมาย! แท็บอื่นๆ ยังรวมถึงอีเมลและที่อยู่เว็บ ผู้จัดการสายงาน และหมายเหตุ
ทุกคนในองค์กรจำเป็นต้องเห็นข้อมูลนี้หรือไม่โดยเฉพาะในยุคนี้ เมื่อทุกรายละเอียดใหม่ทำให้การค้นหาข้อมูลเพิ่มเติมง่ายยิ่งขึ้น?
ไม่แน่นอน! ปัญหาจะทวีคูณขึ้นเมื่อข้อมูลจากผู้บริหารระดับสูงของบริษัทพร้อมให้พนักงานทุกคนเข้าถึงได้
PowerView สำหรับทุกคน
นี่คือจุดที่ PowerView เข้ามามีบทบาท มีอินเทอร์เฟซ PowerShell ที่ใช้งานง่ายสำหรับฟังก์ชัน Win32 พื้นฐาน (และสับสน) ที่เข้าถึง AD ในระยะสั้น:
ทำให้การดึงข้อมูลฟิลด์ AD เป็นเรื่องง่ายเหมือนกับการพิมพ์ cmdlet ที่สั้นมาก
มาดูตัวอย่างการรวบรวมข้อมูลเกี่ยวกับพนักงานของ Cruella Deville ซึ่งเป็นหนึ่งในผู้นำของบริษัท เมื่อต้องการทำเช่นนี้ ให้ใช้ PowerView get-NetUser cmdlet:
การติดตั้ง PowerView ไม่ใช่ปัญหาร้ายแรง - ดูตัวคุณเองในหน้านั้น . และที่สำคัญกว่านั้น คุณไม่จำเป็นต้องมีสิทธิ์ระดับสูงในการรันคำสั่ง PowerView มากมาย เช่น get-NetUser ด้วยวิธีนี้ พนักงานที่มีแรงบันดาลใจแต่ไม่ค่อยเชี่ยวชาญด้านเทคโนโลยีสามารถเริ่มแก้ไข AD ได้โดยไม่ต้องใช้ความพยายามมากนัก
จากภาพหน้าจอด้านบน คุณจะเห็นว่าคนวงในสามารถเรียนรู้มากมายเกี่ยวกับ Cruella ได้อย่างรวดเร็ว คุณสังเกตไหมว่าช่อง “ข้อมูล” เปิดเผยข้อมูลเกี่ยวกับนิสัยส่วนตัวและรหัสผ่านของผู้ใช้
นี่ไม่ใช่ความเป็นไปได้ทางทฤษฎี จาก ฉันได้เรียนรู้ว่าพวกเขาสแกน AD เพื่อค้นหารหัสผ่านที่เป็นข้อความธรรมดา และบ่อยครั้งที่ความพยายามเหล่านี้ประสบความสำเร็จ พวกเขารู้ว่าบริษัทต่างๆ ไม่ใส่ใจกับข้อมูลใน AD และพวกเขามักจะไม่ทราบหัวข้อถัดไป: สิทธิ์ AD
Active Directory มี ACL ของตัวเอง
อินเทอร์เฟซผู้ใช้ AD และคอมพิวเตอร์ช่วยให้คุณสามารถตั้งค่าการอนุญาตบนออบเจ็กต์ AD AD มี ACL และผู้ดูแลระบบสามารถให้หรือปฏิเสธการเข้าถึงได้ คุณต้องคลิก "ขั้นสูง" ในเมนูมุมมอง ADUC จากนั้นเมื่อคุณเปิดผู้ใช้ คุณจะเห็นแท็บ "ความปลอดภัย" ที่คุณตั้งค่า ACL
ในสถานการณ์ Cruella ของฉัน ฉันไม่ต้องการให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องทุกคนสามารถเห็นข้อมูลส่วนตัวของเธอได้ ดังนั้นฉันจึงปฏิเสธการเข้าถึงแบบอ่าน:
และตอนนี้ผู้ใช้ปกติจะเห็นสิ่งนี้หากพวกเขาลอง Get-NetUser ใน PowerView:
ฉันสามารถซ่อนข้อมูลที่เป็นประโยชน์อย่างเห็นได้ชัดจากการสอดรู้สอดเห็นได้ เพื่อให้ผู้ใช้ที่เกี่ยวข้องสามารถเข้าถึงได้ ฉันได้สร้าง ACL อื่นเพื่ออนุญาตให้สมาชิกของกลุ่ม VIP (Cruella และเพื่อนร่วมงานระดับสูงคนอื่นๆ ของเธอ) เข้าถึงข้อมูลที่ละเอียดอ่อนนี้ได้ กล่าวอีกนัยหนึ่ง ฉันใช้สิทธิ์ AD ตามแบบอย่าง ซึ่งทำให้พนักงานส่วนใหญ่ไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน รวมถึง Insiders ได้
อย่างไรก็ตาม คุณสามารถทำให้ผู้ใช้มองไม่เห็นการเป็นสมาชิกกลุ่มได้โดยการตั้งค่า ACL บนออบเจ็กต์กลุ่มใน AD ตามนั้น ซึ่งจะช่วยในด้านความเป็นส่วนตัวและความปลอดภัย
ในตัวเขา ฉันแสดงให้เห็นว่าคุณสามารถนำทางระบบได้อย่างไรโดยตรวจสอบความเป็นสมาชิกกลุ่มโดยใช้ PowerViews Get-NetGroupMember ในสคริปต์ของฉัน ฉันจำกัดการเข้าถึงแบบอ่านสำหรับการเป็นสมาชิกในกลุ่มใดกลุ่มหนึ่ง คุณสามารถดูผลลัพธ์ของการรันคำสั่งก่อนและหลังการเปลี่ยนแปลง:
ฉันสามารถซ่อนการเป็นสมาชิกของ Cruella และ Monty Burns ในกลุ่มวีไอพีได้ ทำให้แฮกเกอร์และคนวงในตรวจสอบโครงสร้างพื้นฐานได้ยาก
โพสต์นี้มีจุดมุ่งหมายเพื่อกระตุ้นให้คุณพิจารณาดูทุ่งนาให้ละเอียดยิ่งขึ้น
AD และการอนุญาตที่เกี่ยวข้อง AD เป็นแหล่งข้อมูลที่ดี แต่ลองคิดดูว่าคุณจะทำยังไง
ต้องการแบ่งปันข้อมูลที่เป็นความลับและข้อมูลส่วนบุคคลโดยเฉพาะ
เมื่อเป็นเรื่องของเจ้าหน้าที่ระดับสูงขององค์กรของคุณ
ที่มา: will.com