Nakagawa na ako ng penetration testing gamit at ginamit ito upang kunin ang impormasyon ng user mula sa Active Directory (mula rito ay tinutukoy bilang AD). Noong panahong iyon, ang aking diin ay ang pagkolekta ng impormasyon ng membership ng grupo ng seguridad at pagkatapos ay gamitin ang impormasyong iyon upang mag-navigate sa network. Sa alinmang paraan, naglalaman ang AD ng sensitibong data ng empleyado, na ang ilan ay talagang hindi dapat ma-access ng lahat sa organisasyon. Sa katunayan, sa Windows file system mayroong katumbas , na maaari ding gamitin ng parehong panloob at panlabas na mga umaatake.
Ngunit bago natin pag-usapan ang tungkol sa mga isyu sa privacy at kung paano ayusin ang mga ito, tingnan natin ang data na nakaimbak sa AD.
Ang Active Directory ay ang corporate Facebook
Ngunit sa kasong ito, nakipagkaibigan ka na sa lahat! Maaaring hindi mo alam ang tungkol sa mga paboritong pelikula, aklat, o restaurant ng iyong mga katrabaho, ngunit naglalaman ang AD ng sensitibong impormasyon sa pakikipag-ugnayan.
data at iba pang mga patlang na maaaring magamit ng mga hacker at kahit na mga tagaloob na walang espesyal na teknikal na kasanayan.
Siyempre, pamilyar ang mga tagapangasiwa ng system sa screenshot sa ibaba. Ito ang interface ng Active Directory Users and Computers (ADUC) kung saan itinatakda at ine-edit nila ang impormasyon ng user at nagtatalaga ng mga user sa mga naaangkop na grupo.
Naglalaman ang AD ng mga field para sa pangalan ng empleyado, address, at numero ng telepono, kaya katulad ito sa isang direktoryo ng telepono. Pero marami pang iba! Kasama rin sa iba pang mga tab ang email at web address, line manager, at mga tala.
Kailangan bang makita ng lahat sa organisasyon ang impormasyong ito, lalo na sa isang panahon , kapag ginagawang mas madali ng bawat bagong detalye ang paghahanap ng higit pang impormasyon?
Syempre hindi! Ang problema ay nadagdagan kapag ang data mula sa nangungunang pamamahala ng isang kumpanya ay magagamit sa lahat ng mga empleyado.
PowerView para sa lahat
Dito pumapasok ang PowerView. Nagbibigay ito ng napaka-user-friendly na interface ng PowerShell sa pinagbabatayan (at nakalilito) na mga function ng Win32 na nag-a-access sa AD. Sa madaling salita:
ginagawa nitong madaling makuha ang mga field ng AD gaya ng pag-type ng napakaikling cmdlet.
Kunin natin ang isang halimbawa ng pagkolekta ng impormasyon tungkol sa isang empleyado ng Cruella Deville, na isa sa mga pinuno ng kumpanya. Upang gawin ito, gamitin ang PowerView get-NetUser cmdlet:
Ang pag-install ng PowerView ay hindi isang seryosong problema - tingnan ang iyong sarili sa pahina . At higit sa lahat, hindi mo kailangan ng matataas na pribilehiyo para magpatakbo ng maraming PowerView command, gaya ng get-NetUser. Sa ganitong paraan, ang isang motivated ngunit hindi masyadong tech-savvy na empleyado ay maaaring magsimulang mag-tinker sa AD nang walang labis na pagsisikap.
Mula sa screenshot sa itaas, makikita mo na ang isang insider ay maaaring mabilis na matuto ng maraming tungkol kay Cruella. Napansin mo rin ba na ang field ng "impormasyon" ay nagpapakita ng impormasyon tungkol sa mga personal na gawi at password ng user?
Ito ay hindi isang teoretikal na posibilidad. Mula sa Nalaman ko na ini-scan nila ang AD upang makahanap ng mga plaintext na password, at kadalasan ang mga pagtatangka na ito sa kasamaang-palad ay matagumpay. Alam nila na ang mga kumpanya ay pabaya sa impormasyon sa AD, at malamang na hindi nila alam ang susunod na paksa: Mga pahintulot sa AD.
Ang Active Directory ay may sariling mga ACL
Ang interface ng Mga User at Computer ng AD ay nagbibigay-daan sa iyo na magtakda ng mga pahintulot sa mga bagay na AD. Ang AD ay may mga ACL at ang mga administrator ay maaaring magbigay o tanggihan ng access sa pamamagitan ng mga ito. Kailangan mong i-click ang "Advanced" sa menu ng ADUC View at pagkatapos ay kapag binuksan mo ang user makikita mo ang tab na "Security" kung saan mo itinakda ang ACL.
Sa aking senaryo sa Cruella, hindi ko gustong makita ng lahat ng Authenticated User ang kanyang personal na impormasyon, kaya tinanggihan ko sila ng read access:
At ngayon makikita ito ng isang normal na user kung susubukan nila ang Get-NetUser sa PowerView:
Nagawa kong itago ang malinaw na kapaki-pakinabang na impormasyon mula sa prying eyes. Upang mapanatiling naa-access ito ng mga may-katuturang user, gumawa ako ng isa pang ACL para payagan ang mga miyembro ng VIP group (Cruella at ang iba pa niyang mataas na ranggo na mga kasamahan) na ma-access ang sensitibong data na ito. Sa madaling salita, nagpatupad ako ng mga pahintulot sa AD batay sa isang huwaran, na ginawang hindi naa-access ang sensitibong data ng karamihan sa mga empleyado, kabilang ang mga Insider.
Gayunpaman, maaari mong gawing hindi nakikita ng mga user ang membership ng grupo sa pamamagitan ng pagtatakda ng ACL sa object ng grupo sa AD nang naaayon. Makakatulong ito sa mga tuntunin ng privacy at seguridad.
sa kanyang Ipinakita ko kung paano ka makakapag-navigate sa system sa pamamagitan ng pagsusuri sa membership ng grupo gamit ang PowerViews Get-NetGroupMember. Sa aking script, pinaghigpitan ko ang read access sa membership sa isang partikular na grupo. Maaari mong makita ang resulta ng pagpapatakbo ng command bago at pagkatapos ng mga pagbabago:
Nagawa kong itago ang membership nina Cruella at Monty Burns sa VIP group, na nagpapahirap sa mga hacker at insider na scout ang imprastraktura.
Ang post na ito ay nilayon na mag-udyok sa iyo na tingnan nang mabuti ang mga field
AD at mga kaugnay na pahintulot. Ang AD ay isang mahusay na mapagkukunan, ngunit isipin kung paano mo gagawin
gustong magbahagi ng kumpidensyal na impormasyon at personal na data, lalo na
pagdating sa mga matataas na opisyal ng iyong organisasyon.
Pinagmulan: www.habr.com