Men penetratsion testlardan foydalanganman
Biroq, maxfiylik muammolari va ularni qanday tuzatish haqida gapirishdan oldin, keling, ADda saqlangan ma'lumotlarni ko'rib chiqaylik.
Active Directory - bu Facebook korporatividir
Ammo bu holatda siz allaqachon hamma bilan do'stlashdingiz! Siz hamkasblaringizning sevimli filmlari, kitoblari yoki restoranlari haqida bilmasligingiz mumkin, ammo AD maxfiy aloqa maΚΌlumotlarini oΚ»z ichiga oladi.
ma'lumotlar va maxsus texnik ko'nikmalarga ega bo'lmagan xakerlar va hatto insayderlar tomonidan ishlatilishi mumkin bo'lgan boshqa sohalar.
Tizim ma'murlari, albatta, quyidagi skrinshot bilan tanish. Bu Active Directory foydalanuvchilari va kompyuterlari (ADUC) interfeysi bo'lib, u erda ular foydalanuvchi ma'lumotlarini o'rnatadi va tahrirlaydi va foydalanuvchilarni tegishli guruhlarga tayinlaydi.
AD xodimning ismi, manzili va telefon raqami uchun maydonlarni o'z ichiga oladi, shuning uchun u telefon ma'lumotnomasiga o'xshaydi. Ammo yana ko'p narsa bor! Boshqa yorliqlar shuningdek, elektron pochta va veb-manzil, chiziq menejeri va eslatmalarni o'z ichiga oladi.
Tashkilotdagi har bir kishi bu ma'lumotni ko'rishi kerakmi, ayniqsa bir davrda
Albatta yo'q! Kompaniyaning yuqori rahbariyatidan olingan ma'lumotlar barcha xodimlar uchun mavjud bo'lganda, muammo yanada murakkablashadi.
Hamma uchun PowerView
Bu erda PowerView o'ynaydi. U AD ga kiradigan asosiy (va chalkash) Win32 funktsiyalari uchun juda qulay PowerShell interfeysini taqdim etadi. Qisqasi:
bu juda qisqa cmdlet yozish kabi AD maydonlarini olishni osonlashtiradi.
Keling, kompaniyaning etakchilaridan biri bo'lgan Cruella Deville xodimi haqida ma'lumot to'plash misolini olaylik. Buning uchun PowerView get-NetUser komdletidan foydalaning:
PowerView-ni o'rnatish jiddiy muammo emas - sahifada o'zingizga qarang
Yuqoridagi skrinshotdan siz insayder Cruella haqida ko'p narsalarni tezda bilib olishini ko'rishingiz mumkin. "Ma'lumot" maydonida foydalanuvchining shaxsiy odatlari va paroli haqidagi ma'lumotlar paydo bo'lishini ham payqadingizmi?
Bu nazariy imkoniyat emas. Kimdan
Active Directory o'z ACLlariga ega
AD foydalanuvchilari va kompyuterlari interfeysi AD obyektlariga ruxsatlarni oβrnatish imkonini beradi. AD-da ACL mavjud va ma'murlar ular orqali kirishga ruxsat berishi yoki rad etishi mumkin. ADUC View menyusida "Kengaytirilgan" tugmasini bosishingiz kerak, so'ngra foydalanuvchini ochganingizda siz ACLni o'rnatgan "Xavfsizlik" yorlig'ini ko'rasiz.
Mening Cruella stsenariyimda men barcha Autentifikatsiya qilingan foydalanuvchilar uning shaxsiy ma'lumotlarini ko'rishlarini xohlamadim, shuning uchun men ularga o'qishga ruxsat bermadim:
Va endi oddiy foydalanuvchi PowerView-da Get-NetUser-ni sinab ko'rsa, buni ko'radi:
Men foydali ma'lumotni qiziquvchan ko'zlardan yashirishga muvaffaq bo'ldim. Tegishli foydalanuvchilar uchun ochiq bo'lishi uchun men VIP guruhi a'zolariga (Cruella va uning boshqa yuqori martabali hamkasblariga) ushbu nozik ma'lumotlarga kirishga ruxsat berish uchun boshqa ACL yaratdim. Boshqacha qilib aytadigan bo'lsak, men AD ruxsatnomalarini namuna asosida amalga oshirdim, bu esa nozik ma'lumotlarni ko'pchilik xodimlar, shu jumladan Insayderlar uchun imkonsiz qildi.
Biroq, ADdagi guruh ob'ektidagi ACLni mos ravishda o'rnatish orqali siz guruh a'zoligini foydalanuvchilarga ko'rinmas holga keltirishingiz mumkin. Bu maxfiylik va xavfsizlik nuqtai nazaridan yordam beradi.
Uning ichida
Men Kruella va Monti Bernsning VIP guruhiga a'zoligini yashirishga muvaffaq bo'ldim, bu xakerlar va insayderlar uchun infratuzilmani qidirishni qiyinlashtirdi.
Ushbu post sizni dalalarni diqqat bilan ko'rib chiqishga undash uchun mo'ljallangan edi
AD va tegishli ruxsatlar. AD - bu ajoyib manba, lekin qanday qilish kerakligini o'ylab ko'ring
maxfiy ma'lumotlar va shaxsiy ma'lumotlarni baham ko'rishni xohladi, ayniqsa
tashkilotingizning yuqori mansabdor shaxslari haqida gap ketganda.
Manba: www.habr.com