Men penetratsion testlardan foydalanganman va undan foydalanuvchi ma'lumotlarini Active Directory (keyingi o'rinlarda AD deb yuritiladi) dan olish uchun foydalangan. O'sha paytda mening asosiy e'tiborim xavfsizlik guruhiga a'zolik ma'lumotlarini to'plash va keyin tarmoqda harakat qilish uchun ushbu ma'lumotlardan foydalanish edi. Qanday bo'lmasin, AD nozik xodimlar ma'lumotlarini o'z ichiga oladi, ulardan ba'zilari tashkilotdagi hamma uchun ochiq bo'lmasligi kerak. Aslida, Windows fayl tizimlarida ekvivalent mavjud , bu ham ichki, ham tashqi hujumchilar tomonidan ishlatilishi mumkin.
Biroq, maxfiylik muammolari va ularni qanday tuzatish haqida gapirishdan oldin, keling, ADda saqlangan ma'lumotlarni ko'rib chiqaylik.
Active Directory - bu Facebook korporatividir
Ammo bu holatda siz allaqachon hamma bilan do'stlashdingiz! Siz hamkasblaringizning sevimli filmlari, kitoblari yoki restoranlari haqida bilmasligingiz mumkin, ammo AD maxfiy aloqa maΚΌlumotlarini oΚ»z ichiga oladi.
ma'lumotlar va maxsus texnik ko'nikmalarga ega bo'lmagan xakerlar va hatto insayderlar tomonidan ishlatilishi mumkin bo'lgan boshqa sohalar.
Tizim ma'murlari, albatta, quyidagi skrinshot bilan tanish. Bu Active Directory foydalanuvchilari va kompyuterlari (ADUC) interfeysi bo'lib, u erda ular foydalanuvchi ma'lumotlarini o'rnatadi va tahrirlaydi va foydalanuvchilarni tegishli guruhlarga tayinlaydi.
AD xodimning ismi, manzili va telefon raqami uchun maydonlarni o'z ichiga oladi, shuning uchun u telefon ma'lumotnomasiga o'xshaydi. Ammo yana ko'p narsa bor! Boshqa yorliqlar shuningdek, elektron pochta va veb-manzil, chiziq menejeri va eslatmalarni o'z ichiga oladi.
Tashkilotdagi har bir kishi bu ma'lumotni ko'rishi kerakmi, ayniqsa bir davrda , har bir yangi tafsilot qo'shimcha ma'lumot qidirishni yanada osonlashtirganda?
Albatta yo'q! Kompaniyaning yuqori rahbariyatidan olingan ma'lumotlar barcha xodimlar uchun mavjud bo'lganda, muammo yanada murakkablashadi.
Hamma uchun PowerView
Bu erda PowerView o'ynaydi. U AD ga kiradigan asosiy (va chalkash) Win32 funktsiyalari uchun juda qulay PowerShell interfeysini taqdim etadi. Qisqasi:
bu juda qisqa cmdlet yozish kabi AD maydonlarini olishni osonlashtiradi.
Keling, kompaniyaning etakchilaridan biri bo'lgan Cruella Deville xodimi haqida ma'lumot to'plash misolini olaylik. Buning uchun PowerView get-NetUser komdletidan foydalaning:
PowerView-ni o'rnatish jiddiy muammo emas - sahifada o'zingizga qarang . Eng muhimi, get-NetUser kabi ko'plab PowerView buyruqlarini ishga tushirish uchun sizga yuqori imtiyozlar kerak emas. Shunday qilib, g'ayratli, ammo texnologiyani yaxshi bilmaydigan xodim ko'p harakat qilmasdan AD bilan ishlashni boshlashi mumkin.
Yuqoridagi skrinshotdan siz insayder Cruella haqida ko'p narsalarni tezda bilib olishini ko'rishingiz mumkin. "Ma'lumot" maydonida foydalanuvchining shaxsiy odatlari va paroli haqidagi ma'lumotlar paydo bo'lishini ham payqadingizmi?
Bu nazariy imkoniyat emas. Kimdan Men ular ochiq matn parollarini topish uchun ADni skanerlashini bilib oldim va ko'pincha bu urinishlar afsuski muvaffaqiyatli bo'ladi. Ular kompaniyalarning ADdagi ma'lumotlarga beparvo munosabatda bo'lishlarini bilishadi va ular keyingi mavzudan bexabar qolishadi: AD ruxsatnomalari.
Active Directory o'z ACLlariga ega
AD foydalanuvchilari va kompyuterlari interfeysi AD obyektlariga ruxsatlarni oβrnatish imkonini beradi. AD-da ACL mavjud va ma'murlar ular orqali kirishga ruxsat berishi yoki rad etishi mumkin. ADUC View menyusida "Kengaytirilgan" tugmasini bosishingiz kerak, so'ngra foydalanuvchini ochganingizda siz ACLni o'rnatgan "Xavfsizlik" yorlig'ini ko'rasiz.
Mening Cruella stsenariyimda men barcha Autentifikatsiya qilingan foydalanuvchilar uning shaxsiy ma'lumotlarini ko'rishlarini xohlamadim, shuning uchun men ularga o'qishga ruxsat bermadim:
Va endi oddiy foydalanuvchi PowerView-da Get-NetUser-ni sinab ko'rsa, buni ko'radi:
Men foydali ma'lumotni qiziquvchan ko'zlardan yashirishga muvaffaq bo'ldim. Tegishli foydalanuvchilar uchun ochiq bo'lishi uchun men VIP guruhi a'zolariga (Cruella va uning boshqa yuqori martabali hamkasblariga) ushbu nozik ma'lumotlarga kirishga ruxsat berish uchun boshqa ACL yaratdim. Boshqacha qilib aytadigan bo'lsak, men AD ruxsatnomalarini namuna asosida amalga oshirdim, bu esa nozik ma'lumotlarni ko'pchilik xodimlar, shu jumladan Insayderlar uchun imkonsiz qildi.
Biroq, ADdagi guruh ob'ektidagi ACLni mos ravishda o'rnatish orqali siz guruh a'zoligini foydalanuvchilarga ko'rinmas holga keltirishingiz mumkin. Bu maxfiylik va xavfsizlik nuqtai nazaridan yordam beradi.
Uning ichida PowerViews Get-NetGroupMember yordamida guruh a'zoligini tekshirish orqali tizimda qanday harakat qilishingiz mumkinligini ko'rsatdim. Skriptimda men ma'lum bir guruhga a'zo bo'lish uchun o'qishga kirishni chekladim. O'zgarishlardan oldin va keyin buyruqni bajarish natijasini ko'rishingiz mumkin:
Men Kruella va Monti Bernsning VIP guruhiga a'zoligini yashirishga muvaffaq bo'ldim, bu xakerlar va insayderlar uchun infratuzilmani qidirishni qiyinlashtirdi.
Ushbu post sizni dalalarni diqqat bilan ko'rib chiqishga undash uchun mo'ljallangan edi
AD va tegishli ruxsatlar. AD - bu ajoyib manba, lekin qanday qilish kerakligini o'ylab ko'ring
maxfiy ma'lumotlar va shaxsiy ma'lumotlarni baham ko'rishni xohladi, ayniqsa
tashkilotingizning yuqori mansabdor shaxslari haqida gap ketganda.
Manba: www.habr.com