Tôi đã thực hiện thử nghiệm thâm nhập bằng cách sử dụng
Nhưng trước khi nói về các vấn đề về quyền riêng tư và cách khắc phục chúng, hãy xem dữ liệu được lưu trữ trong AD.
Active Directory là Facebook của công ty
Nhưng trong trường hợp này, bạn đã kết bạn với mọi người rồi! Bạn có thể không biết về những bộ phim, cuốn sách hoặc nhà hàng yêu thích của đồng nghiệp nhưng AD chứa thông tin liên hệ nhạy cảm.
dữ liệu và các lĩnh vực khác có thể bị tin tặc và thậm chí cả người trong nội bộ sử dụng mà không có kỹ năng kỹ thuật đặc biệt.
Tất nhiên, quản trị viên hệ thống đã quen thuộc với ảnh chụp màn hình bên dưới. Đây là giao diện Người dùng và Máy tính Active Directory (ADUC) nơi họ đặt và chỉnh sửa thông tin người dùng cũng như chỉ định người dùng vào các nhóm thích hợp.
AD chứa các trường tên nhân viên, địa chỉ và số điện thoại nên nó tương tự như một danh bạ điện thoại. Nhưng còn nhiều hơn thế nữa! Các tab khác cũng bao gồm email và địa chỉ web, trình quản lý dòng và ghi chú.
Có phải mọi người trong tổ chức đều cần xem thông tin này, đặc biệt trong thời đại
Dĩ nhiên là không! Vấn đề trở nên phức tạp hơn khi dữ liệu từ ban lãnh đạo cấp cao của công ty được cung cấp cho tất cả nhân viên.
PowerView cho mọi người
Đây là lúc PowerView phát huy tác dụng. Nó cung cấp giao diện PowerShell rất thân thiện với người dùng cho các hàm Win32 cơ bản (và khó hiểu) truy cập AD. Nói ngắn gọn:
điều này làm cho việc truy xuất các trường AD dễ dàng như gõ một lệnh ghép ngắn rất ngắn.
Hãy lấy một ví dụ về việc thu thập thông tin về một nhân viên của Cruella Deville, một trong những người quản lý của công ty. Để thực hiện việc này, hãy sử dụng lệnh ghép ngắn PowerView get-NetUser:
Cài đặt PowerView không phải là một vấn đề nghiêm trọng - hãy tự mình xem trên trang
Từ ảnh chụp màn hình ở trên, bạn có thể thấy rằng người trong cuộc có thể nhanh chóng tìm hiểu nhiều điều về Cruella. Bạn có nhận thấy rằng trường “thông tin” tiết lộ thông tin về thói quen cá nhân và mật khẩu của người dùng không?
Đây không phải là một khả năng lý thuyết. Từ
Active Directory có ACL riêng
Giao diện Người dùng và Máy tính AD cho phép bạn đặt quyền trên các đối tượng AD. AD có ACL và quản trị viên có thể cấp hoặc từ chối quyền truy cập thông qua chúng. Bạn cần nhấp vào "Nâng cao" trong menu ADUC View và sau đó khi mở người dùng, bạn sẽ thấy tab "Bảo mật" nơi bạn đặt ACL.
Trong kịch bản Cruella của tôi, tôi không muốn tất cả Người dùng được xác thực có thể xem thông tin cá nhân của cô ấy, vì vậy tôi đã từ chối quyền truy cập đọc của họ:
Và bây giờ người dùng bình thường sẽ thấy điều này nếu họ thử Get-NetUser trong PowerView:
Tôi đã cố gắng che giấu những thông tin rõ ràng là hữu ích khỏi những con mắt tò mò. Để giúp những người dùng có liên quan có thể truy cập được, tôi đã tạo một ACL khác để cho phép các thành viên của nhóm VIP (Cruella và các đồng nghiệp cấp cao khác của cô ấy) truy cập vào dữ liệu nhạy cảm này. Nói cách khác, tôi đã triển khai các quyền AD dựa trên mô hình vai trò, khiến hầu hết nhân viên, kể cả Người trong cuộc, không thể truy cập được dữ liệu nhạy cảm.
Tuy nhiên, bạn có thể ẩn thành viên nhóm đối với người dùng bằng cách đặt ACL trên đối tượng nhóm trong AD tương ứng. Điều này sẽ giúp ích về mặt riêng tư và bảo mật.
trong mình
Tôi đã có thể che giấu tư cách thành viên của Cruella và Monty Burns trong nhóm VIP, gây khó khăn cho tin tặc và người trong cuộc trong việc dò tìm cơ sở hạ tầng.
Bài đăng này nhằm mục đích thúc đẩy bạn xem xét kỹ hơn các lĩnh vực
AD và các quyền liên quan. AD là một nguồn tài nguyên tuyệt vời, nhưng hãy nghĩ xem bạn sẽ làm thế nào
muốn chia sẻ thông tin bí mật và dữ liệu cá nhân, đặc biệt là
khi nói đến các quan chức hàng đầu của tổ chức của bạn.
Nguồn: www.habr.com