Tôi đã thực hiện thử nghiệm thâm nhập bằng cách sử dụng và sử dụng nó để lấy thông tin người dùng từ Active Directory (sau đây gọi tắt là AD). Vào thời điểm đó, trọng tâm của tôi là thu thập thông tin thành viên nhóm bảo mật và sau đó sử dụng thông tin đó để điều hướng mạng. Dù bằng cách nào, AD chứa dữ liệu nhạy cảm của nhân viên, một số dữ liệu trong đó thực sự không thể truy cập được đối với mọi người trong tổ chức. Trên thực tế, trong các hệ thống tập tin Windows có một cách tương đương , cũng có thể được sử dụng bởi cả những kẻ tấn công bên trong và bên ngoài.
Nhưng trước khi nói về các vấn đề về quyền riêng tư và cách khắc phục chúng, hãy xem dữ liệu được lưu trữ trong AD.
Active Directory là Facebook của công ty
Nhưng trong trường hợp này, bạn đã kết bạn với mọi người rồi! Bạn có thể không biết về những bộ phim, cuốn sách hoặc nhà hàng yêu thích của đồng nghiệp nhưng AD chứa thông tin liên hệ nhạy cảm.
dữ liệu và các lĩnh vực khác có thể bị tin tặc và thậm chí cả người trong nội bộ sử dụng mà không có kỹ năng kỹ thuật đặc biệt.
Tất nhiên, quản trị viên hệ thống đã quen thuộc với ảnh chụp màn hình bên dưới. Đây là giao diện Người dùng và Máy tính Active Directory (ADUC) nơi họ đặt và chỉnh sửa thông tin người dùng cũng như chỉ định người dùng vào các nhóm thích hợp.
AD chứa các trường tên nhân viên, địa chỉ và số điện thoại nên nó tương tự như một danh bạ điện thoại. Nhưng còn nhiều hơn thế nữa! Các tab khác cũng bao gồm email và địa chỉ web, trình quản lý dòng và ghi chú.
Có phải mọi người trong tổ chức đều cần xem thông tin này, đặc biệt trong thời đại , khi mọi chi tiết mới đều khiến việc tìm kiếm thêm thông tin trở nên dễ dàng hơn?
Dĩ nhiên là không! Vấn đề trở nên phức tạp hơn khi dữ liệu từ ban lãnh đạo cấp cao của công ty được cung cấp cho tất cả nhân viên.
PowerView cho mọi người
Đây là lúc PowerView phát huy tác dụng. Nó cung cấp giao diện PowerShell rất thân thiện với người dùng cho các hàm Win32 cơ bản (và khó hiểu) truy cập AD. Nói ngắn gọn:
điều này làm cho việc truy xuất các trường AD dễ dàng như gõ một lệnh ghép ngắn rất ngắn.
Hãy lấy một ví dụ về việc thu thập thông tin về một nhân viên của Cruella Deville, một trong những người quản lý của công ty. Để thực hiện việc này, hãy sử dụng lệnh ghép ngắn PowerView get-NetUser:
Cài đặt PowerView không phải là một vấn đề nghiêm trọng - hãy tự mình xem trên trang . Và quan trọng hơn, bạn không cần đặc quyền nâng cao để chạy nhiều lệnh PowerView, chẳng hạn như get-NetUser. Bằng cách này, một nhân viên năng động nhưng không am hiểu nhiều về công nghệ có thể bắt đầu mày mò AD mà không cần nỗ lực nhiều.
Từ ảnh chụp màn hình ở trên, bạn có thể thấy rằng người trong cuộc có thể nhanh chóng tìm hiểu nhiều điều về Cruella. Bạn có nhận thấy rằng trường “thông tin” tiết lộ thông tin về thói quen cá nhân và mật khẩu của người dùng không?
Đây không phải là một khả năng lý thuyết. Từ Tôi được biết rằng họ quét AD để tìm mật khẩu văn bản gốc và rất tiếc những nỗ lực này thường không thành công. Họ biết rằng các công ty đang bất cẩn với thông tin trong AD và họ có xu hướng không biết đến chủ đề tiếp theo: quyền AD.
Active Directory có ACL riêng
Giao diện Người dùng và Máy tính AD cho phép bạn đặt quyền trên các đối tượng AD. AD có ACL và quản trị viên có thể cấp hoặc từ chối quyền truy cập thông qua chúng. Bạn cần nhấp vào "Nâng cao" trong menu ADUC View và sau đó khi mở người dùng, bạn sẽ thấy tab "Bảo mật" nơi bạn đặt ACL.
Trong kịch bản Cruella của tôi, tôi không muốn tất cả Người dùng được xác thực có thể xem thông tin cá nhân của cô ấy, vì vậy tôi đã từ chối quyền truy cập đọc của họ:
Và bây giờ người dùng bình thường sẽ thấy điều này nếu họ thử Get-NetUser trong PowerView:
Tôi đã cố gắng che giấu những thông tin rõ ràng là hữu ích khỏi những con mắt tò mò. Để giúp những người dùng có liên quan có thể truy cập được, tôi đã tạo một ACL khác để cho phép các thành viên của nhóm VIP (Cruella và các đồng nghiệp cấp cao khác của cô ấy) truy cập vào dữ liệu nhạy cảm này. Nói cách khác, tôi đã triển khai các quyền AD dựa trên mô hình vai trò, khiến hầu hết nhân viên, kể cả Người trong cuộc, không thể truy cập được dữ liệu nhạy cảm.
Tuy nhiên, bạn có thể ẩn thành viên nhóm đối với người dùng bằng cách đặt ACL trên đối tượng nhóm trong AD tương ứng. Điều này sẽ giúp ích về mặt riêng tư và bảo mật.
trong mình Tôi đã chỉ ra cách bạn có thể điều hướng hệ thống bằng cách kiểm tra tư cách thành viên nhóm bằng cách sử dụng PowerViews Get-NetGroupMember. Trong tập lệnh của mình, tôi đã hạn chế quyền truy cập đọc đối với tư cách thành viên trong một nhóm cụ thể. Bạn có thể xem kết quả chạy lệnh trước và sau khi thay đổi:
Tôi đã có thể che giấu tư cách thành viên của Cruella và Monty Burns trong nhóm VIP, gây khó khăn cho tin tặc và người trong cuộc trong việc dò tìm cơ sở hạ tầng.
Bài đăng này nhằm mục đích thúc đẩy bạn xem xét kỹ hơn các lĩnh vực
AD và các quyền liên quan. AD là một nguồn tài nguyên tuyệt vời, nhưng hãy nghĩ xem bạn sẽ làm thế nào
muốn chia sẻ thông tin bí mật và dữ liệu cá nhân, đặc biệt là
khi nói đến các quan chức hàng đầu của tổ chức của bạn.
Nguồn: www.habr.com