Ich habe Penetrationstests mit
PowerView durchgeführt und Benutzerinformationen aus Active Directory (im Folgenden als AD bezeichnet) abgerufen. Zu dieser Zeit konzentrierte ich mich auf das Sammeln von Informationen zur Mitgliedschaft in Sicherheitsgruppen und verwendete diese Informationen dann, um im Netzwerk zu navigieren. In jedem Fall enthält AD vertrauliche Daten über Mitarbeiter. Einige von ihnen sollten wirklich nicht für jeden in der Organisation zugänglich sein. Tatsächlich gibt es auf Windows-Dateisystemen ein gleichwertiges
Problem mit "Jeder" , das auch von internen und externen Angreifern ausgenutzt werden kann.
Bevor wir uns jedoch mit Datenschutzproblemen befassen und erläutern, wie diese behoben werden können, werfen wir einen Blick auf die in AD gespeicherten Daten.
Active Directory ist Corporate Facebook
Aber in diesem Fall haben Sie sich bereits mit allen angefreundet! Möglicherweise erfahren Sie nichts über die Lieblingsfilme, -bücher und -restaurants Ihrer Kollegen, aber AD enthält vertrauliche Kontakte
Daten und andere Felder, die von Hackern und sogar Insidern ohne besondere technische Kenntnisse verwendet werden können.
Systemadministratoren sind natürlich mit dem folgenden Screenshot vertraut. Dies ist die ADUC-Benutzeroberfläche (Active Directory-Benutzer und -Computer), über die Benutzerinformationen installiert und bearbeitet und Benutzer den entsprechenden Gruppen zugewiesen werden.
AD enthält Felder mit dem Namen des Mitarbeiters, der Adresse und der Telefonnummer, sodass es wie ein Telefonverzeichnis aussieht. Aber es gibt noch viel mehr! Andere Registerkarten enthalten auch eine E-Mail-Adresse und eine Webadresse, einen direkten Vorgesetzten und Notizen.
Sollte jeder in der Organisation diese Informationen sehen, insbesondere in der
OSINT- Ära, wenn jedes neue Teil das Auffinden zusätzlicher Informationen noch einfacher macht?
Natürlich nicht! Das Problem verschärft sich, wenn allen Mitarbeitern Daten der Geschäftsleitung zur Verfügung stehen.
PowerView für alle
Hier kommt PowerView ins Spiel. Es bietet eine sehr praktische PowerShell-Oberfläche für die zugrunde liegenden (und verwirrenden) Win32-Funktionen, die auf AD zugreifen. Kurz gesagt:
Dies macht das Abrufen von AD-Feldern so einfach wie das Eingeben eines sehr kurzen Cmdlets.
Nehmen wir ein Beispiel für das Sammeln von Informationen über eine Mitarbeiterin von Cruella Deville, die eine der Führungspersönlichkeiten des Unternehmens ist. Verwenden Sie dazu das PowerView-Cmdlet get-NetUser:
Die Installation von PowerView ist kein ernstes Problem -
überzeugen Sie sich selbst auf der
Github- Seite. Noch wichtiger ist, dass Sie keine erhöhten Berechtigungen benötigen, um viele PowerView-Befehle auszuführen, z. B. get-NetUser. So kann ein motivierter, aber nicht sehr technisch versierter Mitarbeiter ohne großen Aufwand in AD stöbern.
Aus dem Screenshot oben geht hervor, dass der Insider schnell viel über Cruella lernen kann. Ist Ihnen auch aufgefallen, dass im Feld „Info“ Informationen zu den persönlichen Gewohnheiten und zum Passwort des Benutzers angezeigt werden?
Dies ist keine theoretische Wahrscheinlichkeit. Durch
Dialoge mit anderen Pentestern erfuhr ich, dass sie AD scannen, um unverschlüsselt nach Passwörtern zu suchen, und diese Versuche sind leider oft erfolgreich. Sie wissen, dass Unternehmen in Bezug auf Informationen in AD nachlässig sind, und wissen normalerweise nichts über das nächste Thema - Berechtigungen in AD.
Active Directory verfügt über eigene ACLs
Über die Benutzeroberfläche von AD Users and Computers können Sie Berechtigungen für AD-Objekte festlegen. Es gibt ACLs in AD, und Administratoren können den Zugriff über sie zuweisen oder verweigern. Sie müssen im Menü ADUC-Ansicht auf "Erweitert" klicken. Wenn Sie den Benutzer öffnen, wird die Registerkarte "Sicherheit" angezeigt, auf der Sie die ACL festlegen.
In meinem Skript mit Cruella wollte ich nicht, dass alle authentifizierten Benutzer ihre persönlichen Informationen sehen können. Deshalb habe ich ihnen den Lesezugriff verweigert:
Und jetzt sieht ein normaler Benutzer Folgendes, wenn er Get-NetUser in PowerView ausprobiert:
Es gelang mir, wissentlich nützliche Informationen vor neugierigen Blicken zu verbergen. Um es für relevante Benutzer zugänglich zu machen, habe ich eine weitere ACL erstellt, um VIP-Mitgliedern (Cruella und anderen hochrangigen Kollegen) den Zugriff auf diese sensiblen Daten zu ermöglichen. Mit anderen Worten, ich implementierte AD-Berechtigungen basierend auf dem Rollenmodell, wodurch den meisten Mitarbeitern, einschließlich Insidern, der Zugriff auf vertrauliche Daten verwehrt wurde.
Sie können die Gruppenmitgliedschaft jedoch für Benutzer unsichtbar machen, indem Sie die entsprechende ACL für das Gruppenobjekt in AD festlegen. Dies wird in Bezug auf Datenschutz und Sicherheit helfen.
In meiner
Serie epischer Pentests habe ich gezeigt, wie Sie durch das System navigieren können, indem Sie Gruppenmitgliedschaften mit PowerViews Get-NetGroupMember untersuchen. In meinem Szenario habe ich den Lesezugriff auf die Mitgliedschaft in einer bestimmten Gruppe eingeschränkt. Sie sehen das Ergebnis des Befehls vor und nach den Änderungen:
Es gelang mir, die Mitgliedschaft von Cruella und Monty Burns in der VIP-Gruppe zu verbergen, was die Erkundung der Infrastruktur durch Hacker und Insider erschwerte.
Dieser Beitrag sollte Sie motivieren, die Felder genauer zu studieren.
AD und verwandte Berechtigungen. AD ist eine großartige Ressource, aber denken Sie darüber nach, wie Sie es tun würden
wollte insbesondere vertrauliche Informationen und persönliche Daten teilen
wenn es um die ersten Personen Ihrer Organisation geht.