محمد حسن پزشکیان
عاشق امنیت و نفوذ ، رد تیم و دوستدار بزن بکش :)

معرفی انواع اشیاء ( Object ) ها در اکتیودایرکتوری

بررسی Object ها در Active Directory :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در این قسمت میخوایم اشیاء رو در اکتیو دایرکتوری بررسی کنیم (البته با کمی چاشنی امنیت)

اگر قسمت قبلو نخوندید پیشنهاد میکنم از این لینک اول اونو بخونید

Users :

کاربرها که جزو leaf object ها حساب میشن (چون هیچ شئی دیگه ای توش نمیتونه قرار بگیره) (یک مثال دیگه از leaf object همون ایمیله ، mailbox در micorosft exchange) ، به شئی یوزر چه چیز هایی تعلق میگیره ؟ GUID - security identifier (SID)- security principal ؛ شعی یوزر کلی attribute میتونه بگیره از قبیل :

display name, last login time, date of last password change, email address, account description, manager, address

نکته : کاربرا برای مهاجمین هدف خوبین چون حتی یک کاربر با پایین ترین سطح دسترسی هم میتونه یک دامین یا حتی یک forest رو enumerate بکنه

Contacts :

یک شئی هست برای نشون دادن مخاطب خارجی (external user) در اکتیو دایرکتوری ، با attribute های

 first name, last name, email address, telephone number

این ها هم leaf object هستن و فقط GUID دارن و security principals و SID ندارن

نکته : اونایی security principals و SID دارن که از لحظ امنیتی مهمن !

Printers :

یک شئی هست که اشاره داره به پرینتر واقعی ، مثل contact که در بالا گفتم اینم leaf object هست و security principal و SID نداره و فقط GUID داره ، attribute هاشم ایناست :

printer's name, driver information, port number

Computers : رسیدیم به یک شئی بسیار مهم ، به هر کامپیوتری که عضو شده باشه داخل شبکمون میگن ، کامپیوتر ها leaf object هستن (چیزی تو خودشون نمیتونن جا بدن) و هم security principals دارن هم SID و هم GUID

این شئی بسیار برای مهاجما هدف مناسبیه مخصوصا اگر یه ارتقا سطح دسترسی بشه گرفت (NT AUTHORITY\SYSTEM) و کامل دامین رو enumerate کرد

Shared Folders :

این شئی به یک Share Folder اشاره داره در یک کامپیوتری ، این شئی security principles و SID نداره ولی خب ب طبع GUID داره

این Share Folder سطح دسترسی های متنوعی میتونه داشته باشه ، یا رو همه بسته باشه ، یا به همه (همه میتونن دسترسی بگیرن حتی اون اکانتی که valid AD account نیست)، یا فقط احراز شده ها ( برای هر اکانت که احراز شده باشه حتی با حداقل دسترسی یا با حساب NT AUTHORITY\SYSTEM)

و اما attribute :

name, location on the system, security access rights

Groups :

گروه یک شئی Container هست چون میتونه سایر شئی ها مثل users و computers رو تو خودش داشته باشه یا حتی چندین گروه تو خودشون جا بدن

گروه ها هم security principals و SID و GUID دارن

از گروه های برای مدیریت سطح دسترسی استفاده میشه ، عین ویندوز کلاینت :

اگر ما بخوایم به کاربرها دسترسی به Remote Management بدیم فقط کافیه یه گروه بسازیم که این سطح دسترسی رو داشته باشه و اعضا عضوش باشن و اعضا این سطح دسترسی رو به ارث میبرن

nested groups یک چیز معمولیه که توی اکتیو دایرکتوری ما میبینیم ، وقتی گروهی عضو یه گروه دیگه باشه بهش میگن nested groups ، که ممکنه سطح دسترسی های اشتباهی رو بده ، ما از این (اشتباه) بعضی در فرایند تست نفوذ استفاده میکنیم ، و اما attribute ها :

name, description, membership

Organizational Units (OUs) :

یک فضا هست و امکان دسته بندی رو فراهم میکنه ، این شئی یک container هست و اشیاء دیگه داخلش قرار میگیرن ، هدف این شئی دسته بندی و اعمال خط مشی (policy) روی اونهاست

مثلا در یک سازمان یک OU میزنیم برای شاخه root اصلی و زیر شاخش برای کل دپارتمان ها یک OU میزاریم برای مثال HR - Marketing - Help Desk - Finance ، وقتی یک نفر سطح دسترسی ای در root OU داره و مثلا میتونه پسوردو root رو ریست بکنه ، میتونه پسورد های بقیه زیر شاخه هارم ریست بکنه

بیشتر کارایی OU ها برای مدیریت بیشتر هست (GPO) ، کارایی مثل ساخت و حذف یوزر ، ایجاد تغییر تو گروه ، مدیریت سطح دسترسی و خط مشی ها در GPO و..

Domain :

دامین اصلی ترین عضو اکتیو دایرکتوری ما هست و یک فضا بزرگه که همه چی داخل اونه ، Group - OU - Users و.. همه تو اونه، و تو مقاله قبل اشاره کردم که هر دامین دیتابیس و پالیسی های خودشو داره

Domain Controllers :

مهم ترین رکن هر دامین هستن ، مثل مغز دامین عمل میکنن و تمام Database و Object هایی ک صحبت کردیم این تو ثبت میشه و کامپیوترا میان پیش این و احراز میکنن و این DC ها هستن که دسترسی رو کنترل میکنن و میگن چه کامپیوتری به چه منبعی چقد دسترسی داشته باشه

Built-in :

یک container که Default groups رو نگه میداره در AD ، وقتی اکتیو دایرکتوری ساخته میشه این گروه ها ساخته میشن


یک سری از اشیا دیگه مانند Site - FSP و ...رو چون تو این مقاله بررسی کرده بودم دیگه نیاوردم اینجا

اگر هر سوالی بود در خدمتم ، پیروز باشید


محمد حسن پزشکیان
محمد حسن پزشکیان

عاشق امنیت و نفوذ ، رد تیم و دوستدار بزن بکش :)

کارشناس تست نفوذ سنجی ، علاقه مند به امنیت تهاجمی و رد تیمینگ | عضو انجمن بین المللی ورزش های رزمی کشور آلمان و دارای احکام بین المللی و داخلی کمربند مشکی در سبک های کیوکوشین ، هاپکیدو ، کیک بوکسینگ و چند تام قهرمانی کشوری

نظرات