بررسی Object ها در Active Directory :

در این قسمت میخوایم اشیاء رو در اکتیو دایرکتوری بررسی کنیم (البته با کمی چاشنی امنیت)

اگر قسمت قبلو نخوندید پیشنهاد میکنم از این لینک اول اونو بخونید

Users :

کاربرها که جزو leaf object ها حساب میشن (چون هیچ شئی دیگه ای توش نمیتونه قرار بگیره) (یک مثال دیگه از leaf object همون ایمیله ، mailbox در micorosft exchange) ، به شئی یوزر چه چیز هایی تعلق میگیره ؟ GUID - security identifier (SID)- security principal ؛ شعی یوزر کلی attribute میتونه بگیره از قبیل :

display name, last login time, date of last password change, email address, account description, manager, address

نکته : کاربرا برای مهاجمین هدف خوبین چون حتی یک کاربر با پایین ترین سطح دسترسی هم میتونه یک دامین یا حتی یک forest رو enumerate بکنه

Contacts :

یک شئی هست برای نشون دادن مخاطب خارجی (external user) در اکتیو دایرکتوری ، با attribute های

 first name, last name, email address, telephone number

این ها هم leaf object هستن و فقط GUID دارن و security principals و SID ندارن

نکته : اونایی security principals و SID دارن که از لحظ امنیتی مهمن !

Printers :

یک شئی هست که اشاره داره به پرینتر واقعی ، مثل contact که در بالا گفتم اینم leaf object هست و security principal و SID نداره و فقط GUID داره ، attribute هاشم ایناست :

printer's name, driver information, port number

Computers : رسیدیم به یک شئی بسیار مهم ، به هر کامپیوتری که عضو شده باشه داخل شبکمون میگن ، کامپیوتر ها leaf object هستن (چیزی تو خودشون نمیتونن جا بدن) و هم security principals دارن هم SID و هم GUID

این شئی بسیار برای مهاجما هدف مناسبیه مخصوصا اگر یه ارتقا سطح دسترسی بشه گرفت (NT AUTHORITY\SYSTEM) و کامل دامین رو enumerate کرد

Shared Folders :

این شئی به یک Share Folder اشاره داره در یک کامپیوتری ، این شئی security principles و SID نداره ولی خب ب طبع GUID داره

این Share Folder سطح دسترسی های متنوعی میتونه داشته باشه ، یا رو همه بسته باشه ، یا به همه (همه میتونن دسترسی بگیرن حتی اون اکانتی که valid AD account نیست)، یا فقط احراز شده ها ( برای هر اکانت که احراز شده باشه حتی با حداقل دسترسی یا با حساب NT AUTHORITY\SYSTEM)

و اما attribute :

name, location on the system, security access rights

Groups :

گروه یک شئی Container هست چون میتونه سایر شئی ها مثل users و computers رو تو خودش داشته باشه یا حتی چندین گروه تو خودشون جا بدن

گروه ها هم security principals و SID و GUID دارن

از گروه های برای مدیریت سطح دسترسی استفاده میشه ، عین ویندوز کلاینت :

اگر ما بخوایم به کاربرها دسترسی به Remote Management بدیم فقط کافیه یه گروه بسازیم که این سطح دسترسی رو داشته باشه و اعضا عضوش باشن و اعضا این سطح دسترسی رو به ارث میبرن

nested groups یک چیز معمولیه که توی اکتیو دایرکتوری ما میبینیم ، وقتی گروهی عضو یه گروه دیگه باشه بهش میگن nested groups ، که ممکنه سطح دسترسی های اشتباهی رو بده ، ما از این (اشتباه) بعضی در فرایند تست نفوذ استفاده میکنیم ، و اما attribute ها :

name, description, membership

Organizational Units (OUs) :

یک فضا هست و امکان دسته بندی رو فراهم میکنه ، این شئی یک container هست و اشیاء دیگه داخلش قرار میگیرن ، هدف این شئی دسته بندی و اعمال خط مشی (policy) روی اونهاست

مثلا در یک سازمان یک OU میزنیم برای شاخه root اصلی و زیر شاخش برای کل دپارتمان ها یک OU میزاریم برای مثال HR - Marketing - Help Desk - Finance ، وقتی یک نفر سطح دسترسی ای در root OU داره و مثلا میتونه پسوردو root رو ریست بکنه ، میتونه پسورد های بقیه زیر شاخه هارم ریست بکنه

بیشتر کارایی OU ها برای مدیریت بیشتر هست (GPO) ، کارایی مثل ساخت و حذف یوزر ، ایجاد تغییر تو گروه ، مدیریت سطح دسترسی و خط مشی ها در GPO و..

Domain :

دامین اصلی ترین عضو اکتیو دایرکتوری ما هست و یک فضا بزرگه که همه چی داخل اونه ، Group - OU - Users و.. همه تو اونه، و تو مقاله قبل اشاره کردم که هر دامین دیتابیس و پالیسی های خودشو داره

Domain Controllers :

مهم ترین رکن هر دامین هستن ، مثل مغز دامین عمل میکنن و تمام Database و Object هایی ک صحبت کردیم این تو ثبت میشه و کامپیوترا میان پیش این و احراز میکنن و این DC ها هستن که دسترسی رو کنترل میکنن و میگن چه کامپیوتری به چه منبعی چقد دسترسی داشته باشه

Built-in :

یک container که Default groups رو نگه میداره در AD ، وقتی اکتیو دایرکتوری ساخته میشه این گروه ها ساخته میشن


یک سری از اشیا دیگه مانند Site - FSP و ...رو چون تو این مقاله بررسی کرده بودم دیگه نیاوردم اینجا

اگر هر سوالی بود در خدمتم ، پیروز باشید