Evaluating SAMR Enumeration Exposure in Multi-Forest Active Directory

Abstract

Security Account Manager Remote (SAMR) loetlemist võib kasutada luuretehnikana Active Directory (AD) keskkondade vastu. Olemasolevad päringutööriistad toetavad vaid osa SAMR-protokolli kõigist võimalikest operatsioonidest ja ei paku piisavat tuge, et välja selgitada, kas AD-metsasisesed (inter-forest) usalduskonfiguratsioonid või juurdepääsu kontrollnimekirjade (Access Control List) seaded on piisavad metsadevahelise (cross-forest) andmelekkekoormuse maandamiseks. Põhjalik võrdlev analüüs üheksa avaliku SAMR-loendustööriista kohta toob need piirangud esile ja raamib käesoleva töö eesmärgid. Käesolev magistritöö tutvustab uut tööriista samr-enum — klientrakendust, mis realiseerib 65,2% SAMR-i loendusoperatsioonidest, mis on asjakohased kataloogiandmete tuvastamiseks, ja tagastab tulemuse piisava detailsusega. Tööriista on katsetatud mitmemetsa (multi-forest) laborikeskkonnas, milles oli kümneid tuhandeid kataloogiobjekte erinevate usaldus- ja ACL-konfiguratsioonidega. Katsed näitasid, et samr-enum järgib rangelt usalduse ulatust ja ACL-sid: metsaülese (forest-wide) autentimise puhul tagastas klient kõigi kasutaja- ja grupiobjektide täieliku loendi, samas kui selective authentication ilma Allow to authenticate õiguseta andis tühja tulemuse. Sama muster ilmnes atribuutide statistikas, kinnitades, et rakendus peegeldab täpselt nähtavuse piire, mida trust’i seaded ja ACL-id määravad. Eksperimentaallogid, protokollioperatsioonide numbrid (OpNum-id), edukate päringute arvud ja objektide koguhulgad on avaldatud kontrollimiseks projekti Git- Hubi lehel. Uuring pakub süsteemiadministraatoritele ja infoturbe spetsialistidele metoodikat ning töövahendit, millega hinnata, kuidas usalduse (trust) disain ja ACL-seadistuste muutmine mõjutavad andmete kättesaadavust SAMR-protokolli kaudu.