Содержание
Как узнать владельца домена (сайта)? Помощь и советы.
Действующим законодательством Российской Федерации установлено, что пользователи самостоятельно выбирают доменные имена и определяют порядок их использования. Они же несут ответственность за возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени, а также несут риск убытков, связанные с допущенными нарушениями.
Потребность узнать владельца домена, а вернее получить сведения об Администраторе доменного имени, может быть связана с различными жизненными обстоятельствами. Применительно к области юриспруденции и судопроизводства такая необходимость возникает в случаях:
- контент Интернет-сайта нарушает законные интересы правообладателя на объект авторского или смежного права;
- Интернет-сайт содержит клевету или информацию, порочащую честь, достоинство гражданина, деловую репутацию юридического лица, в том числе размещенную на тематических форумах на анонимной основе;
- факт регистрации доменного имени расценивается правообладателем как нарушение его прав на принадлежащий товарный знак, что в дальнейшем является предметом рассмотрения Суда по интеллектуальным правам;
- есть объективная необходимость удостовериться, что Администратором доменного имени является конкретное физическое или юридическое лицо.
В первых случаях установление Администратора доменного имени необходимо, поскольку доменное имя и содержание Интернет-сайта тесно взаимосвязаны. В подавляющем большинстве случаев лицо, зарегистрировавшее доменное имя, осуществляет наполнение контентом или администрирует содержимое интернет-сайта, соответственно, разрешение вышеуказанных юридических споров без его участия невозможно.
Самый простой и общедоступный технический способ получить первоначальные сведения об Администраторе доменного имени – это воспользоваться услугами сервиса Whois, который по запросу пользователя в графе «Person» отразит на латинице фамилию и имя Администратора либо наименование соответствующей организации в сокращенном виде.
Следует отметить, что отсутствие сведений о месте постоянной регистрации физического лица или сведений о месте нахождения организации, её идентификационном номере налогоплательщика, не позволит решить вышеобозначенные правовые задачи. В силу требований процессуального закона обращение в суд за защитой нарушенных прав без указания данных сведений повлечет отказ в принятии исковых требований к рассмотрению.
В ряде случаев, когда пользователь при регистрации доменного имени пожелает скрыть свои личные данные от третьих лиц, сервис Whois в результатах обработки запроса отразит статус «Private Person» (Частное лицо) без указания каких-либо идентифицирующих сведений.
Таким образом, применительно к сфере юриспруденции, сообщаемые техническими сервисами сведения носят лишь ориентирующих характер, и у заинтересованного в разрешении правового спора лица возникает необходимость получать развернутые сведения об Администраторе доменного имени. Как это можно сделать?
Среди сообщаемых по запросу сведений сервис Whois в обязательном порядке предоставляет данные о Регистраторе доменного имени, то есть о юридическом лице, уполномоченном на совершение регистрационных действий с доменными именами. Пункт 9.1.5 действующих «Правил регистрации доменных имен в доменах .RU и .РФ» предоставляет Регистратору право, но не обязывает сообщить информацию о полном наименовании администратора и его местонахождении по письменному мотивированному запросу третьих лиц, содержащему обязательство использовать полученную информацию исключительно для целей предъявления судебного иска. Таким образом, Регистратор в силу конструкции закона волен по своему внутреннему усмотрению как предоставить, так и отказать в сообщении запрашиваемых сведений.
Альтернативой отказу Регистратора являются запросы, направляемые правоохранительными органами РФ при проведении проверки сообщений о преступлении или оформление адвокатского запроса.
Согласно положению статьи 6.1. Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» адвокат уполномочен направлять адвокатский запрос по входящим в компетенцию организаций вопросам о предоставлении документов, необходимых для оказания квалифицированной юридической помощи. Закон гарантирует обязательность ответа на поступивший адвокатский запрос, а неправомерный отказ в предоставлении сведений и нарушение сроков её предоставления влечет для должностных лиц административную ответственность по статье 5.39 КоАП РФ. В тоже время профессиональный кодекс адвоката устанавливает, что направления адвокатского запроса предоставлено адвокатам исключительно с целью получения информации, носящей строго доказательственный характер, то есть для сбора определенных сведений, совокупность которых позволит обосновать позицию в интересах доверителя.
Принимая во внимание изложенные положения закона, наиболее эффективным методом получения сведений об Администраторе доменного имени является обращение к адвокату для оформления и направления соответствующего адвокатского запроса.
В случае необходимости получения сведений об Администраторе доменного имени, Вы можете обратиться по телефону (495) 646-86-11 в Адвокатское бюро «Домкины и партнеры» для получения соответствующей квалифицированной юридической помощи.
Узнать владельца сайта | Данные об администраторе домена
О сервисе
Ежедневно в сети публикуется огромное количество различной информации: изображения, тексты, видео и аудио контент. Нередко размещенная владельцем интернет-ресурса информация нарушает закон. Наиболее частыми нарушениями является нарушение авторских / исключительных прав на результаты интеллектуальной деятельности (дизайн, фотоизображения, литературные произведения, товарные знаки, персонажи и т.п.), информация, порочащая честь, достоинство и деловую репутацию, недобросовестная реклама, информация, необходимая для защиты прав потребителя (по делам, связанным с интернет-торговлей).
Для предъявления претензий и исков в связи с размещением информации в сети Интернет, необходимо определить надлежащее лицо, ответственное за нарушение.
В соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» владельцем сайта в сети «Интернет» является лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети «Интернет», в том числе порядок размещения информации на таком сайте. Сложившаяся судебная и правоприменительная практика исходит из того, что администратор домена обладает всем кругом полномочий по определению порядка использования сайта, и является надлежащим ответчиком по искам, связанным с размещением информации в сети интернет.
Проблема в том, что чаще всего домен оформлен на физическое лицо и информация об администраторе домена скрыта, вместо этого в открытых источниках указано только private person
Как узнать владельца сайта для предъявления иска в суд?
В соответствии с Правилами регистрации доменных имен в доменах . RU и .РФ, утвержденными Координационным центром национального домена сети Интернет, информацию об администраторе домена в данных зонах можно получить у регистратора доменных имен на основании адвокатского запроса для целей предъявления иска в суд.
Whois сервис «Вебджастис» позволяет за считанные минуты сформировать заявку на подготовку адвокатского запроса и совершить все необходимые действия для получения информации об администраторе домена. Ответ на адвокатский запрос регистратор направляет в течение месяца с момента получения запроса адвоката.
До оформления адвокатского запроса, при помощи Whois сервиса «Вебджастис» вы можете совершенно бесплатно получить онлайн информацию whois, включающую следующие данные:
- — информацию о дате регистрации и дате истечения срока его делегирования
- — открытую информацию о владельце домена (ФИО / Наименование)
- — наименование регистратора, зарегистрировавшего домен
- — IP адрес сайта, размещенного на домене
- — наименование хостинг-провайдера сайта
Срочное получение ответа об администраторе домена от регистратора
Некоторые регистраторы за дополнительную плату предоставляют ответы на адвокатские запросы в срочном порядке. В этом случае сведения о владельце сайта могут быть предоставлены адвокату всего за 2 часа. Сроки и стоимость предоставления срочного ответа на адвокатский запрос у разных регистраторов отличаются.
При ускоренном получении сведений о владельце домена регистратор предоставляет ответ в электронном виде, а позднее направляет адвокату ответ на бумажном носителе с подписью и печатью, либо направляет ответ в форме электронного документа, подписанного ЭЦП. При этом, как показывает практика, электронного ответа вполне достаточно чтобы подготовить и подать исковое заявление в суд.
Пять команд, которые злоумышленники используют для поиска администраторов домена в Active Directory | Владо Вайдич | AttivoTechBlogs
Цель этого блога — предоставить примеры команд, которые злоумышленники могут использовать для получения членов привилегированных групп в доменных службах Active Directory.
Обычно злоумышленники начинают атаку, чтобы получить контроль над компьютером, присоединенным к домену. Затем они ищут дополнительные учетные данные и используют эти новые учетные записи для запроса дополнительной информации к домену и продолжают атаку, пока не достигнут своих целей.
Учетные записи администратора домена — это учетные записи с наивысшими привилегиями в домене, поэтому они представляют наибольшую ценность для злоумышленников. Знание запросов для поиска этих учетных записей помогает защитникам обнаруживать такого рода действия по обнаружению в своих сетях.
Помогает то, что эти запросы обычно не наблюдаются в повседневной работе корпоративных сетей. Следовательно, их обнаружение является убедительным признаком злонамеренного поведения, которое специалисты по безопасности должны исследовать дальше.
Назначение администраторов домена
Учетные записи администраторов домена имеют полный доступ ко всем присоединенным к домену компьютерам, серверам и файловым ресурсам. Например, они могут изменять политики домена, изменять разрешения пользователей и добавлять новых пользователей.
Эти учетные записи получают свои привилегии, будучи членами встроенной группы безопасности «Администраторы домена».
После взлома учетной записи администратора домена злоумышленники могут зашифровать и получить выкуп или эксфильтрацию данных с компьютеров и серверов, присоединенных к домену.
Злоумышленники могут проникнуть в домен, перехватив учетные данные и другую информацию, что позволит им продолжить свою кампанию в случае обнаружения.
Если злоумышленники взломали учетную запись администратора домена, восстановление потребует перевода домена в автономный режим и сброса паролей для каждой учетной записи, что окажет значительное влияние на бизнес.
Команды для поиска администраторов домена
Доступ к объектам в Active Directory осуществляется с помощью облегченного протокола доступа к каталогам (LDAP) или интерфейсов службы Active Directory (ADSI) в Windows.
LDAP — это стандартный протокол для запроса информации, хранящейся в службе каталогов. Он не зависит от поставщика, поддерживается Active Directory и другими продуктами службы каталогов. Любой аутентифицированный пользователь в домене AD может выполнять запросы LDAP. ADSI — это набор интерфейсов Windows, которые позволяют выполнять общие административные задачи каталога, такие как добавление новых пользователей, управление принтерами и поиск ресурсов.
Вот примеры пяти команд Windows CLI для получения членов группы безопасности «Администраторы домена».
net.exe
net.exe — это собственный двоичный файл Windows, используемый для управления сетевыми ресурсами, и группа злоумышленников выполняет команду чаще всего. Команда «net group» добавляет, отображает или изменяет группы в доменах.
net group «администраторы домена» /domain
dsquery
Dsquery включен в пакет Windows Remote Server Administration Tools (RSAT).
Это набор инструментов, используемых для управления ролями и функциями, работающими на сервере Windows. В Windows 10 RSAT можно установить как пакет «Функции по запросу».
dsquery * -filter «(&(objectclass=group)(samaccountname=Администраторы домена))» -attr name samaccountname member
adfind
Adfind — популярный бесплатный инструмент запросов Active Directory, который также используется враждебными группами . Эта команда покажет членов группы администраторов домена.
adfind -f «&(objectcategory=group)(cn=Domain Admins)» member
Powershell
Псевдоним ADSISearcher разрешает доступ к пространству имен .NET ADSI в Powershell. Он ищет объекты, используя фильтры LDAP.
([ADSISearcher]”(distinguishedname=CN=domain admins,CN=Users,DC=
WMIC
Инструментарий управления Windows (WMI) управляет данными и операций в операционных системах Windows. WMIC — это интерфейс командной строки для WMI, предустановленный в Windows. Поставщик служб каталогов WMI зеркалирует классы и экземпляры из Active Directory в пространство имен WMI Lightweight Directory Access Protocol (LDAP).
wmic /NAMESPACE:\\root\directory\ldap ПУТЬ ds_group где «ds_samaccountname=’Администраторы домена’» Получить ds_member /Value
Существует много других способов выполнить разведку домена. Например, инструменты постэксплуатации, такие как Cobalt Strike или Metasploit, включают функции перечисления Active Directory.
Решение Attivo Networks ADSecure перехватывает эти и другие запросы, пытающиеся обнаружить AD. Он скрывает настоящие ответы и вставляет фиктивную информацию, такую как имена учетных записей. Это обеспечивает как возможность раннего обнаружения, так и неправильное направление вредоносной активности на учетные записи-приманки.
В будущих блогах мы планируем изучить методы и инструменты, которые злоумышленники используют для эксплуатации Active Directory. Ваши отзывы всегда приветствуются.
Методы идентификации привилегированных пользователей в Active Directory
В ИТ-среде учетные записи привилегированных пользователей — это те, которым предоставляется сравнительно больше привилегий или разрешений, чем обычной учетной записи пользователя. Любая вредоносная деятельность, преднамеренно или ошибочно осуществляемая под привилегированной учетной записью, может представлять угрозу для ИТ-безопасности. Для решения этой проблемы требуется систематический способ определения пользователей, имеющих привилегированный доступ, и отслеживания их действий.
Методы идентификации привилегированных пользователей
Следуйте этим методам, чтобы определить учетные записи привилегированных пользователей, чтобы вы могли легче подготовить стратегию аудита их действий.
1. Члены привилегированных групп
Active Directory имеет встроенные привилегированные группы для привилегированных учетных записей; это очевидное место для начала. Эти группы; «Администраторы», «Администраторы домена», «Администраторы предприятия», «Администраторы схемы», «Администраторы DNS» и «Владельцы-создатели групповой политики». Другими местами для поиска являются локальные группы администраторов в клиентских системах.
Некоторые из встроенных привилегированных групп могут находиться в контейнере «Встроенные», а другие — в контейнере «Пользователи». Привилегированная учетная запись «Администратор режима восстановления DS» не хранится в Active Directory.
Чтобы определить членов встроенных привилегированных групп Active Directory, выполните следующие действия:
- Откройте «Active Directory — пользователи и компьютеры» на контроллере домена.
- Выберите контейнер «Встроенный», щелкните правой кнопкой мыши любую из вышеперечисленных групп на правой панели и откройте окно «Свойства».
- Перейти на вкладку «Участники»; там вы увидите всех участников этой группы. Все являются привилегированными пользователями.
Примечание. Если вы просматриваете группу в контейнере «Пользователи», вам нужно будет выбрать эту группу на правой панели и щелкнуть ее правой кнопкой мыши на шаге 2.
На следующем изображении вы можете увидеть привилегированные учетные записи пользователей в группе «Администраторы»:
Рисунок 1: Привилегированные пользователи в группе «Администраторы»
В нашем случае, как вы можете видеть на изображении выше (Рисунок 1), группа «Администраторы» имеет много других групп в качестве членов . Они, в свою очередь, могут иметь в качестве членов другие группы и так далее. Пользователи, являющиеся членами таких групп, также являются привилегированными пользователями. Перемещаясь по вложенным элементам, вы откроете полный список членов группы.
Рисунок 2: Привилегированные пользователи во вложенных группах
2. Права на администрирование организационных единиц
Полномочия в родительских OU распространяются на дочерние организационные единицы, группы, пользователей и другие объекты. Таким образом, если пользователю предоставлен полный доступ к организационному подразделению, этот пользователь имеет привилегии, равные администратору. Например, если Пользователю 1 предоставлен «Полный доступ» к «Пользователям» (подразделение по умолчанию), то у Пользователя 1 больше привилегий, чем у Администратора домена.
Если «Все» имеют полный доступ к корневому «Встроенному», это означает, что каждый пользователь в вашей ИТ-инфраструктуре имеет права администратора домена.
Чтобы просмотреть разрешения для организационного подразделения, выполните следующие действия:
- Откройте «Пользователи и компьютеры Active Directory».
- Перейдите к любым организационным единицам, разрешения которых вы хотите видеть.
- Щелкните правой кнопкой мыши, чтобы открыть окно «Свойства», выберите вкладку «Безопасность».
- Нажмите «Дополнительно», чтобы подробно просмотреть все разрешения.
На следующем изображении показан список пользователей и объектов, которым делегированы разрешения на объект «Пользователи»:
Рисунок 3: Пользователи с делегированными разрешениями на OU
На этом изображении пользователь «Test2» и «Все» имеют полный доступ организационной единицы «Пользователи», контейнер по умолчанию. Точно так же вы можете проверить разрешения для всех организационных подразделений и подготовить список пользователей, которым делегированы разрешения.
3. Локальный администратор или другие пользователи с привилегиями, назначенными GPO
Вместо прямого привилегированного доступа в Active Directory некоторые учетные записи получают административные привилегии. Если у пользователя есть доступ к учетной записи локального администратора контроллера домена, то этот пользователь имеет права, эквивалентные администратору домена.
Вне Active Directory могут быть пользователи, которым были предоставлены права администратора через объекты групповой политики. Любой привилегированный пользователь или администратор может изменить «Конфигурацию компьютера», «Политики», «Параметры Windows», «Параметры безопасности», «Локальные политики», «Назначение прав пользователя», чтобы предоставить административные привилегии другим пользователям.
На Technet и других веб-сайтах доступны сторонние сценарии PowerShell, которые могут предоставить вам список пользователей с их правами. Рекомендуется использовать скрипт только из проверенного источника.
4. Пользователи, у которых есть полномочия на сброс паролей по сравнению с другими пользователями
Другой тип привилегированных пользователей — это те, у которых есть полномочия на сброс паролей других пользователей. Есть некоторые приложения, которые позволяют пользователю делегировать пароль другому пользователю. Если разрешение на сброс пароля делегировано через Active Directory, вам необходимо просмотреть разрешения учетной записи пользователя, чтобы проверить, какие другие пользователи имеют разрешение на сброс пароля.
Рис. 4: Пользователь с «Разрешением на сброс пароля»
На этом изображении «Пользователь2» имеет разрешение на «Сброс пароля» для «Пользователя1». Это означает, что «Пользователь2» может сбросить пароль от имени «Пользователь1».
Если вы используете программу для сброса паролей, создавайте периодические отчеты, чтобы показать, какие пользователи имеют разрешение на сброс паролей.
5. Пользователи, которым известны какие-либо привилегированные учетные записи служб
Привилегированные учетные записи служб, в том числе используемые для Exchange Server, SQL Server и для создания резервных копий, имеют определенный уровень повышенных привилегий на компьютерах, на которых используются эти учетные записи. Таким образом, если кто-то знает учетные данные привилегированной учетной записи, эта учетная запись службы может быть использована злонамеренно. Контроллеры домена подвергаются еще большему риску, поскольку неавторизованный пользователь может получить административный доступ к домену. Чтобы узнать, не злоупотребляет ли кто-то служебной учетной записью, вам придется проверять вход в систему каждой служебной учетной записи.
6. Пользователи с доступом на запись к объектам групповой политики, применяемым к важным компьютерам
Для любого компьютера в сети можно создать определенные групповые политики. Такие связанные с компьютером объекты групповой политики имеют решающее значение только для контроллеров домена и для тех компьютеров, на которых размещены серверные приложения с привилегированным доступом к домену. Если у пользователя есть права на запись в такие важные объекты групповой политики, то эта учетная запись пользователя также является привилегированным пользователем.
Выполните следующие действия, чтобы составить список этих пользователей:
- Откройте консоль «Управление групповыми политиками».
- Перейдите к объектам групповой политики на левой панели.
- Выберите объект групповой политики, привилегированных пользователей которого вы хотите видеть.
- Щелкните вкладку «Делегирование» на правой панели.
- Здесь вы можете увидеть всех привилегированных пользователей, которые имеют доступ на запись к объектам групповой политики с разным уровнем разрешений.
Рис. 5: Пользователи с правом записи в объекты групповой политики
На этом изображении «Пользователь 1» имеет права «Изменить настройки, удалить, изменить параметры безопасности», а «Пользователь 2» — права «Изменить настройки».
7. Пользователь, имеющий доступ к приложениям управления Active Directory
Многие организации используют сторонние решения по управлению Active Directory для упрощения и улучшения задач управления. В этих решениях либо используется учетная запись службы или прокси-сервера с привилегированным доступом для управления Active Directory, либо учетные записи пользователей, которым предоставлены повышенные привилегии каким-либо другим способом (например, членство во встроенной привилегированной группе или разрешения на основе подразделения). В зависимости от уровня делегирования получить контроль над такой учетной записью так же хорошо, как и быть администратором домена.
Чтобы узнать, у кого есть доступ к таким учетным записям, вам нужно будет зарегистрировать все соответствующие приложения в сети, а затем определить все учетные записи служб или прокси-серверов с привилегированным доступом, которые используют эти приложения. Вы можете включить групповую политику «Аудит доступа к службе каталогов», чтобы отслеживать, что делают эти учетные записи.
Что касается неправомерного использования самого решения для управления Active Directory, вам необходимо убедиться, что оно имеет встроенный контрольный журнал для отслеживания ненадлежащего использования.
8. Пользователи, имеющие доступ на уровне администратора к виртуальной инфраструктуре
Пользователи, управляющие виртуальными средами, в которых размещены контроллеры домена или рядовые серверы, имеют те же привилегии, что и пользователи с административным доступом к рабочим столам. Например, если вы управляете Hyper-V, члены локальной группы администраторов Hyper-V имеют доступ на уровне администратора к операционной системе хоста.
Вы должны определить, какие учетные записи имеют привилегированный доступ к вашей виртуальной инфраструктуре, либо проверив группы локальных администраторов на данном контроллере/сервере домена, либо выполнив поиск привилегированного доступа в самой виртуальной среде.
Чем помогает Lepide
Lepide Active Directory Auditor позволяет определить, кто является вашими привилегированными пользователями и что они делают. Знание того, кто является вашими привилегированными пользователями, — это первый шаг к защите вашей Active Directory от неправомерного использования привилегированных пользователей.