Tenable Identity Exposure와 SYSVOL 강화 간섭

SYSVOL은 Active Directory 도메인의 각 도메인 컨트롤러(DC)에 있는 공유 폴더입니다. 그룹 정책(GPO)에 대한 폴더와 파일을 저장합니다. SYSVOL의 내용은 모든 DC에 복제되며 \\<example.com>\SYSVOL 또는 \\<DC_IP_or_FQDN>\SYSVOL과 같은 보편적 명명 규칙(UNC) 경로를 통해 액세스합니다.

SYSVOL 강화란 "UNC 강화 액세스", "강화 UNC 경로", "UNC 경로 강화" 또는 "강화 경로" 등으로도 알려진 UNC 강화 경로 매개 변수를 사용하는 것입니다. 이 기능은 그룹 정책의 MS15-011(KB 3000483) 취약성에 대응하기 위해 도입되었습니다. CIS 벤치마크와 같은 많은 사이버 보안 표준이 이 기능의 적용을 필수로 지정합니다.

SMB(서버 메시지 블록) 클라이언트에 이 강화 매개 변수를 적용하면 실제로 도메인 가입 시스템의 보안이 강화되어 SYSVOL에서 검색하는 GPO 콘텐츠가 네트워크의 공격자에 의해 변조되지 않습니다. 그러나 특정 상황에서 이 매개 변수는 Tenable Identity Exposure의 작업을 방해할 수도 있습니다.

강화된 UNC 경로가 Tenable Identity Exposure와 SYSVOL 공유 간의 연결을 방해하는 경우, 이 문제 해결 섹션의 안내를 따르십시오.

영향을 받는 환경

다음 Tenable Identity Exposure 배포 옵션에서 이 문제가 발생할 수 있습니다.

온프레미스
Secure Relay를 사용하는 SaaS

다음 배포 옵션은 영향을 받지 않습니다.

VPN을 사용하는 SaaS

SYSVOL 강화는 클라이언트 측 매개 변수입니다. 즉, 도메인 컨트롤러가 아닌 SYSVOL 공유에 연결되는 시스템에서 작동합니다.

Windows는 이 매개 변수를 기본적으로 사용으로 설정하며 Tenable Identity Exposure를 방해할 수 있습니다.

또한 일부 조직에서는 관련 GPO 설정을 사용하거나 해당 레지스트리 키를 직접 설정하여 이 매개 변수의 활성화를 보장하고 적용해야 합니다.

"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths"에서 UNC 강화 경로와 관련된 레지스트리 키를 찾을 수 있습니다.

"Computer Configuration/Administrative Templates/Network/Network Provider/Hardened UNC paths"에서 해당 GPO 설정을 찾을 수 있습니다.

SYSVOL 강화 적용은 SYSVOL을 참조하는 UNC 경로(예: "\\*\SYSVOL")에 "RequireMutualAuthentication" 및 "RequireIntegrity" 매개 변수가 "1" 값으로 설정된 경우 발생합니다.

SYSVOL 강화에 문제가 있다는 징후

SYSVOL 강화가 Tenable Identity Exposure를 방해한다는 의심되면 다음을 확인하십시오.

Tenable Identity Exposure에서 시스템 > 도메인 관리로 이동하여 각 도메인에 대한 LDAP 및 SYSVOL 초기화 상태를 확인합니다.

연결이 정상인 도메인은 녹색 지표로 표시되고 연결 문제가 있는 도메인은 무한히 계속되는 크롤링 지표가 표시될 수 있습니다.
Directory Listener 또는 Relay 시스템에서 로그 폴더 <Installation Folder>\DirectoryListener\logs를 엽니다.
Ceti 로그 파일을 열고 "SMB mapping creation failed" 또는 "Access is denied" 문자열을 검색합니다. 이 문구가 포함된 오류 로그는 UNC 강화가 Directory Listener 또는 Relay 시스템에 적용되었을 가능성이 있음을 나타냅니다.

수정 옵션

가능한 수정 옵션에는 Kerberos 인증으로 전환 또는 SYSVOL 강화 사용 중지, 두 가지가 있습니다.

SYSVOL 강화 사용 중지

Kerberos 인증으로 전환할 수 없는 경우, SYSVOL 강화를 사용 중지하는 옵션도 있습니다.

Windows는 기본적으로 SYSVOL 강화를 사용으로 설정하므로 레지스트리 키 또는 GPO 설정을 제거하는 것만으로는 충분하지 않습니다. 이 기능을 명시적으로 사용 중지하고 Directory Listener(온프레미스) 또는 Relay(Secure Relay를 사용하는 SaaS)를 호스팅하는 시스템에만 이 변경 사항을 적용해야 합니다. 이것은 다른 시스템에 영향을 미치지 않으며 도메인 컨트롤러 자체에서 SYSVOL 강화를 사용 중지할 필요가 없습니다.

Directory Listener(온프레미스) 또는 Relay(Secure Relay를 사용하는 SaaS)를 호스팅하는 시스템에서 사용되는 Tenable Identity Exposure 설치 프로그램은 이미 로컬에서 SYSVOL 강화를 사용 중지합니다. 그러나 사용자 환경의 GPO 또는 스크립트가 이 레지스트리 키를 제거하거나 덮어쓸 수 있습니다.

가능한 경우는 두 가지가 있습니다.

Directory Listener 또는 Relay 시스템이 도메인에 참가하지 않은 경우 - GPO를 사용하여 시스템을 구성할 수 없습니다. 레지스트리에서 SYSVOL 강화를 사용 중지해야 합니다(레지스트리 - GUI 또는 레지스트리 — PowerShell 참조).
Directory Listener 또는 Relay 시스템이 도메인에 참가한 경우(Tenable Identity Exposure에서 권장하지 않음) - 레지스트리에서(레지스트리 - GUI 또는 레지스트리 — PowerShell 참조) 직접 설정을 적용하거나 GPO를 사용하여 설정을 적용할 수 있습니다. 이러한 방법을 사용해서 GPO 또는 스크립트가 레지스트리 키를 덮어쓰지 않도록 해야 합니다. 다음 중 한 가지 방법으로 이 작업을 수행할 수 있습니다.
- 이 시스템에 적용되는 모든 GPO를 주의 깊게 검토합니다.
- 변경 사항을 적용하고 잠시 기다리거나 "gpupdate /force"를 사용하여 GPO 애플리케이션을 강제 실행하고 레지스트리 키가 해당 값을 유지하는지 확인합니다.

Directory Listener 또는 Relay 시스템을 다시 시작하고 나면 수정된 도메인의 크롤링 지표가 녹색 지표로 변경되어야 합니다.

레지스트리 - GUI

GUI를 사용하여 레지스트리에서 SYSVOL 강화를 사용 중지하는 방법:

관리자 권한으로 Directory Listener 또는 Relay 시스템에 연결합니다.
레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths로 이동합니다.
이 키가 아직 존재하지 않는 경우, 다음과 같이 "\\*\SYSVOL" 키를 만듭니다.
1. 오른쪽 창을 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 문자열 값을 선택합니다.
2. 이름 필드에 \\*\SYSVOL을 입력합니다.

"\\*\SYSVOL" 키(새로 만들었거나 이미 존재)를 두 번 클릭하여 문자열 편집 창을 엽니다.
값 데이터 필드에 RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0 값을 입력합니다.
저장을 클릭합니다.

결과는 다음과 같이 표시되어야 합니다.
시스템을 다시 시작합니다.

레지스트리 — PowerShell

PowerShell을 사용하여 레지스트리에서 SYSVOL 강화를 사용 중지하는 방법:

이 PowerShell 명령을 사용하여 참조할 UNC 강화 경로 레지스트리 키의 현재 값을 수집합니다.
복사
```
Get-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths"
```

권장 값을 설정합니다.

복사

New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" -Name "\\*\SYSVOL" -Value "RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0"

시스템을 다시 시작합니다.

GPO

필수 조건: 도메인에서 GPO를 만들고 Tenable Identity Exposure Directory Listener 또는 Relay 시스템이 있는 조직 단위에 연결할 권한이 있는 Active Directory 사용자로 연결해야 합니다.

GPO를 사용하여 SYSVOL 강화를 사용 중지하는 방법:

그룹 정책 관리 콘솔을 엽니다.
새 GPO를 만듭니다.
GPO를 편집하고 Computer Configuration/Administrative Templates/Network/Network Provider/Hardened UNC paths 위치로 이동합니다.
이 설정을 사용으로 설정하고 다음을 사용하여 새로운 강화 UNC 경로를 만듭니다.
- 값 이름 = \\*\SYSVOL
- 값 = RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0
결과는 다음과 같이 표시되어야 합니다.
확인을 클릭하여 확인합니다.
이 GPO를 Tenable Identity Exposure Directory Listener 또는 Relay 시스템이 있는 조직 구성 단위에 연결합니다. 또한, 보안 그룹 필터 GPO 기능을 사용하여 이 GPO가 이 시스템에만 적용되도록 할 수도 있습니다.

특정 UNC 경로 예외

이전 절차에서는 와일드카드 UNC 경로 "\\*\SYSVOL"을 사용하여 SYSVOL 강화를 사용 중지합니다. 특정 IP 주소 또는 FQDN에 대해서만 사용 중지할 수도 있습니다. 즉, “\\*\SYSVOL”에 대해 UNC 강화 경로 설정을 활성 상태(값 “1”)로 유지할 수 있고 Tenable Identity Exposure에 구성된 도메인 컨트롤러의 각 IP 주소 또는 FQDN에 상응하는 예외가 발생하게 됩니다.

다음 이미지는 Tenable Identity Exposure에서 구성한 도메인 컨트롤러인 "10.0.0.10" 및 "dc.lab.lan"을 제외한 모든 서버("*")에 대해 활성화된 SYSVOL 강화의 예시를 보여줍니다.

위에서 설명한 레지스트리 또는 GPO 방법을 사용하여 이러한 추가 설정을 추가할 수 있습니다.

참고: Tenable Identity Exposure에 구성된 정확한 값을 지정해야 합니다(예: Tenable Identity Exposure 구성에서 FQDN을 사용하는 경우 IP 주소를 지정할 수 없음). 또한 Tenable Identity Exposure 도메인 관리 페이지에서 IP 주소 또는 FQDN을 변경할 때마다 이 키를 업데이트해야 합니다.

SYSVOL 강화를 사용 중지하는 경우의 위험

SYSVOL 강화는 보안 기능이며 사용 중지하면 실질적 문제가 발생할 수 있습니다.

도메인에 참가하지 않은 시스템 - SYSVOL 강화를 사용 중지해도 위험이 없습니다. 이러한 시스템은 GPO를 적용하지 않기 때문에 실행하기 위해 SYSVOL 공유에서 콘텐츠를 가져오지 않습니다.

Tenable Identity Exposure에서 권장하지 않는, 도메인에 조인된 컴퓨터(디렉터리 수신기 또는 Relay 컴퓨터) — 디렉터리 수신기나 Relay 컴퓨터와 도메인 컨트롤러 사이에 "MitM(Man-in-the-Middle)" 상황의 공격자가 있을 잠재적 위험이 있는 경우, SYSVOL 강화를 사용 중지하면 위험합니다. 이 경우, Tenable Identity Exposure에서는 대신 Kerberos 인증으로 전환할 것을 권장합니다.

이 비활성화하는 범위는 Directory Listener 또는 Relay 시스템에만 적용되고 다른 도메인 컴퓨터에는 적용되지 않으며 도메인 컨트롤러에는 절대로 적용되지 않습니다.