키 자격 증명 추가

설명

소스 보안 주체는 키 트러스트 계정 매핑(키 자격 증명 또는 "섀도 자격 증명"으로도 알려짐)을 악용하여 대상을 가장할 수 있습니다.

이것은 소스에 대상의 msDS-KeyCredentialLink 특성을 편집할 권한이 있기 때문에 가능합니다.

WHfB(Windows Hello for Business)는 보통 이 기능을 사용하지만, 이 기능을 사용하지 않더라도 공격자가 이를 악용할 수 있습니다.

악용

소스 보안 주체를 침해하는 공격자는 Whisker나 DSInternals와 같은 전문 해커 도구를 사용하여 대상 컴퓨터의 msDS-KeyCredentialLink 특성을 편집해야 합니다.

공격자의 목표는 이 대상의 특성에 새 인증서(자신이 이 특성의 비공개 키를 가지고 있음)를 추가하는 것입니다. 그러면 알려진 프라이빗 키를 사용하여 대상으로 인증할 수 있으며, 이 경우 Kerberos PKINIT 프로토콜을 사용하여 TGT를 획득합니다. 이 프로토콜은 공격자는 대상의 NTLM 해시를 가져올 수도 있습니다.

수정

여러 네이티브하게 권한이 있는 보안 주체가 기본적으로 이 권한을 소유합니다. 구체적으로 계정 운영자, 관리자, 도메인 관리자, 엔터프라이즈 관리자, 엔터프라이즈 키 관리자, 키 관리자와 시스템 등이 이에 해당합니다. 이와 같은 합법적인 보안 주체는 수정이 필요하지 않습니다.

이 특성을 수정할 적법한 이유가 없는 소스 보안 주체의 경우, 이 권한을 제거해야 합니다. "모든 속성 쓰기", "msDS-AllowedToActOnBehalfOfOtherIdentity 쓰기", "전체 제어" 등의 권한을 검색하십시오.

참고 항목

• 멤버 추가

• 작업 허용

• 위임 허용

• GPO에 속함

• DCSync

• 작업 허용 권한 부여

• SID 기록 있음

• 암시적 인수

• GPO 상속

• 연결된 GPO

• 멤버 관계

• 소유

• 비밀번호 초기화

• RODC 관리

• DACL 쓰기

• 쓰기 소유자