멤버 추가

설명

소스 보안 주체는 자기 자신(검증된 쓰기 권한) 또는 다른 누구라도(속성 쓰기 권한) 대상 그룹의 멤버에 추가하여 해당 그룹에 주어진 액세스 권한을 유리하게 이용할 수 있습니다.

이 작업을 수행하는 악의적인 보안 주체는 '멤버 관계' 공격 관계를 만들게 됩니다.

악용

소스 보안 주체를 침해하는 공격자는 '넷 그룹/도메인'과 같은 네이티브 Windows 명령, 'Add-ADGroupMember'와 같은 PowerShell, 'Active Directory 사용자 및 컴퓨터'와 같은 관리 도구나 PowerSploit와 같은 전용 해커 도구 등을 통해 대상 그룹의 '멤버' 특성을 편집하기만 하면 됩니다.

수정

소스 보안 주체에게 대상 그룹에 멤버를 추가할 권한이 필요하지 않은 경우, 이 권한을 반드시 제거해야 합니다.

대상 그룹의 보안 설명자를 수정하는 방법:

  1. 'Active Directory 사용자 및 컴퓨터'에서 속성 > 보안을 마우스 오른쪽으로 클릭합니다.

  2. '멤버 쓰기', '모든 속성 쓰기', '전체 제어', '모든 확인된 쓰기', '자신을 멤버로 추가/제거' 등의 권한을 제거합니다.

참고: 한 그룹은 Active Directory 트리에서 수준이 더 높은 개체로부터 권한을 상속할 수 있습니다.

참고 항목