멤버 추가

설명

소스 보안 주체는 자기 자신(검증된 쓰기 권한) 또는 다른 누구라도(속성 쓰기 권한) 대상 그룹의 멤버에 추가하여 해당 그룹에 주어진 액세스 권한을 유리하게 이용할 수 있습니다.

이 작업을 수행하는 악의적인 보안 주체는 '멤버 관계' 공격 관계를 만들게 됩니다.

악용

소스 보안 주체를 침해하는 공격자는 '넷 그룹/도메인'과 같은 네이티브 Windows 명령, 'Add-ADGroupMember'와 같은 PowerShell, 'Active Directory 사용자 및 컴퓨터'와 같은 관리 도구 또는 PowerSploit와 같은 전용 해커 도구 등을 통해 대상 그룹의 '멤버' 특성을 편집하기만 하면 됩니다.

수정

소스 보안 주체에게 대상 그룹에 멤버를 추가할 권한이 필요하지 않은 경우, 이 권한을 반드시 제거해야 합니다.

대상 그룹의 보안 설명자를 수정하는 방법:

1. 'Active Directory 사용자 및 컴퓨터'에서 속성 > 보안을 마우스 오른쪽으로 클릭합니다.

2. '멤버 쓰기', '모든 속성 쓰기', '전체 제어', '모든 확인된 쓰기', '자신을 멤버로 추가/제거' 등의 권한을 제거합니다.

참고 항목

• 키 자격 증명 추가

• 작업 허용

• 위임 허용

• GPO에 속함

• DCSync

• 작업 허용 권한 부여

• SID 기록 있음

• 암시적 인수

• GPO 상속

• 연결된 GPO

• 멤버 관계

• 소유

• 비밀번호 초기화

• RODC 관리

• DACL 쓰기

• 쓰기 소유자