작업 허용 권한 부여

설명

소스 보안 주체는 대상 컴퓨터와 관련하여 자신 또는 다른 누구에게 작업 허용 관계를 부여할 수 있습니다. 이렇게 하면 Kerberos RBCD 위임 공격을 통해 대상 컴퓨터가 완전히 침해되는 경우가 많습니다.

이것은 소스에 대상의 "msDS-AllowedToActOnBehalfOfOtherIdentity" 특성을 편집할 권한이 있기 때문에 가능합니다.

이 작업을 수행하는 악의적인 보안 주체는 "작업 허용" 공격 관계를 만들 수 있습니다.

악용

소스 보안 주체를 침해하는 공격자는 반드시 PowerShell을 사용하여 대상 컴퓨터의 msDS-AllowedToActOnBehalfOfOtherIdentity 특성을 편집해야 합니다(예: "Set-ADComputer <target> -PrincipalsAllowedToDelegateToAccount ...").

수정

여러 네이티브하게 권한이 있는 보안 주체가 기본적으로 이 권한을 소유합니다. 구체적으로 계정 운영자, 관리자, 도메인 관리자, 엔터프라이즈 관리자와 시스템 등이 이에 해당합니다. 이들 보안 주체는 합법적이며 수정하지 않아도 됩니다.

Kerberos RBCD는 컴퓨터의 관리자가 해당 컴퓨터에서 위임을 수행할 권한을 이 권한이 필요한 사용자 누구에게나 부여할 수 있도록 고안되었습니다. 이것은 도메인 관리자 수준의 권한이 필요한 다른 Kerberos 위임 모드와는 다릅니다. 이렇게 하면 낮은 수준의 관리자도 이러한 보안 설정을 직접 관리할 수 있습니다. 이것은 위임이라고 하는 원칙입니다. 이 경우, 관계는 합법적입니다.

단, 소스 보안 주체가 대상 컴퓨터의 적법한 관리자가 아닌 경우, 관계는 적법하지 않으며 이 권한을 반드시 제거해야 합니다.

대상 컴퓨터의 보안 설명자를 수정하는 방법:

  1. "Active Directory 사용자 및 컴퓨터"에서 속성 > 보안을 마우스 오른쪽으로 클릭합니다.

  2. 소스 보안 주체에게 부여된 권한을 제거합니다. "msDS-AllowedToActOnBehalfOfOtherIdentity 쓰기", "모든 속성 쓰기", "계정 제한 사항 쓰기", "전체 제어" 등의 권한을 검색합니다.

참고: 소스 보안 주체는 Active Directory 트리에서 더 높은 위치의 개체로부터 권한을 상속할 수 있습니다.

 

참고 항목