연결된 GPO

설명

소스 GPO가 도메인 또는 조직 구성 단위(OU)와 같이, 대상의 연결할 수 있는 컨테이너에 연결되어 있습니다. 이것은 소스 GPO가 대상에 포함된 장치와 사용자에 설정을 할당하고 여기에서 프로그램을 실행할 수 있음을 나타냅니다. 소스 GPO는 "GPO 상속" 관계를 통해 그 아래 컨테이너에 포함된 개체에도 적용됩니다.

궁극적으로 GPO는 자신이 적용되는 장치와 사용자를 침해할 수 있습니다.

악용

공격자는 다른 공격 관계를 통해 소스 GPO부터 침해해야 합니다.

그런 다음, 여러 가지 기술을 동원해 대상에 포함된 장치 및 사용자와 그 아래 항목에 악성 작업을 수행합니다. 예를 들면 다음과 같습니다.

• 적법한 "일회성 예약 작업"을 남용하여 장치에서 임의의 스크립트를 실행합니다.

• 모든 장치에 관리자 권한을 가진 새 로컬 사용자 추가

• MSI 프로그램 설치

• 방화벽 또는 바이러스 백신 사용 중지

• 추가 권한 부여

• 및 이외의 예가 있습니다.

공격자는 "그룹 정책 관리"와 같은 관리 도구나 PowerSploit와 같은 전용 해커 도구를 사용해 GPO의 내용을 편집하여 GPO를 수정할 수 있습니다.

수정

대부분의 경우, GPO를 연결할 수 있는 컨테이너에 연결하는 작업은 일반적이고 적법합니다. 그러나 이 연결로 인해 연결이 발생하는 위치와 그 아래 컨테이너의 공격 표면이 넓어질 수 있습니다.

따라서 위험을 완화하려면 GPO를 (가능하면 항상) 조직 구성 단위 계층 구조에서 가장 낮은 수준에 연결하는 것이 좋습니다.

또한 GPO를 다른 공격 관계에 노출하지 않으려면 공격자가 무단으로 수정할 수 없도록 보호해야 합니다.

참고 항목

• 키 자격 증명 추가

• 멤버 추가

• 작업 허용

• 위임 허용

• GPO에 속함

• DCSync

• 작업 허용 권한 부여

• SID 기록 있음

• 암시적 인수

• GPO 상속

• 멤버 관계

• 소유

• 비밀번호 초기화

• RODC 관리

• DACL 쓰기

• 쓰기 소유자