소유

설명

소스 보안 주체가 대상 개체의 선언된 소유자입니다. 이것이 대상 개체를 생성했을 가능성이 크기 때문입니다. 소유자에게는 암시적 권한("읽기 제어" 및 "DACL 쓰기")이 있어 자신 또는 다른 누군가를 위해 더 많은 권한을 얻을 수 있고, 나아가 대상 개체를 침해할 수 있습니다.

악용

소스 보안 주체를 침해하는 공격자는 대상 개체의 보안 설명자를 편집하기만 하면 됩니다. "dsacls"와 같은 네이티브 Windows 명령, "Set-ACL"과 같은 PowerShell, "Active Directory 사용자 및 컴퓨터"와 같은 관리 도구 또는 PowerSploit와 같은 전용 해커 도구가 사용됩니다.

개체를 만들 때 낮은 수준의 권한 있는 사용자가 이를 만들어서 소유하는 경우, 권한 상승의 위험이 있습니다. 예를 들어 일반적인 기술 지원팀 기술자가 만든 개체가 더 높은 권한, 예를 들어 관리자로 상승합니다. 원래 소유자가 그대로 유지되며 새로 권한이 생긴 개체를 침해하여 그에 속한 권한을 유리하게 이용할 수 있습니다.

수정

소스 보안 주체가 대상 개체의 적법한 소유자가 아닌 경우, 반드시 변경해야 합니다.

대상 개체의 소유자를 변경하는 방법:

1. "Active Directory 사용자 및 컴퓨터"에서 속성 > 보안 > 고급을 마우스 오른쪽으로 클릭합니다.

2. 맨 위의 소유자 줄에서 변경을 클릭합니다.

가장 중요한 Active Directory 개체에 기본적으로 사용되는 안전한 대상 개체 소유자는 다음과 같습니다.

• 도메인 파티션의 개체: "관리자" 또는 "도메인 관리자"

• 구성 파티션의 개체: "엔터프라이즈 관리자"

• 스키마 파티션의 개체: "스키마 관리자"

참고 항목

• 키 자격 증명 추가

• 멤버 추가

• 작업 허용

• 위임 허용

• GPO에 속함

• DCSync

• 작업 허용 권한 부여

• SID 기록 있음

• 암시적 인수

• GPO 상속

• 연결된 GPO

• 멤버 관계

• 비밀번호 초기화

• RODC 관리

• DACL 쓰기

• 쓰기 소유자