RODC 관리
설명
소스 보안 주체가 대상 읽기 전용 도메인 컨트롤러(RODC)의 "ManagedBy" 특성에 있습니다. 소스에 대상 RODC에 대한 관리 권한이 있음을 의미합니다.
RODC는 좀 더 보편적인 쓰기 가능한 도메인 컨트롤러보다 덜 중요하지만 여전히 공격자에게는 가치가 높은 표적입니다. RODC에서 자격 증명을 훔쳐 다른 시스템으로 다시 이동할 수 있기 때문입니다. 이것은 RODC 구성 내 강화 수준에 따라 다릅니다. 예를 들어, 동기화할 수 있는 암호를 포함한 개체 수가 대표적입니다.
악용
악용 방법은 "AdminTo" 관계의 악용 방법과 동일합니다.
소스 보안 주체를 침해한 공격자는 그 주체의 ID를 사용해 관리자 권한으로 대상 RODC에 원격으로 연결하여 명령을 실행할 수 있습니다. 이들은 이용 가능한 네이티브 프로토콜, 예를 들어 관리자 공유를 포함한 서버 메시지 블록(Server Message Block, SMB), 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP), Windows Management Instrumentation(WMI), 원격 절차 호출(Remote Procedure Call, RPC), Windows Remote Management (WinRM) 등을 악용할 수 있습니다.
공격자는 PsExec, 서비스, 예약된 작업, Invoke-Command 등의 네이티브 원격 관리 도구를 사용할 수도 있고 wmiexec, smbexec, Invoke-DCOM, SharpRDP 등과 같은 전문 해커 도구를 사용할 수도 있습니다.
공격의 최종 목표는 대상 RODC를 손상시키거나 mimikatz와 같은 자격 증명 덤핑 도구를 사용하여 더 많은 자격 증명과 비밀을 획득하여 다른 시스템으로 전환하는 것입니다.
수정
소스 보안 주체가 대상 읽기 전용 도메인 컨트롤러(RODC)의 적법한 관리자가 아닌 경우, 적절한 관리자로 바꿔야 합니다.
도메인 관리자는 보통 RODC를 관리하지 않으므로, 전용 "관리자" 설정을 이용해야 합니다. RODC는 트러스트 수준이 낮으며 권한 수준이 높은 도메인 관리자가 여기에서 인증하여 자신의 자격 증명을 노출해서는 안 되기 때문입니다.
따라서 Active Directory RODC 규칙에 따라 RODC의 적절한 "중간 수준" 관리자(예: 조직에 속한 지점의 IT 관리자)를 선택해야 합니다.
"ManagedBy" 특성을 변경하는 방법:
-
"Active Directory 사용자 및 컴퓨터"에서 RODC > 속성 > "ManagedBy" 탭을 선택합니다.
-
변경을 클릭합니다.
PowerShell에서 다음과 같은 명령을 실행할 수도 있습니다.
Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)
참고 항목