비밀번호 초기화

설명

소스 보안 주체가 대상의 비밀번호를 초기화할 수 있으며, 따라서 새로 특성이 부여된 비밀번호를 사용해 대상으로서 인증하여 대상의 권한을 유리하게 이용할 수 있습니다.

비밀번호를 초기화한다는 것은 현재 비밀번호를 아는 사용자가 수행할 수 있는 비밀번호 변경과는 다릅니다. 비밀번호 변경은 보통 비밀번호가 만료되면 발생합니다.

악용

소스 보안 주체를 침해하는 공격자는 "net user /domain"과 같은 네이티브 Windows 명령, "Set-ADAccountPassword -Reset"과 같은 PowerShell, "Active Directory 사용자 및 컴퓨터"와 같은 관리 도구 또는 PowerSploit와 같은 전용 해커 도구를 사용해 대상의 비밀번호를 초기화할 수 있습니다.

그런 다음 공격자는 새로 선택한 비밀번호를 가지고 적법한 인증 방식을 사용해 온전히 대상으로 가장하고 Active Directory 또는 표적 리소스에 인증하기만 하면 됩니다.

그러나 공격자는 대개 이전 비밀번호를 모르기 때문에 공격한 뒤에 비밀번호를 원래대로 되돌릴 수 없습니다. 따라서 이 공격은 대상 뒤의 적법한 사용자의 눈에 띌 때가 많고 특히 서비스 계정의 경우, 심하면 서비스 거부를 초래할 수도 있습니다.

수정

IT 관리자와 기술 지원팀 직원은 적법하게 비밀번호를 초기화할 수 있습니다. 하지만 이 작업을 각자 허용된 경계 내에서만 수행하게 하기 위해 적절한 위임을 마련해야 합니다.

또한, 계층화 모델에 따라 일반 사용자 대상의 기술 지원팀와 같이 낮은 수준의 직원이 높은 수준의 계정(예: 도메인 관리자) 비밀번호를 초기화하지 못하도록 해야 합니다. 이것은 권한 상승 기회이기 때문입니다.

대상의 보안 설명자를 수정하고 불법 권한을 제거하는 방법:

1. "Active Directory 사용자 및 컴퓨터"에서 속성 > 보안을 마우스 오른쪽으로 클릭합니다.

2. 소스 보안 주체의 "비밀번호 초기화" 권한을 제거합니다.

참고: 이 권한을 "비밀번호 변경"과 혼동하지 마십시오.

참고 항목

• 키 자격 증명 추가

• 멤버 추가

• 작업 허용

• 위임 허용

• GPO에 속함

• DCSync

• 작업 허용 권한 부여

• SID 기록 있음

• 암시적 인수

• GPO 상속

• 연결된 GPO

• 멤버 관계

• 소유

• RODC 관리

• DACL 쓰기

• 쓰기 소유자