DACL 쓰기

설명

소스 보안 주체에는 임의 액세스 제어 목록(DACL)의 대상 개체 권한을 변경할 권한이 있습니다. 이 때문에 소스가 스스로 추가적인 권한을 획득하거나 다른 사람에게 권한을 부여하여 궁극적으로 대상 개체를 침해할 수 있습니다.

악용

소스 보안 주체를 침해하는 공격자는 대상 개체의 보안 설명자를 편집하기만 하면 됩니다. "dsacls"와 같은 네이티브 Windows 명령, "Set-ACL"과 같은 PowerShell, "Active Directory 사용자 및 컴퓨터"와 같은 관리 도구 또는 PowerSploit와 같은 전용 해커 도구가 사용됩니다.

수정

소스 보안 주체에 대상 개체의 권한을 변경할 적법한 권한이 없는 경우, 이 권한을 제거해야 합니다.

대상 개체의 보안 설명자를 수정하는 방법:

  1. "Active Directory 사용자 및 컴퓨터"에서 개체를 마우스 오른쪽으로 클릭한 다음 속성 > 보안 > 고급을 선택합니다.

  2. 소스 보안 주체의 "권한 수정" 권한을 제거합니다.

참고: 개체는 Active Directory 트리에서 더 높은 수준의 개체로부터 이 권한을 상속할 수 있습니다.

참고 항목