DACL 쓰기

설명

소스 보안 주체에는 임의 액세스 제어 목록(DACL)의 대상 개체 권한을 변경할 권한이 있습니다. 이 때문에 소스가 스스로 추가적인 권한을 획득하거나 다른 사람에게 권한을 부여하여 궁극적으로 대상 개체를 침해할 수 있습니다.

악용

소스 보안 주체를 침해하는 공격자는 대상 개체의 보안 설명자를 편집하기만 하면 됩니다. "dsacls"와 같은 네이티브 Windows 명령, "Set-ACL"과 같은 PowerShell, "Active Directory 사용자 및 컴퓨터"와 같은 관리 도구 또는 PowerSploit와 같은 전용 해커 도구가 사용됩니다.

수정

소스 보안 주체에 대상 개체의 권한을 변경할 적법한 권한이 없는 경우, 이 권한을 제거해야 합니다.

대상 개체의 보안 설명자를 수정하는 방법:

1. "Active Directory 사용자 및 컴퓨터"에서 개체를 마우스 오른쪽으로 클릭한 다음 속성 > 보안 > 고급을 선택합니다.

2. 소스 보안 주체의 "권한 수정" 권한을 제거합니다.

참고 항목

• 키 자격 증명 추가

• 멤버 추가

• 작업 허용

• 위임 허용

• GPO에 속함

• DCSync

• 작업 허용 권한 부여

• SID 기록 있음

• 암시적 인수

• GPO 상속

• 연결된 GPO

• 멤버 관계

• 소유

• 비밀번호 초기화

• RODC 관리

• 쓰기 소유자