쓰기 소유자

설명

소스 보안 주체에는 대상 개체의 소유자를 변경할 권한이 있으며, 여기에는 자신을 소유자로 지정하는 권한도 포함합니다. 소유자에게는 암시적 권한("읽기 제어" 및 "DACL 쓰기")이 있어 자신 또는 다른 누군가를 위해 더 많은 권한을 얻을 수 있고, 나아가 대상 개체를 침해할 수 있습니다.

자세한 정보는 소유 관계를 참조하십시오.

악용

소스 보안 주체를 침해하는 공격자는 "dsacls /takeownership"과 같은 네이티브 Windows 명령, "Set-ACL"과 같은 PowerShell, "Active Directory 사용자 및 컴퓨터"와 같은 관리 도구 또는 PowerSploit와 같은 전용 해커 도구를 사용하여 자신을 대상의 소유자로 지정할 수 있습니다.

그런 다음 유사한 방법을 사용하여 대상 개체의 보안 설명자를 편집할 수 있습니다.

수정

소스 보안 주체에 대상 개체의 소유자를 변경할 적법한 권한이 없는 경우, 이 권한을 제거해야 합니다.

대상 개체의 보안 설명자를 수정하는 방법:

1. "Active Directory 사용자 및 컴퓨터"에서 개체를 마우스 오른쪽으로 클릭하고 속성 > 보안 > 고급을 선택합니다.

2. 소스 보안 주체의 "소유자 수정" 권한을 제거합니다.

참고: 개체는 Active Directory 트리에서 더 높은 수준의 개체로부터 이 권한을 상속할 수 있습니다.

참고 항목

• 키 자격 증명 추가

• 멤버 추가

• 작업 허용

• 위임 허용

• GPO에 속함

• DCSync

• 작업 허용 권한 부여

• SID 기록 있음

• 암시적 인수

• GPO 상속

• 연결된 GPO

• 멤버 관계

• 소유

• 비밀번호 초기화

• RODC 관리

• DACL 쓰기