쓰기 소유자
설명
소스 보안 주체에는 대상 개체의 소유자를 변경할 권한이 있으며, 여기에는 자신을 소유자로 지정하는 권한도 포함합니다. 소유자에게는 암시적 권한("읽기 제어" 및 "DACL 쓰기")이 있어 자신 또는 다른 누군가를 위해 더 많은 권한을 얻을 수 있고, 나아가 대상 개체를 침해할 수 있습니다.
자세한 정보는 소유 관계를 참조하십시오.
악용
소스 보안 주체를 침해하는 공격자는 "dsacls /takeownership"과 같은 네이티브 Windows 명령, "Set-ACL"과 같은 PowerShell, "Active Directory 사용자 및 컴퓨터"와 같은 관리 도구 또는 PowerSploit와 같은 전용 해커 도구를 사용하여 자신을 대상의 소유자로 지정할 수 있습니다.
그런 다음 유사한 방법을 사용하여 대상 개체의 보안 설명자를 편집할 수 있습니다.
수정
소스 보안 주체에 대상 개체의 소유자를 변경할 적법한 권한이 없는 경우, 이 권한을 제거해야 합니다.
대상 개체의 보안 설명자를 수정하는 방법:
-
"Active Directory 사용자 및 컴퓨터"에서 개체를 마우스 오른쪽으로 클릭하고 속성 > 보안 > 고급을 선택합니다.
-
소스 보안 주체의 "소유자 수정" 권한을 제거합니다.
참고: 개체는 Active Directory 트리에서 더 높은 수준의 개체로부터 이 권한을 상속할 수 있습니다.
참고 항목