언어:
컴퓨터에 로그인하는 사용자의 자격 증명은 메모리 내에 노출되는 경우가 많아 맬웨어가 도용하여 사용자를 가장할 가능성이 있습니다. 중요한 비즈니스 데이터에 대한 액세스 권한이 있는 권한 있는 사용자는 안전하고 신뢰할 수 있는 컴퓨터에만 연결하여 신원 도용 위험을 최소화해야 합니다. 이 규칙을 적용하기 위한 기술적 수단이 있으며 이 위험 노출 지표는 그러한 수단의 구현을 확인합니다.
공격자와 맬웨어가 권한 있는 ID와 해당 권한을 탈취하는 것을 더 어렵게 하기 위해 권한 있는 사용자는 신뢰할 수 있는 컴퓨터에만 연결해야 합니다. "계층 모델"을 사용하여 권한 있는 사용자와 신뢰할 수 있는 컴퓨터를 확인하고 나면 실수가 발생하더라도 일상적 작업 중에 권한 있는 사용자에 대한 로그온 제한이 적용되도록 기술적 조치를 구현해야 합니다.
사용자 권한: 배치 작업으로서 로그온 거부(SeDenyBatchLogonRight)
사용자 권한: 서비스로서 로그온 거부(SeDenyServiceLogonRight)
사용자 권한: 로컬로 로그온 거부(SeDenyInteractiveLogonRight)
사용자 권한: 원격 데스크톱 서비스를 통한 로그온 거부(SeDenyRemoteInteractiveLogonRight)
이름: 권한 있는 사용자의 로그온 제한
코드명: C-ADMIN-RESTRICT-AUTH
심각도: High
전술: TA0004
기술: T1078
Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound