탐지

컴퓨터 강화 GPO가 없는 도메인

medium

언어:

설명

Microsoft는 Active Directory 인프라에서 이전 버전 호환성을 유지하는 것을 강조합니다. 즉, 모든 강화된 기능을 활성화할 수 없다는 것을 의미합니다.

솔루션

강화 GPO를 사용하여 최소 권한 사용자를 보호합니다. 특히, 사용하지 않는 프로토콜을 중단하여 공격자가 이것을 악용하여 Active Directory에서 권한을 상승하지 못하도록 합니다.

참고 항목

"<:rm>[MS-NLMP] Session Security Details "<:rm>

MS09-001: SMB의 취약성으로 인해 원격 코드 실행이 허용될 수 있음

SMB1 사용 중지

null 세션과 사용자 열거에 대한 새로운 시각

MS15-011 - SMB MiTM 공격을 통한 Microsoft Windows 그룹 정책 실제 악용

2024년 PrintNightmare 실용 가이드

Credential Guard 개요

SMB NTLM 차단을 현재 Windows Insider에서 지원

Windows 인증의 진화

지표 세부 정보

이름: 컴퓨터 강화 GPO가 없는 도메인

코드명: C-GPO-HARDENING

심각도: Medium

유형: Active Directory Indicator of Exposure

Family: 정책 및 구성

MITRE ATT&CK 정보:

공격자가 알려진 도구

Unknown: WannaCry

Gentil Kiwi: mimikatz