컴퓨터를 도메인에 조인하도록 허용된 사용자
medium
언어:
설명
기본적으로 권한 있는 사용자나 권한이 없는 사용자는 도메인에 컴퓨터를 추가하고 Active Directory에서 새 컴퓨터 계정을 만들 수 있습니다. 이 컴퓨터에 중요한 정보가 있는 경우, 보안 위험을 초래할 수 있고 이 정보를 추가한 사용자가 그 정보에 대한 권한을 여전히 가진 상태여서 백도어가 만들어질 수 있습니다. 이 기능은 또한 취약성의 악용 과정을 단순화합니다(CVE-2021-42278 / CVE-2021-42287). 이 기능을 사용 중지하고 이 기능을 사용하여 추가된 기존 컴퓨터를 검증하는 것이 좋습니다.
sAMAccountName 가장 공격 지표는 공격을 탐지하지만 문제를 수정하는 것을 대신할 수는 없습니다.
솔루션
보안을 보장하기 위해 권한이 있는 관리자만 Active Directory 도메인에 컴퓨터를 추가할 수 있는지 확인하는 것이 중요합니다. 또한 일부 기존 컴퓨터가 승인되지 않은 수단을 통해 도메인에 추가되었을 수 있습니다. 이러한 경우에 이 컴퓨터를 다시 설치하고 조직의 Windows 마스터 파일을 다시 적용해야 할 수 있습니다. 비용이 많이 드는 작업일 수 있지만 이러한 컴퓨터로 인해 발생하는 위험을 고려하는 것이 중요합니다. 이 컴퓨터들은 적절한 보안 강화가 부족하거나 도메인을 공격에 취약하게 하는 숨겨진 백도어가 있을 수 있습니다.