컴퓨터를 도메인에 조인하도록 허용된 사용자

기본적으로 권한 있는 사용자나 권한이 없는 사용자는 도메인에 컴퓨터를 추가하고 Active Directory에서 새 컴퓨터 계정을 만들 수 있습니다. 이 컴퓨터에 중요한 정보가 있는 경우, 보안 위험을 초래할 수 있고 이 정보를 추가한 사용자가 그 정보에 대한 권한을 여전히 가진 상태여서 백도어가 만들어질 수 있습니다. 이 기능은 또한 취약성의 악용 과정을 단순화합니다(CVE-2021-42278 / CVE-2021-42287). 이 기능을 사용 중지하고, 이 기능을 사용하여 추가된 기존 컴퓨터의 유효성을 확인하는 것이 좋습니다.
sAMAccountName 가장​ 공격 지표는 공격을 탐지할 수 있지만, 문제를 수정하는 것을 대신할 수는 없습니다.

악명 높은 ms-DS-MachineAccountQuota 특성("MachineAccountQuota"라고도 함)의 기본값을 수정하여 지정된 관리자만 승인하도록 함으로써 누구든지 Active Directory 도메인에 컴퓨터를 조인할 수 없도록 합니다. 또한 일부 기존 컴퓨터가 승인되지 않은 수단을 통해 도메인에 추가되었을 수 있습니다. 이러한 경우에 이 컴퓨터를 다시 설치하고 조직의 Windows 마스터 파일을 다시 적용해야 할 수 있습니다. 비용이 많이 드는 작업일 수 있지만 이러한 컴퓨터로 인해 발생하는 위험을 고려하는 것이 중요합니다. 이 컴퓨터들은 적절한 보안 강화가 부족하거나 도메인을 공격에 취약하게 하는 숨겨진 백도어가 있을 수 있습니다.

이름: 컴퓨터를 도메인에 조인하도록 허용된 사용자

코드명: C-USERS-CAN-JOIN-COMPUTERS

심각도: Medium

유형: Active Directory Indicator of Exposure

Family: 정책 및 구성