보안 평가: GPO에서 발견된 되돌릴 수 있는 암호
이 상태 권장 사항에는 암호 데이터가 포함된 환경의 모든 그룹 정책 개체가 나열됩니다.
암호 데이터를 포함하는 그룹 정책 개체가 위험할 수 있는 이유는 무엇인가요?
이전에 GPP(그룹 정책 기본 설정)는 관리자가 도메인 정책에 포함된 자격 증명을 포함하도록 허용했습니다. 그러나 암호의 안전하지 않은 스토리지와 관련된 보안 문제로 인해 MS14-025가 릴리스되면서 이 기능이 제거되었습니다. 그러나 이러한 자격 증명이 포함된 파일은 여전히 SYSVOL 폴더에 있을 수 있습니다. 즉, 도메인 사용자가 공개적으로 사용할 수 있는 AES 키를 사용하여 파일에 액세스하고 암호를 해독할 수 있습니다.
악의적 사용자가 악용하는 가능성을 방지하려면 포함된 자격 증명을 포함하는 기존 기본 설정을 제거하는 것이 좋습니다.
수정 단계
암호 데이터가 포함된 기본 설정을 제거하려면 도메인 컨트롤러 또는 RSAT(원격 서버 관리 도구)가 설치된 클라이언트에서 GPMC(그룹 정책 관리 콘솔)를 사용합니다. 다음 단계에 따라 기본 설정을 제거할 수 있습니다.
GPMC에서 노출된 엔터티 탭에서 보고된 그룹 정책을 엽니다.
암호 데이터가 포함된 기본 설정 구성으로 이동하고 개체를 삭제합니다. 적용 및 확인을 클릭하여 변경 내용을 저장합니다.
예시:
변경 내용이 클라이언트에 전파되도록 그룹 정책 새로 고침 주기를 기다립니다(일반적으로 최대 120분).
모든 클라이언트에 변경 내용을 적용한 후 기본 설정을 삭제합니다.
필요에 따라 1~5단계를 반복하여 전체 환경을 정리합니다.