보안 평가: 안전하지 않은 Kerberos 위임
Kerberos 위임이란?
Kerberos 위임은 애플리케이션이 원래 사용자를 대신하여 리소스에 액세스하기 위해 최종 사용자 액세스 자격 증명을 요청할 수 있도록 하는 위임 설정입니다.
안전하지 않은 Kerberos 위임은 조직에 어떤 위험을 초래하나요?
안전하지 않은 Kerberos 위임은 엔터티에 선택한 다른 서비스로 가장할 수 있는 기능을 제공합니다. 예를 들어 IIS 웹 사이트가 있고 애플리케이션 풀 계정이 제한되지 않은 위임으로 구성되었다고 상상해 보십시오. IIS 웹 사이트 사이트에는 네이티브 Kerberos 인증을 허용하는 Windows 인증도 사용하도록 설정되어 있으며, 사이트는 비즈니스 데이터에 백 엔드 SQL Server를 사용합니다. Do기본 관리 계정을 사용하여 IIS 웹 사이트로 이동하여 인증합니다. 제한되지 않은 위임을 사용하는 웹 사이트는 할 일기본 컨트롤러에서 SQL 서비스로 서비스 티켓을 가져와서 이름으로 가져올 수 있습니다.
Kerberos 위임의 기본 문제는 항상 올바른 작업을 수행하려면 애플리케이션을 신뢰해야 한다는 것입니다. 악의적인 행위자가 애플리케이션에서 잘못된 작업을 수행하도록 강제할 수 있습니다. 기본 관리자처럼 로그온한 경우 사이트에서 원하는 다른 서비스에 대한 티켓을 만들 수 있으며, 사용자 역할을 수행합니다기본 관리자. 예를 들어 사이트에서 할 일기본 컨트롤러를 선택하고 엔터프라이즈 관리 그룹을 변경할 수 있습니다. 마찬가지로, 사이트는 KRBTGT 계정의 해시를 획득하거나 인사부에서 흥미로운 파일을 다운로드할 수 있습니다. 위험은 분명하며 안전하지 않은 위임의 가능성은 거의 무한합니다.
다음은 다양한 위임 유형에 의해 발생하는 위험에 대한 설명입니다.
- 제한되지 않은 위임: 위임 항목 중 하나가 중요한 경우 모든 서비스를 남용할 수 있습니다.
- 제한된 위임: 위임 항목 중 하나가 중요한 경우 제한된 엔터티를 남용할 수 있습니다.
- RBCD(리소스 기반 제한 위임) : 엔터티 자체가 중요한 경우 리소스 기반 제한 엔터티를 남용할 수 있습니다.
이 보안 평가를 사용할 어떻게 할까요? 있나요?
권장되는 작업을 https://security.microsoft.com/securescore?viewid=actions 검토하여 비보안 Kerberos 위임에 대해 구성된 비기본 컨트롤러 엔터티를 검색합니다.
제약이 없는 특성을 제거하거나 보다 안전한 제한된 위임으로 변경하는 등 위험에 처한 사용자에 대해 적절한 조치를 취합니다.
참고 항목
평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.
수정
위임 유형에 적합한 수정을 사용합니다.
제한 없는 위임
위임을 사용하지 않도록 설정하거나 다음 KCD(Kerberos 제한 위임) 형식 중 하나를 사용합니다.
제한된 위임: 이 계정이 가장할 수 있는 서비스를 제한합니다.
지정한 서비스에 대한 위임의 경우 이 컴퓨터 신뢰를 선택합니다.
이 계정에서 위임된 자격 증명을 표시할 수 있는 서비스를 지정합니다.
리소스 기반 제한 위임: 이 계정을 가장할 수 있는 엔터티를 제한합니다.
리소스 기반 KCD는 PowerShell을 사용하여 구성됩니다. 가장하는 계정이 컴퓨터 계정인지 아니면 사용자 계정/서비스 계정인지에 따라 Set-ADComputer 또는 Set-ADUser cmdlet을 사용합니다.
제한된 위임
권장 사항에 나열된 중요한 사용자를 검토하고 영향을 받는 계정에서 위임된 자격 증명을 표시할 수 있는 서비스에서 사용자를 제거합니다.
RBCD(리소스 기반 제한 위임)
권장 사항에 나열된 중요한 사용자를 검토하고 리소스에서 제거합니다. RBCD 구성에 대한 자세한 내용은 Microsoft Entra Do기본 Services에서 Kerberos KCD(제한 위임) 구성을 참조하세요.