GPO는 권한 상승된 권한을 가진 로컬 그룹에 권한 없는 ID를 할당합니다.
설명
그룹 정책 개체(GPO)를 사용하여 대상 그룹에 과도한 권한 또는 권한이 있는 경우 로컬 그룹에 멤버 자격을 추가하면 보안 위험이 발생할 수 있습니다. 이러한 위험을 완화하려면 로컬 관리자 또는 터미널 서버 액세스와 같은 로컬 그룹을 식별하는 것이 중요합니다. 여기서 인증된 사용자 또는 모든 사용자에게 GPO에 의해 액세스 권한이 부여됩니다.
공격자는 그룹 정책 설정에 대한 정보를 가져와 더 높은 수준의 액세스를 얻고, 도메인 내에서 보안 조치를 이해하고, 도메인 개체의 패턴을 식별하기 위해 악용될 수 있는 취약성을 파악하려고 시도할 수 있습니다. 이 정보는 대상 네트워크 내에서 악용할 잠재적 경로를 식별하거나 환경을 혼합하거나 조작할 기회를 찾는 등 후속 공격을 계획하는 데 사용할 수 있습니다.
사용자 영향
이러한 로컬 권한을 사용하는 사용자, 서비스 또는 애플리케이션이 작동을 중지할 수 있습니다.
구현
이 권장 사항은 GPO를 통해 상승된 권한을 부여받은 권한이 없는 사용자를 나열합니다.
할당된 각 그룹 멤버 자격을 신중하게 검토하고, 부여된 위험한 그룹 멤버 자격을 식별하고, 불필요하거나 과도한 사용자 권한을 제거하도록 GPO를 수정합니다.
GPO는 권한 없는 계정으로 수정할 수 있습니다.
설명
이 권장 사항은 표준 사용자가 수정할 수 있는 사용자 환경의 모든 그룹 정책 개체를 나열하며, 이로 인해 도메인이 손상될 수 있습니다.
공격자는 그룹 정책 설정에 대한 정보를 가져와 더 높은 수준의 액세스를 얻고, 도메인 내에서 보안 조치를 이해하고, 도메인 개체의 패턴을 식별하기 위해 악용될 수 있는 취약성을 파악하려고 시도할 수 있습니다. 이 정보는 대상 네트워크 내에서 악용할 잠재적 경로를 식별하거나 환경을 혼합하거나 조작할 기회를 찾는 등 후속 공격을 계획하는 데 사용할 수 있습니다.
사용자 영향
이러한 권한을 사용하는 사용자, 서비스 또는 애플리케이션이 작동을 중지할 수 있습니다.
구현
할당된 각 권한을 신중하게 검토하고, 부여된 위험한 권한을 식별하고, 불필요하거나 과도한 사용자 권한을 제거하도록 수정합니다.
GPO에서 찾을 수 있는 되돌릴 수 있는 암호
이 상태 권장 사항에는 암호 데이터가 포함된 환경의 그룹 정책 개체가 나열됩니다.
설명
이전에 GPP(그룹 정책 기본 설정)는 관리자가 도메인 정책에 포함된 자격 증명을 포함하도록 허용했습니다. 그러나 이 기능은 안전하지 않은 암호 저장과 관련된 보안 문제로 인해 MS14-025 릴리스와 함께 제거되었습니다. 이러한 자격 증명이 포함된 파일은 여전히 SYSVOL 폴더에 있을 수 있습니다. 즉, 모든 도메인 사용자가 공개적으로 사용 가능한 AES 키를 사용하여 파일에 액세스하고 암호를 해독할 수 있습니다.
악의적 사용자의 잠재적 악용을 방지하려면 포함된 자격 증명을 포함하는 기존 기본 설정을 제거하는 것이 좋습니다.
구현
암호 데이터가 포함된 기본 설정을 제거하려면 도메인 컨트롤러 또는 RSAT(원격 서버 관리 도구)가 설치된 클라이언트에서 GPMC(그룹 정책 관리 콘솔)를 사용합니다. 다음 단계에 따라 기본 설정을 제거할 수 있습니다.
GPMC에서 노출된 엔터티 탭에서 보고된 그룹 정책 엽니다.
암호 데이터가 포함된 기본 설정 구성으로 이동하고 개체를 삭제합니다. 적용 및 확인을 클릭하여 변경 내용을 저장합니다.
변경 내용이 클라이언트에 전파되도록 그룹 정책 새로 고침 주기를 기다립니다(일반적으로 최대 120분).
모든 클라이언트에 변경 내용이 적용되면 기본 설정을 삭제합니다.
필요에 따라 1~5단계를 반복하여 전체 환경을 클린.