차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판 이전 판 다음 판 | 이전 판 다음 판 양쪽 다음 판 | ||
wiki_security_corp:powershell_script를_이용하여_active_directory의_비정상적_계정_조회_uac_flag [2015/03/22 19:26] wiki1122 |
wiki_security_corp:powershell_script를_이용하여_active_directory의_비정상적_계정_조회_uac_flag [2015/04/13 11:28] wiki1122 |
||
---|---|---|---|
줄 1: | 줄 1: | ||
{{keywords>Active, Directory, AD, Domain, Controller, 모의해킹, 침투테스트, penetration,test,진단, AD, 계정, Userobject,attribute,속성,powershell,script, 계정관리, 설계, password,패스워드, 계정속성,값, 엑셀,비정상적,badpwdcount,lastlogoff,no,never,required,model, User Account Control,uac}} | {{keywords>Active, Directory, AD, Domain, Controller, 모의해킹, 침투테스트, penetration,test,진단, AD, 계정, Userobject,attribute,속성,powershell,script, 계정관리, 설계, password,패스워드, 계정속성,값, 엑셀,비정상적,badpwdcount,lastlogoff,no,never,required,model, User Account Control,uac}} | ||
+ | |||
+ | * 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) [[info@wikisecurity.net]] | ||
고객사로부터 자사의 AD보안정책에 대한 컨설팅 의뢰가 있었다. | 고객사로부터 자사의 AD보안정책에 대한 컨설팅 의뢰가 있었다. | ||
- | AD보안정책은 AD의 설계 부터 계정관리에 이르기 까지 다양한 관점에서 볼수 있겠지만,총 계정의 수가 10만개가 넘는 대규모라서, | + | AD보안정책은 AD의 설계 부터 계정관리에 이르기 까지 다양한 관점에서 볼수 있겠지만, 총 계정의 수가 10만개가 넘는 대규모라서, 이번 컨설팅에서는 최근의 이슈인 비정상적인 계정을 파악하여 개선방안을 제시하는데 주력하였다. \\ |
- | 이번 컨설팅에서는 최근의 이슈인 비정상적인 계정을 파악하여 개선방안을 제시하는데 주력하였다. | + | |
예를 들면, \\ | 예를 들면, \\ | ||
- badpwdcount 속성값이 현저하게 높은 계정 \\ | - badpwdcount 속성값이 현저하게 높은 계정 \\ | ||
줄 13: | 줄 14: | ||
\\ | \\ | ||
- | 다량의 계정속성 값을 조회하기 위하여 Powershell Script를 사용하여 엑셀로 저장하여 다양한 관점에서 분석하게 되었는데, | + | 다량의 계정속성 값을 조회하기 위하여 Powershell Script를 사용하여 엑셀로 저장하여 다양한 관점에서 분석하게 되었는데, 여기에서는 계정속성 값 중에서 UAC(User Account Control) 조회할때 유의해야 하는 사항을 중심으로 작성해 보았다. \\ |
- | 여기에서는 계정속성 값 중에서 UAC(User Account Control) 조회할때 유의해야 하는 사항을 중심으로 작성해 보았다. | + | |
UAC의 대표적인 속성들은 다음과 같은 종류가 있다. \\ | UAC의 대표적인 속성들은 다음과 같은 종류가 있다. \\ | ||
줄 24: | 줄 24: | ||
- Smart card required for logon \\ | - Smart card required for logon \\ | ||
- | 위의 속성 이외에도 여러가지가 있으며 실제 이 값들은 integer값으로 설정되어 있기 때문에 | + | 위의 속성 이외에도 여러가지가 있으며 실제 이 값들은 integer값으로 설정되어 있기 때문에 Powershell script로 조회를 하려면 아래와 같은 flag table을 기준으로 script를 작성하는 것이 좋겠다. \\ |
- | Powershell script로 조회를 하려면 아래와 같은 flag table을 기준으로 script를 작성하는 것이 좋겠다. \\ | + | |
{{:wiki_security_corp:uac_flag_table.jpg?200|}} \\ | {{:wiki_security_corp:uac_flag_table.jpg?200|}} \\ | ||
- | AD Domain controller에 로그인한 상태라면 AD module을 import해서 script가 좀더 단순하겠지만, 취약점 진단환경이라는 것이 그렇게 잘 협조가 되지 않기 때문에 | + | AD Domain controller에 로그인한 상태라면 AD module을 import해서 script가 좀더 단순하겠지만, 취약점 진단환경이라는 것이 그렇게 잘 협조가 되지 않기 때문에 AD Domain User 계정 하나만을 부여받은 상태에서 AD module 없이 작성된 script는 아래와 같이 좀 길어진다. \\ |
- | AD Domain User 계정 하나만을 부여받은 상태에서 AD module 없이 작성된 script는 아래와 같이 좀 길어진다. \\ | + | |
위의 그림에서와 같이 UAC flag값는 실제 10진수로 저장이 되어 있으나 이는 2의 제곱값과 동일하다. \\ | 위의 그림에서와 같이 UAC flag값는 실제 10진수로 저장이 되어 있으나 이는 2의 제곱값과 동일하다. \\ |