차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판
이전 판
다음 판 양쪽 다음 판
wiki_security_corp:powershell_script를_이용하여_active_directory의_비정상적_계정_조회_uac_flag [2015/03/22 19:26]
wiki1122
wiki_security_corp:powershell_script를_이용하여_active_directory의_비정상적_계정_조회_uac_flag [2015/04/13 11:28]
wiki1122
줄 1: 줄 1:
 {{keywords>​Active,​ Directory, AD, Domain, Controller, 모의해킹,​ 침투테스트,​ penetration,​test,​진단,​ AD, 계정, Userobject,​attribute,​속성,​powershell,​script,​ 계정관리,​ 설계, password,​패스워드,​ 계정속성,​값,​ 엑셀,​비정상적,​badpwdcount,​lastlogoff,​no,​never,​required,​model,​ User Account Control,​uac}} {{keywords>​Active,​ Directory, AD, Domain, Controller, 모의해킹,​ 침투테스트,​ penetration,​test,​진단,​ AD, 계정, Userobject,​attribute,​속성,​powershell,​script,​ 계정관리,​ 설계, password,​패스워드,​ 계정속성,​값,​ 엑셀,​비정상적,​badpwdcount,​lastlogoff,​no,​never,​required,​model,​ User Account Control,​uac}}
 +
 +* 사업 등 관련 문의: T) 02-322-4688,​ F) 02-322-4646,​ E) [[info@wikisecurity.net]] ​
  
 고객사로부터 자사의 AD보안정책에 대한 컨설팅 의뢰가 있었다. 고객사로부터 자사의 AD보안정책에 대한 컨설팅 의뢰가 있었다.
  
-AD보안정책은 AD의 설계 부터 계정관리에 이르기 까지 다양한 관점에서 볼수 있겠지만,​총 계정의 수가 10만개가 넘는 대규모라서,​ +AD보안정책은 AD의 설계 부터 계정관리에 이르기 까지 다양한 관점에서 볼수 있겠지만,​ 총 계정의 수가 10만개가 넘는 대규모라서,​ 이번 컨설팅에서는 최근의 이슈인 비정상적인 계정을 파악하여 개선방안을 제시하는데 주력하였다. ​\\
-이번 컨설팅에서는 최근의 이슈인 비정상적인 계정을 파악하여 개선방안을 제시하는데 주력하였다.+
 예를 들면, \\ 예를 들면, \\
 - badpwdcount 속성값이 현저하게 높은 계정 \\ - badpwdcount 속성값이 현저하게 높은 계정 \\
줄 13: 줄 14:
 \\ \\
  
-다량의 계정속성 값을 조회하기 위하여 Powershell Script를 사용하여 엑셀로 저장하여 다양한 관점에서 분석하게 되었는데,​ +다량의 계정속성 값을 조회하기 위하여 Powershell Script를 사용하여 엑셀로 저장하여 다양한 관점에서 분석하게 되었는데,​ 여기에서는 계정속성 값 중에서 UAC(User Account Control) 조회할때 유의해야 하는 사항을 중심으로 작성해 보았다. ​\\
-여기에서는 계정속성 값 중에서 UAC(User Account Control) 조회할때 유의해야 하는 사항을 중심으로 작성해 보았다.+
  
 UAC의 대표적인 속성들은 다음과 같은 종류가 있다. \\ UAC의 대표적인 속성들은 다음과 같은 종류가 있다. \\
줄 24: 줄 24:
 - Smart card required for logon \\ - Smart card required for logon \\
  
-위의 속성 이외에도 여러가지가 있으며 실제 이 값들은 integer값으로 설정되어 있기 때문에 +위의 속성 이외에도 여러가지가 있으며 실제 이 값들은 integer값으로 설정되어 있기 때문에 Powershell script로 조회를 하려면 아래와 같은 flag table을 기준으로 script를 작성하는 것이 좋겠다. \\
-Powershell script로 조회를 하려면 아래와 같은 flag table을 기준으로 script를 작성하는 것이 좋겠다. \\+
  
 {{:​wiki_security_corp:​uac_flag_table.jpg?​200|}} \\ {{:​wiki_security_corp:​uac_flag_table.jpg?​200|}} \\
-AD Domain controller에 로그인한 상태라면 AD module을 import해서 script가 좀더 단순하겠지만,​ 취약점 진단환경이라는 것이 그렇게 잘 협조가 되지 않기 때문에 +AD Domain controller에 로그인한 상태라면 AD module을 import해서 script가 좀더 단순하겠지만,​ 취약점 진단환경이라는 것이 그렇게 잘 협조가 되지 않기 때문에 AD Domain User 계정 하나만을 부여받은 상태에서 AD module 없이 작성된 script는 아래와 같이 좀 길어진다. \\
-AD Domain User 계정 하나만을 부여받은 상태에서 AD module 없이 작성된 script는 아래와 같이 좀 길어진다. \\+
  
 위의 그림에서와 같이 UAC flag값는 실제 10진수로 저장이 되어 있으나 이는 2의 제곱값과 동일하다. \\ 위의 그림에서와 같이 UAC flag값는 실제 10진수로 저장이 되어 있으나 이는 2의 제곱값과 동일하다. \\