현재 위치: WiKi Security Spirit » Business Certifications » powershell_script를_이용하여_active_directory의_비정상적_계정_조회_uac_flag

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
wiki_security_corp:powershell_script를_이용하여_active_directory의_비정상적_계정_조회_uac_flag [2015/03/22 10:26] wiki1122wiki_security_corp:powershell_script를_이용하여_active_directory의_비정상적_계정_조회_uac_flag [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 1: 줄 1:
 {{keywords>Active, Directory, AD, Domain, Controller, 모의해킹, 침투테스트, penetration,test,진단, AD, 계정, Userobject,attribute,속성,powershell,script, 계정관리, 설계, password,패스워드, 계정속성,값, 엑셀,비정상적,badpwdcount,lastlogoff,no,never,required,model, User Account Control,uac}} {{keywords>Active, Directory, AD, Domain, Controller, 모의해킹, 침투테스트, penetration,test,진단, AD, 계정, Userobject,attribute,속성,powershell,script, 계정관리, 설계, password,패스워드, 계정속성,값, 엑셀,비정상적,badpwdcount,lastlogoff,no,never,required,model, User Account Control,uac}}
 +
 +* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) [[info@wikisecurity.net]] 
  
 고객사로부터 자사의 AD보안정책에 대한 컨설팅 의뢰가 있었다. 고객사로부터 자사의 AD보안정책에 대한 컨설팅 의뢰가 있었다.
  
-AD보안정책은 AD의 설계 부터 계정관리에 이르기 까지 다양한 관점에서 볼수 있겠지만,총 계정의 수가 10만개가 넘는 대규모라서, +AD보안정책은 AD의 설계 부터 계정관리에 이르기 까지 다양한 관점에서 볼수 있겠지만, 총 계정의 수가 10만개가 넘는 대규모라서, 이번 컨설팅에서는 최근의 이슈인 비정상적인 계정을 파악하여 개선방안을 제시하는데 주력하였다. \\
-이번 컨설팅에서는 최근의 이슈인 비정상적인 계정을 파악하여 개선방안을 제시하는데 주력하였다.+
 예를 들면, \\ 예를 들면, \\
 - badpwdcount 속성값이 현저하게 높은 계정 \\ - badpwdcount 속성값이 현저하게 높은 계정 \\
줄 13: 줄 14:
 \\ \\
  
-다량의 계정속성 값을 조회하기 위하여 Powershell Script를 사용하여 엑셀로 저장하여 다양한 관점에서 분석하게 되었는데, +다량의 계정속성 값을 조회하기 위하여 Powershell Script를 사용하여 엑셀로 저장하여 다양한 관점에서 분석하게 되었는데, 여기에서는 계정속성 값 중에서 UAC(User Account Control) 조회할때 유의해야 하는 사항을 중심으로 작성해 보았다. \\
-여기에서는 계정속성 값 중에서 UAC(User Account Control) 조회할때 유의해야 하는 사항을 중심으로 작성해 보았다.+
  
 UAC의 대표적인 속성들은 다음과 같은 종류가 있다. \\ UAC의 대표적인 속성들은 다음과 같은 종류가 있다. \\
줄 24: 줄 24:
 - Smart card required for logon \\ - Smart card required for logon \\
  
-위의 속성 이외에도 여러가지가 있으며 실제 이 값들은 integer값으로 설정되어 있기 때문에 +위의 속성 이외에도 여러가지가 있으며 실제 이 값들은 integer값으로 설정되어 있기 때문에 Powershell script로 조회를 하려면 아래와 같은 flag table을 기준으로 script를 작성하는 것이 좋겠다. \\
-Powershell script로 조회를 하려면 아래와 같은 flag table을 기준으로 script를 작성하는 것이 좋겠다. \\+
  
-{{:wiki_security_corp:uac_flag_table.jpg?200|}} \\ +{{:wiki_security_corp:uac_flag_table.jpg?200&nolink|}} \\ 
-AD Domain controller에 로그인한 상태라면 AD module을 import해서 script가 좀더 단순하겠지만, 취약점 진단환경이라는 것이 그렇게 잘 협조가 되지 않기 때문에 +AD Domain controller에 로그인한 상태라면 AD module을 import해서 script가 좀더 단순하겠지만, 취약점 진단환경이라는 것이 그렇게 잘 협조가 되지 않기 때문에 AD Domain User 계정 하나만을 부여받은 상태에서 AD module 없이 작성된 script는 아래와 같이 좀 길어진다. \\
-AD Domain User 계정 하나만을 부여받은 상태에서 AD module 없이 작성된 script는 아래와 같이 좀 길어진다. \\+
  
 위의 그림에서와 같이 UAC flag값는 실제 10진수로 저장이 되어 있으나 이는 2의 제곱값과 동일하다. \\ 위의 그림에서와 같이 UAC flag값는 실제 10진수로 저장이 되어 있으나 이는 2의 제곱값과 동일하다. \\

추적: