보안 평가: 안전하지 않은 Kerberos 위임
Kerberos 위임이란?
Kerberos 위임은 애플리케이션이 원래 사용자를 대신하여 리소스에 액세스하기 위해 최종 사용자 액세스 자격 증명을 요청할 수 있도록 하는 위임 설정입니다.
안전하지 않은 Kerberos 위임이 organization 어떤 위험을 초래하나요?
안전하지 않은 Kerberos 위임은 엔터티에 선택한 다른 서비스로 가장할 수 있는 기능을 제공합니다. 예를 들어 IIS 웹 사이트가 있고 애플리케이션 풀 계정이 제한되지 않은 위임으로 구성되었다고 상상해 보십시오. 또한 IIS 웹 사이트 사이트에는 Windows 인증을 사용하도록 설정하여 네이티브 Kerberos 인증을 허용하고 사이트는 비즈니스 데이터에 백 엔드 SQL Server 사용합니다. 도메인 관리 계정을 사용하여 IIS 웹 사이트로 이동하여 인증합니다. 웹 사이트는 제한되지 않은 위임을 사용하여 도메인 컨트롤러에서 SQL 서비스로 서비스 티켓을 가져와서 사용자 이름으로 가져올 수 있습니다.
Kerberos 위임의 기본 문제는 항상 올바른 작업을 수행하려면 애플리케이션을 신뢰해야 한다는 것입니다. 악의적인 행위자가 애플리케이션에서 잘못된 작업을 수행하도록 강제할 수 있습니다. 도메인 관리자로 로그온한 경우 사이트에서 도메인 관리자 역할을 하면서 원하는 다른 서비스에 대한 티켓을 만들 수 있습니다. 예를 들어 사이트에서 도메인 컨트롤러를 선택하고 엔터프라이즈 관리 그룹을 변경할 수 있습니다. 마찬가지로 사이트에서 KRBTGT 계정의 해시를 획득하거나 인사부에서 흥미로운 파일을 다운로드할 수 있습니다. 위험은 분명하며 안전하지 않은 위임의 가능성은 거의 무한합니다.
다음은 다양한 위임 유형에 의해 발생하는 위험에 대한 설명입니다.
- 제한되지 않은 위임: 위임 항목 중 하나가 중요한 경우 모든 서비스를 남용할 수 있습니다.
- 제한된 위임: 위임 항목 중 하나가 중요한 경우 제한된 엔터티를 남용할 수 있습니다.
- 리소스 기반 RBCD(제한된 위임): 엔터티 자체가 중요한 경우 리소스 기반 제한된 엔터티를 남용할 수 있습니다.
이 보안 평가를 사용할 어떻게 할까요? 있나요?
에서 https://security.microsoft.com/securescore?viewid=actions 권장되는 작업을 검토하여 안전하지 않은 Kerberos 위임에 대해 구성된 비 도메인 컨트롤러 엔터티를 검색합니다.
비제한 특성을 제거하거나 보다 안전한 제한된 위임으로 변경하는 등 위험에 처한 사용자에 대해 적절한 조치를 취합니다.
참고
평가는 거의 실시간으로 업데이트되지만 점수와 상태는 24시간마다 업데이트됩니다. 영향을 받은 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.
수정
위임 유형에 적합한 수정을 사용합니다.
제한되지 않는 위임
위임을 사용하지 않도록 설정하거나 다음 KCD(Kerberos 제한 위임) 형식 중 하나를 사용합니다.
제한된 위임: 이 계정이 가장할 수 있는 서비스를 제한합니다.
지정한 서비스에 대한 위임용으로만 이 컴퓨터 트러스트를 선택합니다.
이 계정이 위임된 자격 증명을 표시할 수 있는 서비스를 지정합니다.
리소스 기반 제한된 위임: 이 계정을 가장할 수 있는 엔터티를 제한합니다.
리소스 기반 KCD는 PowerShell을 사용하여 구성됩니다. 가장 계정이 컴퓨터 계정인지 아니면 사용자 계정/서비스 계정인지에 따라 Set-ADComputer 또는 Set-ADUser cmdlet을 사용합니다.
제한 위임
권장 사항에 나열된 중요한 사용자를 검토하고 영향을 받는 계정이 위임된 자격 증명을 표시할 수 있는 서비스에서 사용자를 제거합니다.
RBCD(리소스 기반 제한 위임)
권장 사항에 나열된 중요한 사용자를 검토하고 리소스에서 제거합니다. RBCD 구성에 대한 자세한 내용은 Microsoft Entra Domain Services Kerberos 제한 위임(KCD) 구성을 참조하세요.