자격 증명 도난에 취약한 계정Attractive Accounts for Credential Theft

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

자격 증명 도난 공격은 공격자가 처음에는 가장 높은 권한 (사용 중인 운영 체제에 따라 루트, 관리자 또는 시스템)을 네트워크의 컴퓨터에 액세스 한 다음 무료로 사용할 수 있는 도구를 사용 하 여 로그온 된 다른 계정의 세션에서 자격 증명을 추출 하는 것입니다.Credential theft attacks are those in which an attacker initially gains highest-privilege (root, Administrator, or SYSTEM, depending on the operating system in use) access to a computer on a network and then uses freely available tooling to extract credentials from the sessions of other logged-on accounts. 시스템 구성에 따라 이러한 자격 증명은 해시, 티켓으로 추출하거나 심지어 일반 텍스트 비밀번호의 형태로도 추출할 수 있습니다.Depending on the system configuration, these credentials can be extracted in the form of hashes, tickets, or even plaintext passwords. 수집 된 자격 증명이 네트워크 상의 다른 컴퓨터 (예: Windows의 관리자 계정 또는 OSX, UNIX 또는 Linux의 루트 계정)에 존재 하는 로컬 계정인 경우 공격자는 네트워크의 다른 컴퓨터에 자격 증명을 제공 하 여 추가 컴퓨터에 손상을 전파 하 고 두 가지 특정 유형의 자격 증명을 가져오려고 합니다. :If any of the harvested credentials are for local accounts that are likely to exist on other computers on the network (for example, Administrator accounts in Windows, or root accounts in OSX, UNIX, or Linux), the attacker presents the credentials to other computers on the network to propagate compromise to additional computers and to try to obtain the credentials of two specific types of accounts:

  1. 광범위 하 고 깊은 권한 (즉, 많은 컴퓨터와 Active Directory에 대 한 관리자 수준의 권한이 있는 계정)을 사용 하는 권한 있는 도메인 계정입니다.Privileged domain accounts with both broad and deep privileges (that is, accounts that have administrator-level privileges on many computers and in Active Directory). 이러한 계정은 Active Directory에서 가장 높은 권한 그룹의 구성원이 아닐 수 있지만 도메인 이나 포리스트의 많은 서버와 워크스테이션에서 관리자 수준 권한을 부여 받은 경우에는 Active Directory에서 권한 있는 그룹의 구성원으로 효과적으로 사용할 수 있습니다.These accounts may not be members of any of the highest-privilege groups in Active Directory, but they may have been granted Administrator-level privilege across many servers and workstations in the domain or forest, which makes them effectively as powerful as members of privileged groups in Active Directory. 대부분의 경우 Windows 인프라의 광범위 한 swaths에서 높은 수준의 권한을 부여 받은 계정은 서비스 계정 이기 때문에 서비스 계정에는 항상 광범위 하 고 권한의 깊이를 평가 해야 합니다.In most cases, accounts that have been granted high levels of privilege across broad swaths of the Windows infrastructure are service accounts, so service accounts should always be assessed for breadth and depth of privilege.

  2. "매우 중요 한 사용자" (VIP) 도메인 계정."Very Important Person" (VIP) domain accounts. 이 문서의 컨텍스트에서 VIP 계정은 공격자가 원하는 정보 (지적 재산 및 기타 중요 한 정보) 또는 공격자가 해당 정보에 대 한 액세스 권한을 부여 하는 데 사용할 수 있는 계정에 대 한 액세스 권한이 있는 모든 계정입니다.In the context of this document, a VIP account is any account that has access to information an attacker wants (intellectual property and other sensitive information), or any account that can be used to grant the attacker access to that information. 이러한 사용자 계정의 예는 다음과 같습니다.Examples of these user accounts include:

    1. 계정에 중요 한 회사 정보에 대 한 액세스 권한이 있는 임원Executives whose accounts have access to sensitive corporate information

    2. 임원에서 사용 하는 컴퓨터 및 응용 프로그램의 유지 관리를 담당 하는 지원 센터 직원을 위한 계정Accounts for Help Desk staff who are responsible for maintaining the computers and applications used by executives

    3. 조직의 입찰 및 계약 문서에 대 한 액세스 권한이 있는 법률 직원을 위한 계정 (문서가 자신의 조직 또는 클라이언트 조직을 위한 것인지 여부)Accounts for legal staff who have access to an organization's bid and contract documents, whether the documents are for their own organization or client organizations

    4. 회사에서 수행 하는 제품 유형에 관계 없이 회사 개발 파이프라인의 제품에 대 한 계획 및 사양에 대 한 액세스 권한이 있는 제품 계획자Product planners who have access to plans and specifications for products in an company's development pipeline, regardless of the types of products the company makes

    5. 연구 데이터, 제품 구문이 또는 공격자가 관심을 가지는 기타 연구에 액세스 하는 데 사용 되는 계정을 가진 연구원Researchers whose accounts are used to access study data, product formulations, or any other research of interest to an attacker

Active Directory의 높은 권한의 계정을 사용 하 여 손상 된 계정을 사용 하 고 VIP 계정이 나 액세스할 수 있는 데이터를 조작할 수 있기 때문에 자격 증명 도난 공격에 가장 유용한 계정은 Active Directory에서 Enterprise Admins, Domain Admins 및 Administrators 그룹의 구성원 인 계정입니다.Because highly privileged accounts in Active Directory can be used to propagate compromise and to manipulate VIP accounts or the data that they can access, the most useful accounts for credential theft attacks are accounts that are members of Enterprise Admins, Domain Admins, and Administrators groups in Active Directory.

도메인 컨트롤러는 AD DS 데이터베이스에 대 한 리포지토리입니다. 도메인 컨트롤러는 Active Directory의 모든 데이터에 대 한 전체 액세스 권한을 갖고 있으므로 도메인 컨트롤러는 자격 증명 도난 공격과 병렬로 또는 하나 이상의 높은 권한의 Active Directory 계정이 손상 된 후에도 손상 대상이 됩니다.Because domain controllers are the repositories for the AD DS database and domain controllers have full access to all of the data in Active Directory, domain controllers are also targeted for compromise, whether in parallel with credential theft attacks, or after one or more highly privileged Active Directory accounts have been compromised. 수많은 게시 (및 많은 공격자)가 도메인 관리자 그룹 멤버 자격에 초점을 맞춘 경우 ( Active Directory 공격 노출 영역 축소에 설명 된 대로), 여기에 나열 된 그룹의 멤버인 계정은 전체 AD DS 설치를 손상 시키는 데 사용할 수 있습니다.Although numerous publications (and many attackers) focus on the Domain Admins group memberships when describing pass-the-hash and other credential theft attacks (as is described in Reducing the Active Directory Attack Surface), an account that is a member of any of the groups listed here can be used to compromise the entire AD DS installation.

참고

패스-해시 및 기타 자격 증명 도난 공격에 대 한 포괄적인 정보는 부록 M: 문서 링크 및 권장 되는 읽기에 나열 된 PTH (Pass pass) 공격 및 기타 자격 증명 도난 기술 백서를 참조 하십시오.For comprehensive information about pass-the-hash and other credential theft attacks, please see the Mitigating Pass-the-Hash (PTH) Attacks and Other Credential Theft Techniques whitepaper listed in Appendix M: Document Links and Recommended Reading. "APTs (advanced persistent 악의적 사용자)" 라고도 하는 결정 된의 공격에 대 한 자세한 내용은 결정 된 악의적 사용자 및 목표 공격을 참조 하세요.For more information about attacks by determined adversaries, which are sometimes referred to as "advanced persistent threats" (APTs), please see Determined Adversaries and Targeted Attacks.

손상 가능성을 높이는 활동Activities that Increase the Likelihood of Compromise

자격 증명 도난 목표는 일반적으로 높은 권한의 도메인 계정 및 VIP 계정이 기 때문에 관리자는 자격 증명 도난 공격의 성공 가능성을 높이는 활동을 인식 하는 것이 중요 합니다.Because the target of credential theft is usually highly privileged domain accounts and VIP accounts, it is important for administrators to be conscious of activities that increase the likelihood of success of a credential-theft attack. 공격자는 VIP 계정도 대상으로 하지만, 시스템 또는 도메인에서 vip에 높은 수준의 권한이 부여 되지 않은 경우 자격 증명을 도용 하려면 비밀 정보를 제공 하는 VIP를 사회 공학적 엔지니어링 하는 등의 다른 유형의 공격이 필요 합니다.Although attackers also target VIP accounts, if VIPs are not given high levels of privilege on systems or in the domain, theft of their credentials requires other types of attacks, such as socially engineering the VIP to provide secret information. 또는 공격자가 먼저 VIP 자격 증명이 캐시 된 시스템에 대 한 권한 있는 액세스 권한을 얻어야 합니다.Or the attacker must first obtain privileged access to a system on which VIP credentials are cached. 이로 인해 여기서 설명 하는 자격 증명 도난 가능성을 높일 수 있는 활동은 매우 권한 있는 관리 자격 증명의 획득을 방지 하는 데 주로 초점을 맞추고 있습니다.Because of this, activities that increase the likelihood of credential theft described here are focused primarily on preventing the acquisition of highly privileged administrative credentials. 이러한 활동은 공격자가 권한 있는 자격 증명을 얻기 위해 시스템을 손상 시킬 수 있는 일반적인 메커니즘입니다.These activities are common mechanisms by which attackers are able to compromise systems to obtain privileged credentials.

권한 있는 계정을 사용 하 여 보안 되지 않은 컴퓨터에 로그온Logging on to Unsecured Computers with Privileged Accounts

자격 증명 도난 공격에 성공 하도록 허용 하는 핵심 취약점은 환경 전체에서 광범위 하 고 광범위 하 게 사용 되는 계정으로 안전 하지 않은 컴퓨터에 로그온 하는 행위입니다.The core vulnerability that allows credential theft attacks to succeed is the act of logging on to computers that are not secure with accounts that are broadly and deeply privileged throughout the environment. 이러한 로그온은 여기에 설명 된 다양 한 잘못 된 구성이 발생할 수 있습니다.These logons can be the result of various misconfigurations described here.

별도의 관리 자격 증명을 유지 하지 않음Not Maintaining Separate Administrative Credentials

이는 비교적 일반적이 지 않지만 다양 한 AD DS 설치를 평가 하는 경우 모든 작업에 대해 단일 계정을 사용 하는 IT 직원을 발견 했습니다.Although this is relatively uncommon, in assessing various AD DS installations, we have found IT employees using a single account for all of their work. 계정은 Active Directory에서 가장 높은 권한 있는 그룹 중 하나 이상의 멤버이 고 직원 들이 아침에 자신의 워크스테이션에 로그온 하는 데 사용 하는 것과 동일한 계정입니다. 전자 메일을 확인 하 고 인터넷 사이트를 찾아보고 콘텐츠를 컴퓨터에 다운로드 합니다.The account is a member of at least one of the most highly privileged groups in Active Directory and is the same account that the employees use to log on to their workstations in the morning, check their email, browse Internet sites, and download content to their computers. 로컬 관리자 권한 및 사용 권한이 부여 된 계정으로 사용자를 실행 하는 경우 로컬 컴퓨터를 노출 하 여 손상 됩니다.When users run with accounts that are granted local Administrator rights and permissions, they expose the local computer to complete compromise. 이러한 계정도 Active Directory에서 가장 권한 있는 그룹의 멤버 이기도 한 경우 전체 포리스트가 손상 될 수 있으므로 공격자가 Active Directory 및 Windows 환경을 완벽 하 게 제어할 수 있습니다.When those accounts are also members of the most privileged groups in Active Directory, they expose the entire forest to compromise, making it trivially easy for an attacker to gain complete control of the Active Directory and Windows environment.

마찬가지로, 일부 환경에서는 windows 환경에서 사용 되는 것과 같은 사용자 이름과 암호가 windows 환경에서 사용 되는 windows 환경에서 사용 되는 것으로 확인 되었습니다 .이 경우 공격자는 UNIX 또는 Linux 시스템에서 Windows 시스템으로의 손상을 확장할 수 있으며 그 반대의 경우도 마찬가지입니다.Similarly, in some environments, we've found that the same user names and passwords are used for root accounts on non-Windows computers as are used in the Windows environment, which allows attackers to extend compromise from UNIX or Linux systems to Windows systems and vice versa.

권한 있는 계정으로 손상 된 워크스테이션 또는 구성원 서버에 로그온Logons to Compromised Workstations or Member Servers with Privileged Accounts

권한이 높은 도메인 계정이 손상 된 워크스테이션 또는 구성원 서버에 대화형으로 로그온 하는 데 사용 되는 경우 손상 된 컴퓨터에서 시스템에 로그온 하는 모든 계정의 자격 증명을 수집할 수 있습니다.When a highly privileged domain account is used to log on interactively to a compromised workstation or member server, that compromised computer may harvest credentials from any account that logs on to the system.

보안 되지 않은 관리 워크스테이션Unsecured Administrative Workstations

많은 조직에서 IT 직원은 여러 계정을 사용 합니다.In many organizations, IT staff use multiple accounts. 직원의 워크스테이션에 로그온 하는 데 사용 되는 계정은 하나 이며, IT 직원은 워크스테이션에 대 한 로컬 관리자 권한이 있는 경우가 많습니다.One account is used for logon to the employee's workstation, and because these are IT staff, they often have local Administrator rights on their workstations. 경우에 따라 사용자가 최소한으로 로그온 할 때 분할 액세스 토큰을 받을 수 있도록 UAC를 사용 하도록 설정 하 고 권한이 필요할 때 권한을 상승 시켜야 합니다.In some cases, UAC is left enabled so that the user at least receives a split access token at logon and must elevate when privileges are required. 이러한 사용자가 유지 관리 작업을 수행 하는 경우 일반적으로 로컬로 설치 된 관리 도구를 사용 하 고 관리자 권한으로 실행 옵션을 선택 하거나 메시지가 표시 되 면 자격 증명을 제공 하 여 도메인 권한 계정에 대 한 자격 증명을 제공 합니다.When these users are performing maintenance activities, they typically use locally installed management tools and provide the credentials for their domain-privileged accounts, by selecting the Run as Administrator option or by providing the credentials when prompted. 이 구성은 적절 한 것 처럼 보일 수 있지만 다음과 같은 이유로 손상 시킬 환경을 노출 합니다.Although this configuration may seem appropriate, it exposes the environment to compromise because:

  • 직원이 자신의 워크스테이션에 로그온 하는 데 사용 하는 "일반" 사용자 계정에 로컬 관리자 권한이 있는 경우 컴퓨터는 사용자가 맬웨어를 설치 하도록 유도 하는 다운로드 공격에 취약 합니다.The "regular" user account that the employee uses to log on to their workstation has local Administrator rights, the computer is vulnerable to drive-by download attacks in which the user is convinced to install malware.

  • 맬웨어는 관리 계정의 컨텍스트에서 설치 되며, 이제 컴퓨터를 사용 하 여 키 입력, 클립보드 내용, 스크린샷 및 메모리 상주 자격 증명을 캡처할 수 있으며,이 경우에는 강력한 도메인 계정의 자격 증명이 노출 될 수 있습니다.The malware is installed in the context of an administrative account, the computer can now be used to capture keystrokes, clipboard contents, screenshots, and memory-resident credentials, any of which can result in exposure of the credentials of a powerful domain account.

이 시나리오의 문제는 두 가지입니다.The problems in this scenario are twofold. 첫째, 로컬 및 도메인 관리를 위해 별도의 계정이 사용 되지만 컴퓨터는 보안이 유지 되지 않으며 도난 으로부터 계정을 보호 하지 않습니다.First, although separate accounts are used for local and domain administration, the computer is unsecured and does not protect the accounts against theft. 둘째로, 일반 사용자 계정 및 관리자 계정에 과도 한 권한 및 사용 권한이 부여 되었습니다.Second, the regular user account and the administrative account have been granted excessive rights and permissions.

높은 권한의 계정을 사용 하 여 인터넷 검색Browsing the Internet with a Highly Privileged Account

컴퓨터에서 로컬 관리자 그룹의 구성원 이거나 Active Directory의 권한 있는 그룹의 구성원 인 계정을 사용 하 여 컴퓨터에 로그온 한 다음 인터넷 (또는 손상 된 인트라넷)을 검색 하는 사용자는 로컬 컴퓨터와 해당 디렉터리를 손상 시킬 수 있습니다.Users who log on to computers with accounts that are members of the local Administrators group on the computer, or members of privileged groups in Active Directory, and who then browse the Internet (or a compromised intranet) expose the local computer and the directory to compromise.

관리자 권한으로 실행 되는 브라우저를 사용 하 여 악의적으로 제작 된 웹 사이트에 액세스 하면 공격자가 권한 있는 사용자의 컨텍스트에서 로컬 컴퓨터에 악성 코드를 보관할 수 있습니다.Accessing a maliciously crafted website with a browser running with administrative privileges can allow an attacker to deposit malicious code on the local computer in the context of the privileged user. 사용자에 게 컴퓨터에 대 한 로컬 관리자 권한이 있는 경우 공격자는 사용자에 게 악성 코드를 다운로드 하거나 응용 프로그램 취약성을 활용 하는 전자 메일 첨부 파일을 열어서 사용자에 게 컴퓨터의 모든 활성 사용자에 대해 로컬로 캐시 된 자격 증명을 추출 하는 사용자의 권한을 활용할 수 있습니다.If the user has local Administrator rights on the computer, attackers may deceive the user into downloading malicious code or opening email attachments that leverage application vulnerabilities and leverage the user's privileges to extract locally cached credentials for all active users on the computer. 사용자가 Active Directory의 Enterprise Admins, Domain Admins 또는 Administrators 그룹의 멤버 자격을 통해 디렉터리에 대 한 관리 권한이 있는 경우 공격자는 도메인 자격 증명을 추출 하 여 포리스트의 다른 컴퓨터를 손상 시 키 지 않고도 도메인 자격 증명을 사용 하 여 전체 AD DS 도메인 이나 포리스트를 손상 시킬 수 있습니다.If the user has administrative rights in the directory by membership in the Enterprise Admins, Domain Admins, or Administrators groups in Active Directory, the attacker can extract the domain credentials and use them to compromise the entire AD DS domain or forest, without needing to compromise any other computer in the forest.

시스템 간에 동일한 자격 증명을 사용 하 여 로컬 권한 있는 계정 구성Configuring Local Privileged Accounts with the Same Credentials across Systems

여러 컴퓨터 또는 모든 컴퓨터에서 동일한 로컬 관리자 계정 이름 및 암호를 구성 하면 한 컴퓨터의 SAM 데이터베이스에서 도난당 한 자격 증명을 사용 하 여 동일한 자격 증명을 사용 하는 다른 모든 컴퓨터를 손상 시킬 수 있습니다.Configuring the same local Administrator account name and password on many or all computers enables credentials stolen from the SAM database on one computer to be used to compromise all other computers that use the same credentials. 최소한 각 도메인에 가입 된 시스템에서 로컬 관리자 계정에 대해 서로 다른 암호를 사용 해야 합니다.At a minimum, you should use different passwords for local Administrator accounts across each domain-joined system. 로컬 관리자 계정은 고유 하 게 이름이 지정 될 수도 있지만, 각 시스템의 권한 있는 로컬 계정에 대해 서로 다른 암호를 사용 하면 다른 시스템에서 자격 증명을 사용할 수 없게 됩니다.Local Administrator accounts may also be uniquely named, but using different passwords for each system's privileged local accounts is sufficient to ensure that credentials cannot be used on other systems.

권한 있는 도메인 그룹의 과도 한 채우기 및 과도 한Overpopulation and Overuse of Privileged Domain Groups

도메인에서 EA, DA 또는 BA 그룹의 멤버 자격을 부여 하면 공격자의 대상이 생성 됩니다.Granting membership in the EA, DA, or BA groups in a domain creates a target for attackers. 이러한 그룹의 구성원 수가 많을 수록 권한 있는 사용자가 실수로 자격 증명을 오용 하 고 자격 증명 도난 공격에 노출 시킬 가능성이 높아집니다.The greater the number of members of these groups, the greater the likelihood that a privileged user may inadvertently misuse the credentials and expose them to credential theft attacks. 권한 있는 도메인 사용자가 로그온 하는 모든 워크스테이션 또는 서버는 권한 있는 사용자의 자격 증명을 수집 하 여 AD DS 도메인 및 포리스트를 손상 시키는 데 사용할 수 있는 메커니즘을 제공 합니다.Every workstation or server to which a privileged domain user logs on presents a possible mechanism by which the privileged user's credentials may be harvested and used to compromise the AD DS domain and forest.

잘못 된 보안 도메인 컨트롤러Poorly Secured Domain Controllers

도메인 컨트롤러는 도메인 AD DS 데이터베이스의 복제본을 보관 합니다.Domain controllers house a replica of a domain's AD DS database. 읽기 전용 도메인 컨트롤러의 경우 데이터베이스의 로컬 복제본에는 디렉터리에 있는 계정의 하위 집합에 대 한 자격 증명만 포함 되며, 기본적으로 권한 있는 도메인 계정에는 포함 되지 않습니다.In the case of read-only domain controllers, the local replica of the database contains the credentials for only a subset of the accounts in the directory, none of which are privileged domain accounts by default. 읽기/쓰기 도메인 컨트롤러에서 각 도메인 컨트롤러는 도메인 관리자와 같은 권한 있는 사용자에 게는 자격 증명을 포함 하 여 AD DS 데이터베이스의 전체 복제본을 유지 관리 하지만 도메인 컨트롤러 계정 또는 도메인의 Krbtgt 계정 (예: 도메인 컨트롤러의 KDC 서비스와 연결 된 계정)과 같은 권한 있는 계정을 유지 합니다.On read-write domain controllers, each domain controller maintains a full replica of the AD DS database, including credentials not only for privileged users like Domain Admins, but privileged accounts such as domain controller accounts or the domain's Krbtgt account, which is the account that is associated with the KDC service on domain controllers. 도메인 컨트롤러 기능에 필요 하지 않은 추가 응용 프로그램이 도메인 컨트롤러에 설치 되어 있거나 도메인 컨트롤러를 보안이 엄격 패치 및 보안이 유지 되지 않는 경우 공격자는 패치가 적용 되지 않은 취약성을 통해 이러한 응용 프로그램을 손상 시키거나 다른 공격 벡터를 활용 하 여 악성 소프트웨어를 직접 설치할 수 있습니다.If additional applications that are not necessary for domain controller functionality are installed on domain controllers, or if domain controllers are not stringently patched and secured, attackers may compromise them via unpatched vulnerabilities, or they may leverage other attack vectors to install malicious software directly on them.

권한 상승 및 전파Privilege Elevation and Propagation

사용 되는 공격 방법에 관계 없이, Active Directory은 궁극적으로 공격자가 원하는 모든 항목에 대 한 액세스를 제어 하기 때문에 Windows 환경의 공격 대상이 됩니다.Regardless of the attack methods used, Active Directory is always targeted when a Windows environment is attacked, because it ultimately controls access to whatever the attackers want. 그러나이는 전체 디렉터리가 대상 임을 의미 하는 것은 아닙니다.This does not mean that the entire directory is targeted, however. 일반적으로 특정 계정, 서버 및 인프라 구성 요소는 Active Directory에 대 한 공격의 주요 대상입니다.Specific accounts, servers, and infrastructure components are usually the primary targets of attacks against Active Directory. 이러한 계정에 대 한 설명은 다음과 같습니다.These accounts are described as follows.

영구 권한 있는 계정Permanent Privileged Accounts

Active Directory의 도입으로 인해 높은 권한의 계정을 사용 하 여 Active Directory 포리스트를 빌드한 다음, 권한이 낮은 계정으로 일상적인 관리를 수행 하는 데 필요한 권한 및 권한을 위임할 수 있습니다.Because the introduction of Active Directory, it has been possible to use highly privileged accounts to build the Active Directory forest and then to delegate rights and permissions required to perform day-to-day administration to less-privileged accounts. Active Directory의 Enterprise Admins, Domain Admins 또는 Administrators 그룹의 멤버 자격은 매일 관리에 대 한 최소 권한 접근 방식을 구현 하는 환경에서 일시적이 고 드물게 필요 합니다.Membership in the Enterprise Admins, Domain Admins, or Administrators groups in Active Directory is required only temporarily and infrequently in an environment that implements least-privilege approaches to daily administration.

영구 권한 있는 계정은 권한이 있는 그룹에 배치 되 고 매일 남은 계정입니다.Permanent privileged accounts are accounts that have been placed in privileged groups and left there from day to day. 조직에서 5 개의 계정을 도메인에 대 한 Domain Admins 그룹에 배치 하는 경우 이러한 다섯 개의 계정은 하루 24 시간, 일주일에 7 일을 대상으로 지정할 수 있습니다.If your organization places five accounts into the Domain Admins group for a domain, those five accounts can be targeted 24-hours a day, seven days a week. 그러나 일반적으로 도메인 관리자 권한이 있는 계정을 사용 하는 것은 특정 도메인 전체 구성 및 짧은 기간 동안만 사용 해야 합니다.However, the actual need to use accounts with Domain Admins privileges is typically only for specific domain-wide configuration, and for short periods of time.

VIP 계정VIP Accounts

Active Directory 위반의 종종 간과 되는 대상은 조직의 "매우 중요 한 사람" (또는 Vip)의 계정입니다.An often overlooked target in Active Directory breaches is the accounts of "very important persons" (or VIPs) in an organization. 권한 있는 계정은 이러한 계정에서 공격자에 게 액세스 권한을 부여할 수 있으므로이 섹션의 앞부분에서 설명한 대로 대상 시스템을 손상 시키거나 제거할 수 있기 때문입니다.Privileged accounts are targeted because those accounts can grant access to attackers, which allows them to compromise or even destroy targeted systems, as described earlier in this section.

"권한 연결" Active Directory 계정"Privilege-Attached" Active Directory Accounts

"권한 연결" Active Directory 계정은 Active Directory에서 가장 높은 수준의 권한이 있지만 환경에서 많은 서버 및 워크스테이션에 대 한 높은 수준의 권한이 부여 된 그룹의 구성원이 아닌 도메인 계정입니다."Privilege-attached" Active Directory accounts are domain accounts that have not been made members of any of the groups that have the highest levels of privilege in Active Directory, but have instead been granted high levels of privilege on many servers and workstations in the environment. 이러한 계정은 일반적으로 도메인에 가입 된 시스템에서 서비스를 실행 하도록 구성 된 도메인 기반 계정으로, 일반적으로 인프라의 큰 섹션에서 실행 되는 응용 프로그램에 사용 됩니다.These accounts are most often domain-based accounts that are configured to run services on domain-joined systems, typically for applications running on large sections of the infrastructure. 이러한 계정에는 Active Directory 권한이 없지만, 많은 수의 시스템에 대 한 높은 권한이 부여 된 경우에는이를 사용 하 여 인프라의 큰 세그먼트를 손상 시키거나 제거 하 여 권한 있는 Active Directory 계정의 손상과 동일한 효과를 얻을 수 있습니다.Although these accounts have no privileges in Active Directory, if they are granted high privilege on large numbers of systems, they can be used to compromise or even destroy large segments of the infrastructure, achieving the same effect as compromise of a privileged Active Directory account.