내 네트워크에서 취약점을 발견했습니다.
(저는 입사한 지 2주밖에 안 됐고 아직 훈련 중이니 양해해 주세요.)
권한에 관계없이 모든 엔드포인트 사용자는 NET USER /domain 명령을 실행하고 도메인의 모든 사용자를 볼 수 있습니다. 명령 프롬프트 액세스가 비활성화된 경우에도 COMMAND.COM으로 메모장 파일을 만들고 배치 파일을 만들어 이 문제를 해결할 수 있습니다. 배치 파일은 일반 작업을 위해 엔드포인트 사용자가 많이 사용하므로 비활성화할 수 없습니다.
불행하게도 이 명령은 다양한 테스트 계정의 모든 사용자 이름을 표시합니다. 이러한 테스트 계정 중 상당수는 매우 기본적인 비밀번호를 갖고 있으며 사용자 이름과 동일한 비밀번호를 사용하는 경우가 많습니다. 말 그대로 수백 개의 테스트 계정이 있으며 비밀번호를 변경하거나 오래된 계정을 삭제하는 것은 매우 불편할 것입니다.
이러한 테스트 계정 중 상당수는 높은 권한/관리 권한을 갖고 있습니다(이유는 묻지 마세요. 제작 과정에서 엄청난 위반이 발생한 것 같습니다).
net user /domain 명령이 실행되는 것을 방지할 수 있는 방법이 있습니까? 도메인 쿼리를 실행한 사람을 감사할 수 있다는 것을 알고 있지만 이것이 취약점을 실제로 예방하지는 못합니다.
답변1
이를 제한하는 방법에 대한 지침:https://www.adamcouch.co.uk/disable-domain-user-enumeration/