로컬 계정에 대해 네트워크 로그인을 비활성화해야하는 이유는 무엇입니까? : DC와 여러 클라이언트로 AD를 설정했다고

이 질문은 @SwiftOnSecurity의 트위터 스레드와 관련이 있습니다 : https://twitter.com/SwiftOnSecurity/status/655208224572882944

스레드를 읽은 후에도 여전히 로컬 계정에 대해 네트워크 로그인을 비활성화하려는 이유를 알지 못합니다.

그래서 여기에 내가 생각하는 것이 있습니다, 내가 틀린 곳을 수정하십시오 :

DC와 여러 클라이언트로 AD를 설정했다고 가정 해 보겠습니다. 클라이언트 중 하나는 John입니다. 그래서 아침에 John은 작업을 시작하고 AD 자격 증명으로 데스크톱 PC에 로그인합니다. 정오에, John은 회의를 향해 나가서 그의 컴퓨터를 잠급니다 (Windows + L). 그런 다음 개인 랩톱을 사용하여 원격으로 (RDP 등) 사무실에서 자신의 PC에 다시 연결해야합니다. 그러나이 새로운 정책을 사용하면 그렇게 할 수 없습니다.

Securitay가 제공하는 설명은 암호가 소금에 절이지 않았다는 것입니다. 그러나이 경우 침입자는 어떻게 액세스 할 수 있습니까? 어느 쪽에서 암호가 소금에 절이지 않습니까? 아니면 내 마음 속에있는 상황이 그녀가 말하려는 것과 완전히 관련이 없는가? 이것이 사실이라면, 그녀는 실제로 무엇을 말하려고 하는가?



답변

로컬 계정에 네트워크 로그온을 허용하는 것은 위험하며 보안 관행이 좋지 않습니다. 관리자 그룹 구성원의 경우 실제로이를 과실로 특성화합니다. 측면 이동이 가능하며 계정 로그온이 중앙에서 기록되지 않기 때문에 (도메인 컨트롤러에서) 감지 및 감사가 어렵습니다.

이 위협을 완화하기 위해 Microsoft는 실제로 “네트워크에서이 컴퓨터에 대한 액세스 거부”사용자 권한에 추가 할 두 가지 새로운 내장 보안 식별자를 만들었습니다.

S-1-5-113: NT AUTHORITY\Local account
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx


답변

아니요, 예제 시나리오가 올바르지 않습니다. 그가 AD 자격 증명을 사용하여 로그인하면 모든 것이 정상입니다. 문제는 로컬 계정, 즉 개별 컴퓨터에서 만들어지고 개별 컴퓨터에만 존재하는 계정과 관련이 있습니다. 예를 들어. \ Administrator이지만 컴퓨터 도메인 (COMPUTERNAME \ USERNAME)의 모든 계정에 적용됩니다. AIUI의 보안 위험 “은 로컬 계정 (예 : 로컬 관리자)이 여러 컴퓨터에서 동일한 암호를 공유하는 경우 컴퓨터에서 암호 해시를 추출하고 경우에 따라 해시를 재사용 할 수 있다는 것입니다 (맬웨어 감염으로) 또는 다른 공격자)가 컴퓨터간에 측면으로 이동합니다.