AD서버 가이드

1. AD에서 사용하는 용어들

- NTLM (NT Lan Manager) 인증 : 윈도우의 Msv1_0.dll에 포함된 인증 프로토콜 집합
. 인증프로토콜에는 Lan Manager 버전 1, 2와 NTLM 버전 1, 2가 포함
. Challenge-Response 인증 프로토콜 방식 사용
. 로컬 환경에서 쓰일 수 있고 SMB 프로토콜에도 하위호환성을 위해 내장됨
. NTLM v1은 유저 암호를 14자까지만 사용가능하여 해시함수에 취약점이 존재한다.
. LM해시는 DES방식, NT해시는 MD4 방식

- SMB(Server Message Block) v1 : 암호화 및 무결성 검증이 없고 코드실행 취약점(EthernalBlue)이 있다. 워너크라이와 같은 랜섬웨어 공격에 감염 위험이 존재함
. 기본적으로 Windows Server 2019 이상에서는 기본적으로 미설치

- Netlogon : 도메인에서 사용자와 서비스를  인증처리하는 서비스


- LogonTo : AD계정의 속성으로 특정 계정이 특정 서버에만 로그인 가능하도록 제한할 수 있는 기능

- KRBTGT 계정 : kerberos인증 시스템의 핵심으로 인증 티켓(TGT)의 암호화와 서명을 담당하는 계정
. 해당 계정의 해시가 유출되면 Golden Ticket 공격으로 도메인 전체가 해킹될 수 있다. 해킹사고 발생시 반드시 비밀번호를 2회 변경해야 한다.
. Golden Ticket공격 : 찰리와 초콜릿 공장에서 유래,
. AD의 기본 인증 프로토콜인 커버로스 인증은 'KRBTGT' 암호 해시로 암호화된 모든 TGT는 정상적인 TGT'라는 전제로 구축되었음.
https://m.blog.naver.com/PostView.naver?blogId=quest_kor&logNo=222905317312&proxyReferer=https:%2F%2Fwww.google.com%2F&trackingCode=external