search

Breadcrumbs

hashtag
[BR1] RDP

구현 방법

powershell script를 작성해서 GPO 정책을 생성한다.

자동화 배포 방법

배포할 계정을 OU에 묶고 GPO 정책을 배포한다.

스크립트로 RDP와 관련된 event log를 기록할 때 Audit policy가 활성화 되어있지 않으면 기록되지 않으므로 우선 활성화 시켜준다.

[컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 감사 정책(Audit Policy)] 경로에서 로그온 이벤트 감사, 계정 로그온 이벤트 감사를 성공, 실패 모두 체크한다.

[컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 로그온/로그오프] 경로에서 로그온 이벤트와 로그오프 이벤트를 성공, 실패 모두 체크한다.

RDP 접속 기록을 남기는 스크립트(RDPscript.ps1)를 생성한다.

해당 스크립트를 등록한다.

이후 도메인에 속한 PC들이 부팅할 때 자동으로 해당 스크립트가 실행된다.

hashtag
[BR2] AD FS Service Account

구현 방법

fsadmin 계정으로 Windows Log on한다

자동화 배포 방법

X (수동 설정 필요)

lsass.exe 에 계정 정보가 기록되게 하려면 Host에 해당 계정으로 로그온(Log-on)해야한다.

현재 모든 인프라가 AWS Instance 형태로 구현되어있어 물리적으로는 접근할 수 없고 RDP를 통해 Administrator로만 유일하게 접속할 수 있다.

이 설정을 풀기 위해서 Host - [Settings - Remote Desktop]에서 원격으로 접속할 수 있는 유저를 fsadmin으로 등록해주면 된다.

이렇게 설정해주고, 내 컴퓨터(실습 중인 물리PC)에서 다음과 같이 로그인해주면

mimikatz로 dump를 떴을 때 lsass에 Credential이 남은 것을 알 수 있다.

hashtag
[BR3] STS Login Portal

구현 방법

Chrome 관리 정책 템플릿 사용

자동화 배포 방법

GPO 정책 배포

그룹 정책을 통해 구글 크롬 설정을 관리하기 위해서는 AD서버에 크롬 관리 정책 템플릿을 설치arrow-up-right해야 한다.

policy_templates.zip 파일을 설치 후 압축을 푼 후에 windows\admx 경로로 이동한다.

en-US 폴더와 chrome.admx, google.admx 파일을 복사하여 C:\Windows\PolicyDefinitions에 붙여넣기 한다.

Group Policy Management 에서 Chrome Bookmark deploy 정책을 생성하고 수정한다.

[컴퓨터 구성 → 정책 → 관리 템플릿 → Google → Google Chrome] 경로로 이동해 Managed Bookmarks 정책을 수정한다.

Enabled로 설정하고 북마크 리스트를 JSON 형식으로 작성하여 추가한다.

아래의 코드를 powershell로 실행해 JSON 코드를 얻었다.

client에 배포 후 Chrome을 확인해보면 Bookmark가 생성된 것을 확인할 수 있다.

hashtag
[BR4] AWS IAM

구현 방법

숨김 속성이 적용된 txt 파일

자동화 배포 방법

GPO 정책 배포

AWS IAM deploy GPO를 생성한다.

GPO 수정을 누르고, 컴퓨터 구성 → 환경설정 → 윈도우 설정 → 파일 경로로 이동한다.

우클릭 → 새로 만들기 → 파일을 눌러 편집한다.

파일을 생성하는 옵션을 선택하고, 배포할 파일의 경로와 생성될 파일의 경로를 지정한다. 이때 생성될 파일의 경로(Destination File)는 절대 경로로 지정해야한다. 숨김 속성을 그대로 유지하고 싶으므로 선택하고 적용한다.

보기 > 숨김파일 표시 설정 후 AWS IAM 텍스트 파일이 보이는 것을 확인할 수 있다.

PreviousInfrastructureNextAdversary Simulation

Last updated