Breadcrumbs

[BR1] RDP

구현 방법	powershell script를 작성해서 GPO 정책을 생성한다.
자동화 배포 방법	배포할 계정을 OU에 묶고 GPO 정책을 배포한다.

스크립트로 RDP와 관련된 event log를 기록할 때 Audit policy가 활성화 되어있지 않으면 기록되지 않으므로 우선 활성화 시켜준다.

[컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 감사 정책(Audit Policy)] 경로에서 로그온 이벤트 감사, 계정 로그온 이벤트 감사를 성공, 실패 모두 체크한다.

[컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 로그온/로그오프] 경로에서 로그온 이벤트와 로그오프 이벤트를 성공, 실패 모두 체크한다.

RDP 접속 기록을 남기는 스크립트(RDPscript.ps1)를 생성한다.

$ComputerName = "54.66.191.10"
$UserName = $env:USERNAME  # 현재 로그인한 사용자 이름
$LogonType = 10  # RDP 로그온 타입 (RemoteInteractive)
$SourceNetworkAddress = "192.168.1.100"  # 예시로 원격 접속한 IP 주소
$EventDescription = "RDP Login from $ComputerName by $UserName with Logon Type: $LogonType from IP: $SourceNetworkAddress"

# 시스템 이벤트 소스 설정 (Microsoft-Windows-Security-Auditing)
$logName = "Security"
$source = "Microsoft-Windows-Security-Auditing"

# 이벤트 로그에 기록
Write-EventLog -LogName $logName -Source $source -EventId 4624 -Message $EventDescription

해당 스크립트를 등록한다.

이후 도메인에 속한 PC들이 부팅할 때 자동으로 해당 스크립트가 실행된다.

[BR2] AD FS Service Account

구현 방법	fsadmin 계정으로 Windows Log on한다
자동화 배포 방법	X (수동 설정 필요)

lsass.exe 에 계정 정보가 기록되게 하려면 Host에 해당 계정으로 로그온(Log-on)해야한다.

현재 모든 인프라가 AWS Instance 형태로 구현되어있어 물리적으로는 접근할 수 없고 RDP를 통해 Administrator로만 유일하게 접속할 수 있다.

이 설정을 풀기 위해서 Host - [Settings - Remote Desktop]에서 원격으로 접속할 수 있는 유저를 fsadmin으로 등록해주면 된다.

이렇게 설정해주고, 내 컴퓨터(실습 중인 물리PC)에서 다음과 같이 로그인해주면

mimikatz로 dump를 떴을 때 lsass에 Credential이 남은 것을 알 수 있다.

 [00000003] Primary
 * Username : fsadmin
 * Domain   : AD-WAFFLE
 * NTLM     : 0f7f1e1469ee2452e15626178f0aa02e
 * SHA1     : e56b45ac811c8e5b6df30508d636cee649c2a6b9
 * DPAPI    : 7abc7a96501c6866089d785c4fc11b3d

[BR3] STS Login Portal

구현 방법	Chrome 관리 정책 템플릿 사용
자동화 배포 방법	GPO 정책 배포

그룹 정책을 통해 구글 크롬 설정을 관리하기 위해서는 AD서버에 크롬 관리 정책 템플릿을 설치해야 한다.

policy_templates.zip 파일을 설치 후 압축을 푼 후에 windows\admx 경로로 이동한다.

en-US 폴더와 chrome.admx, google.admx 파일을 복사하여 C:\Windows\PolicyDefinitions에 붙여넣기 한다.

Group Policy Management 에서 Chrome Bookmark deploy 정책을 생성하고 수정한다.

[컴퓨터 구성 → 정책 → 관리 템플릿 → Google → Google Chrome] 경로로 이동해 Managed Bookmarks 정책을 수정한다.

Enabled로 설정하고 북마크 리스트를 JSON 형식으로 작성하여 추가한다.

아래의 코드를 powershell로 실행해 JSON 코드를 얻었다.

@{
    toplevel_name = "aws"
},
@{
    name = "Login"
    url = "<https://sts.pbl-waffle.swu/adfs/ls/idpinitiatedsignon.aspx>"
} | ConvertTo-JSON -depth 4 -Compress

client에 배포 후 Chrome을 확인해보면 Bookmark가 생성된 것을 확인할 수 있다.

[BR4] AWS IAM

구현 방법	숨김 속성이 적용된 txt 파일
자동화 배포 방법	GPO 정책 배포

AWS IAM deploy GPO를 생성한다.

GPO 수정을 누르고, 컴퓨터 구성 → 환경설정 → 윈도우 설정 → 파일 경로로 이동한다.

우클릭 → 새로 만들기 → 파일을 눌러 편집한다.

파일을 생성하는 옵션을 선택하고, 배포할 파일의 경로와 생성될 파일의 경로를 지정한다. 이때 생성될 파일의 경로(Destination File)는 절대 경로로 지정해야한다. 숨김 속성을 그대로 유지하고 싶으므로 선택하고 적용한다.

보기 > 숨김파일 표시 설정 후 AWS IAM 텍스트 파일이 보이는 것을 확인할 수 있다.