서비스 임의 액세스 제어 목록 작성자를 위한 최상의 방법과 지침

기술 자료 번역 기술 자료 번역
기술 자료: 914392 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

서비스 DACL(임의 액세스 제어 목록)은 워크스테이션과 서버 보안에 있어 중요한 구성 요소입니다. 이 Microsoft 기술 자료 문서에서는 서비스에서 DACL을 해석하는 방법에 대해 설명합니다. 또한 이 문서는 서비스 DACL 작성자가 사용 중인 프로그램의 보안을 개발하고 평가할 때 사용할 수 있는 최상의 지침을 제공합니다.

소개

이 Microsoft 기술 자료 문서를 가이드로 참조하여 서비스 DACL(임의 액세스 제어 목록)의 보안을 평가하는 데 도움을 받을 수 있습니다.

추가 정보

서비스의 DACL을 표시하려면 다음 예제에서와 같이 sc 명령과 sdshow 인수를 함께 사용합니다. 여기서 service_name은 표시하려는 DACL의 서비스 이름입니다.
sc sdshow service_name
이 명령은 다음과 유사한 결과를 생성합니다.
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
sc 명령으로 생성된 예제 출력은 SDDL(Security Descriptor Definition Language) 구문으로 서비스의 보안 설명을 표시합니다. SDDL 구문에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/aa379567.aspx(영문)
서비스 DACL이 공격에 취약한지 확인하려면 몇 가지 사항을 조사해야 합니다. 다음 표에서는 sc 명령의 결과를 읽는 방법, 각 사용 권한 문자열을 해석하는 방법 및 사용 권한이 누구에게 부여되는지를 해석하는 방법에 대해 설명합니다.

다음 키를 사용하여 괄호 안에 있는 문자의 각 문자열을 개별적으로 평가할 수 있습니다.
(허용/거부;;사용 권한 문자열;;;기본 제공 계정이나 그룹의 SID 또는 약어)
사용 권한 문자열의 각 두 글자 쌍은 특정 권한이나 사용 권한에 해당합니다.
표 축소표 확대
권한 또는 사용 권한
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

ChangeConf(DC) 사용 권한을 주의 깊게 살펴봅시다. 서비스가 권한 승격 공격에 취약한지 여부를 확인하는 경우 ChangeConf 사용 권한이 있는지 찾아봅니다. 지정된 사용자는 이 사용 권한을 통해 서비스가 시작될 때 실행되는 이진 파일을 포함하도록 서비스 구성을 변경할 수 있습니다. 또한 WDac(WD) 및 WOwn(WO)도 모두 사용 권한을 LocalSystem으로 승격시키는 데 사용될 수 있으므로 이 두 권한도 주의 깊게 살펴봐야 합니다. 단, 이들 권한은 사용 권한이 낮은 사용자에게는 부여되지 않습니다. 다음 표에서는 SDDL 구문에서 액세스 권한이 부여되는 사용자 유형을 식별하는 데 사용되는 코드를 설명합니다.
표 축소표 확대
코드사용자 유형
DADomain Administrators
DGDomain Guests
DUDomain Users
EDEnterprise Domain Controllers
DDDomain Controllers
DCDomain Computers
BA기본 제공 (로컬) Administrators
BG기본 제공 (로컬) Guests
BU기본 제공 (로컬) Users
LA로컬 Administrator 계정
LG로컬 Guest 계정
AOAccount Operators
BOBackup Operators
POPrinter Operators
SOServer Operators
AUAuthenticated Users
PSPersonal Self
COCreator Owner
CGCreator Group
SYLocal System
PUPower Users
WDEveryone (World)
REReplicator
IU대화형 로그온 사용자
NU네트워크 로그온 사용자
SU서비스 로그온 사용자
RC제한된 코드
WR제한된 코드 작성
ANAnonymous Logon
SA스키마 관리자
CA인증서 서비스 관리자
RS원격 액세스 서버 그룹
EAEnterprise Administrators
PA그룹 정책 관리자
RU이전 Windows 2000을 허용하는 별칭
LS서비스용 Local Service 계정
NS서비스용 Network Service 계정
RD터미널 서버용 Remote Desktop Users
NONetwork Configuration Operators
MUPerformance Monitor Users
LUPerformance Log Users
IS 익명 인터넷 사용자
CY암호화 운영자
OW소유자 권한 SID
RMRMS 서비스

SDDL 형식에서 DACL 문자열을 해석하는 방법

여기서는 이 문서의 맨 위에 나와 있는 예제 DACL 문자열을 해석하는 방법에 대해 설명합니다. 다음 해석 목록에서는 각각의 ACE(액세스 제어 항목)를 개별적으로 나열합니다.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    이 ACE(액세스 제어 항목)는 LocalSystem(SY)에 다음 권한을 부여합니다.
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    ACE(액세스 제어 항목)는 LocalSystem으로 제한됩니다. LocalSystem은 워크스테이션에서 가장 강력한 보안 컨텍스트이므로 이 방법이 보안에 좋으며 따라서 승격 위험도 없습니다.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    이 ACE(액세스 제어 항목)는 기본 제공 로컬 관리자(BA)에게 적용됩니다. 이 ACE(액세스 제어 항목)는 모든 로컬 관리자에게 이전 ACE(액세스 제어 항목)에서와 같은 권한을 부여합니다. 워크스테이션에서는 이 항목도 매우 강력한 보안 컨텍스트이며 앞서 말한 것과 같이 승격 위험도 없습니다.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    이 ACE(액세스 제어 항목)는 AU(Authenticated Users)에게 이전의 모든 권한을 부여합니다.
마지막 ACE(액세스 제어 항목)에서는 인증된 사용자와 같이 권한이 낮은 그룹의 사용자도 서비스 구성을 변경할 수 있습니다. 구성에는 서비스가 시작될 때 실행되는 이진 파일과 서비스가 실행되는 계정이 포함됩니다.

다음 예제 DACL은 인증된 사용자에게 ChangeConf 권한을 부여하지 않습니다.
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

이 DACL에서 AU(Authenticated Users)에게는 다음 권한만 부여됩니다.
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
이들 권한이 부여된 Authenticated Users 그룹에는 잠재적인 승격 위험이 없습니다. PU(Power Users) 그룹은 LocalSystem으로 승격될 수 있으므로 승격 위험을 염두에 두어야 합니다. PU(Power Users) 그룹이 서비스(RP)를 시작할 수 있는 경우를 제외하고 이 예제에서는 PU(Power Users) 그룹에 AU(Authenticated Users) 그룹과 같은 권한이 모두 있습니다. 다음은 기본 제공 (로컬) Administrators(BA) 그룹입니다. 이 그룹과 다음 그룹인 SO(Server Operators) 그룹에는 ChangeConf, WDac 및 WOwn 사용 권한이 모두 있습니다. 가장 신뢰할 수 있는 사용자만 로컬 Administrators 또는 Server Operators 그룹에 있어야 하므로 이것이 가능합니다.

LocalSystem(SY) 그룹에는 Power Users 그룹과 같은 사용 권한이 지정되며 더불어 Stop 및 Pause 사용 권한도 지정됩니다. 이는 적절한 것 같습니다. 다음 두 가지의 짧은 ACE(액세스 제어 항목)는 서비스를 중지하는 Local Service 계정과 Network Service 계정 사용 권한을 부여합니다. Local Service 및 Network Service 모두 강력한 로컬 계정이므로 이 역시도 적절한 것 같습니다.

그러나 NO(Network Configuration Operators) 그룹에는 ChangeConf 사용 권한이 부여됩니다. Windows XP에 Network Configuration Operators 그룹이 추가되었으므로 신뢰할 수 있는 사용자는 전체 관리자 권한 없이도 네트워크 설정을 변경할 수 있습니다. 기본적으로 Network Configuration Operators 그룹은 비어 있습니다. 경우에 따라 이 그룹은 특정 사용자에게 네트워크 구성 사용 권한을 부여하는 데 사용됩니다. 예를 들어 휴대용 컴퓨터 사용자는 이 권한을 부여 받을 수 있습니다. Network Configuration Operators 그룹의 사용자는 때때로 컴퓨터를 물리적으로 제어할 수 있습니다. 하지만 이 그룹의 목적은 이들 사용자에게 전체 관리자 권한을 부여하기 위한 것이 아닙니다. 따라서 이 서비스 DACL은 Network Configuration Operators 그룹에 ChangeConf 사용 권한을 부여하지 않습니다.

최상의 방법

서비스 DACL을 특정 사용 권한을 필요로 하는 사용자로만 제한합니다. 다음 권한은 각별히 주의하십시오. 권한이 낮은 사용자나 그룹에게 이들 권한을 부여하면 컴퓨터에서 해당 권한을 사용하여 LocalSystem으로 승격시킬 수 있습니다.
  • ChangeConf(DC)
  • WDac(WD)
  • WOwn(WO)
액세스 권한 및 사용 권한에 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/ms685981.aspx(영문)




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 914392 - 마지막 검토: 2007년 2월 15일 목요일 - 수정: 1.4
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 서비스 팩 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
키워드:?
kbinfo KB914392

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com