안녕하세요.
AD 운영을 하고 있는 초보 입니다.
IT보안팀에서 구두로 문의를 주셨는데...
서비스 프린시펄 네임(?)이 AD 속성 값이 하루에 몇 회씩 계속 변경됨
갑이 고정 된게 아니라, 서비스 프린시펄 네임(?)을 바꿨다는 로그가 계속 생긴 다고 합니다.
그래서 왜 그런지 물어 보시는데...
제가 완전 초보여서 제대로 알아 들은건지도 모르겠고
프린시펄 네임이 뭔지도 모르겠는데... 서비스 프린시프 네임이라고 들은 것 같은데
인터넷 찾아 보니깐 서비스 프린시프 네임 이라는건 없는 것 같은데...
그니마 비슷한 이름이 서비스 프린시펄 네임 이라고 나오는데...
대체 뭐를 어떻게 확인 해야 할지도 모르겠고, 무슨 말인지도 모르겠고
너무 답답 하네요.
혹시, 아시는 분 계시면 답변 좀 부탁 드립니다.
감사합니다.
3개의 답변이 있습니다.
https://blog.sunggwanchoi.com/kor-keobeoroseuting-kerberoasting/amp/
실습 관련된 내용 참고하새요
AD 속 서비스 계정들은 Service Principal Name (SPN) 이라는 고유식별자를 가진다. 실제로 특정 호스트, 특정 포트에서 돌아가고 있는 서비스와 도메인 서비스 (유저) 계정을 이어주는 식별자라고 생각하면 된다.
서비스 프린스펄 네임
Service Principla Name으로 보이는데요. 보통 약자로 SPN이라고 합니다.
AD에 등록된 서비스 고유 식별자입니다.
SPN은 주로 Windows 도메인 환경 내에서 Kerberos 인증에 사용됩니다.
클라이언트가 Kerberos를 사용하여 서비스를 인증하려는 경우 서비스와
연결된 SPN을 제공하여 클라이언트가 서비스에서 자신을 인증하는 데 사용하는데요.
인증에 사용한다는 말은 이를 이용해서 우회 인증을 시도할 수도 있다는 의미이기도 합니다.
이 부분을 변조하여 실제로 공격에 사용되는 경우도 있구요.
서비스 계정 이름이 변경, 호스트이름이 변경, 등록된 서비스나 어플리케이션이 변경될 때
SPN이 변경되기때문에 로그가 남습니다.
지금의 상황은 하루에도 몇번씩 변경되었다는 로그가 생긴다면 체크할 필요가 있는 내용입니다.
전산어려워요 | 11달 전
안녕하세요. 친절한 답변 감사 드립니다.
It보안팀에서 아래 처럼 메일이 왔는데 어떤걸 확인해 보면 될까요?
(It보안팀 메일 내용)
Computer servicePrincipalName 속성 변경 이벤트 -컴퓨터가 AD에 가입되면 기본적으로 TERMSRVWhostname, TERMSRVWhostname.domain 이 servicePrincipalName에 추가되는데 업무망 AD에서 기본 Not Set 상태에서 위 두 내 용이 추가되는 메시지가 계속 발생 업무당과 다르게 인터넷망 AD는 WSMAN\hostnmae, WSMAN/hostname.domain 이 추가되는 메시지가 계속 발생
전산어려워요 | 11달 전
(It보안팀 메일 내용)
Computer servicePrincipalName 속성 변경 이벤트
-컴퓨터가 AD에 가입되면 기본적으로 TERMSRV₩hostname, TERMSRV₩hostname.domain 이 servicePrincipalName에 추가되는데
업무망 AD에서 기본 Not Set 상태에서 위 두 내 용이 추가되는 메시지가 계속 발생 업무당과 다르게
인터넷망 AD는 WSMAN\hostnmae, WSMAN/hostname.domain 이 추가되는 메시지가 계속 발생
topkslee | 11달 전
업무망에 SPN과 인터넷망 SPN 속성값이 추가되었다는 메시지가 계속 나온다는 말인데요.
어떤 user인지? 어떤 service인지? 로그에서 확인해보시고
해당 서비스를 서비스를 등록해제하여 모니터링 해보시고
새로 등록해보세요.
전산어려워요 | 11달 전
안녕하세요.
답변 감사 드립니다.
IT보안팀에서 보내준 사진 기반으로
서버에서 이벤트 뷰어에서 해당 시간, 사용자 사번으로 검색 결과
이벤트 뷰어 - 보안 쪽에 이벤트ID 4769항목이 있는데
이건 정상 적인 이벤트 인가요?
topkslee | 11달 전
이벤트 ID 4769는 사용자나 컴퓨터가 인증을 요청했을 때 발생합니다.
이 이벤트는 인증 요청이 성공적으로 처리되어 Kerberos 서비스 티켓이 발급되었음을
나타냅니다.
이 티켓은 이후에 클라이언트가 다른 리소스에 액세스할 때 사용되며,
보안 및 권한 부여를 위한 티켓 교환에 사용됩니다.
중요한 이벤트 로그입니다. 이 이벤트 ID가 정상적이다 아니다 보다는
이벤트를 발생시킨 계정이 정상적인 활동인지 아니면 비정상적인 접속인지를
체크해보셔야 합니다.
전산어려워요 | 11달 전
그렇군요. 친절한 답변 감사드립니다.
Active Directory Principal Name이 계속 변경된다는 내용인거 같은데...
계정 이름이 변경된다거나 계정을 변경한다거나 계정 삭제/재생성이 자주 일어 나는것이 아닌가 하는 생각이 드네요.
원인 파악을 해 보아야 할 것으로 보여지네요.
wansoo | 11달 전
아래 링크 자료도 참고하면 도움 될 수도 있을 것 같아 보이네요.
https://learn.microsoft.com/ko-kr/azure/active-directory/hybrid/connect/howto-troubleshoot-upn-changes
전산어려워요 | 11달 전
안녕하세요. 친절한 답변 감사 드립니다.
It보안팀에서 아래 처럼 메일이 왔는데 어떤걸 확인해 보면 될까요?
(It보안팀 메일 내용)
Computer servicePrincipalName 속성 변경 이벤트 -컴퓨터가 AD에 가입되면 기본적으로 TERMSRVWhostname, TERMSRVWhostname.domain 이 servicePrincipalName에 추가되는데 업무망 AD에서 기본 Not Set 상태에서 위 두 내 용이 추가되는 메시지가 계속 발생 업무당과 다르게 인터넷망 AD는 WSMAN\hostnmae, WSMAN/hostname.domain 이 추가되는 메시지가 계속 발생
전산어려워요 | 11달 전
(It보안팀 메일 내용)
Computer servicePrincipalName 속성 변경 이벤트
-컴퓨터가 AD에 가입되면 기본적으로 TERMSRV₩hostname, TERMSRV₩hostname.domain 이 servicePrincipalName에 추가되는데
업무망 AD에서 기본 Not Set 상태에서 위 두 내 용이 추가되는 메시지가 계속 발생 업무당과 다르게
인터넷망 AD는 WSMAN\hostnmae, WSMAN/hostname.domain 이 추가되는 메시지가 계속 발생
전산어려워요 | 11달 전
사진이 작게 나와서 다시 첨부 합니다.
전산어려워요 | 11달 전
(업무망, 인터넷망) Computer servicePrincipalName 속성 변경 지속 발생
- (업무망) Not Set => TERMSRV\hostname. TERMSRV₩hostname domain
- (인터넷망) Not Seet => WSMAN₩hostnmae, WSMAN/hostrame.domain
전산어려워요 | 11달 전
발생원인을 분석하여
재발방지 대책을 달라고 합니다.