출처: https://msdn.microsoft.com/en-us/library/aa480475.aspx l NTLM 단점1) MD4기반의 약한 암호화2) 클라이언트와 서버는 DC도움 없이 자체적으로 넌스(nonce)를 생성하는데 취약한 넌스(nonce)를 분배하면 악의적인 위장이 발생3) 다중인증 요소가 없음 (MFA)4) NTLM 릴레이 - MS2017-8563 - 상호 인증이 없기 때문에 발생 - 모든 컴퓨터에 SMB 서명을 강제로 하면 괜찮지만 모든 네트워크에 구성하기 힘듬 l 커버러스가 NTLM 보다 좋은점1) 상호 인증2) 위임 지원 l exploitdb.com 취약점 개수NTLM : 12개Kerberos : 14개 l 최신 취약점 날짜NTLM : 2017-7-11 Kerberos : 2017..

출처: https://blog.thesysadmins.co.uk/winrm-winrs-and-forwarded-event-logs.html This post should give you a quick understanding of WinRM, WinRS, forwarding event logs and when you’re likely to see the 0x80338126 error.WinRM (Windows Remote Management) is Microsoft’s new remote management which allows remote management of Windows machines. It was introduced in Server 2003 R2, but I didn’t really he..

출처: http://blog.naver.com/PostView.nhn?blogId=marso219&logNo=220864314457&parentCategoryNo=&categoryNo=14&viewDate=&isShowPopularPosts=false&from=postView SMB NFS는 파일시스템을 제공해주는 서버와 서버의 파일시스템을 이용하는 클라이언트의 협동작업으로 이루어진다. 윈도우시스템이 다른 시스템의 디스크나 프린터와 같은 자원을 공유할 수 있도록 하기 위해 개발된 프로토콜. TCP/IP 기반하의 Netbios 프로토콜을 이용하기 때문에 이 프로토콜은 NFS, NIS, lpd 와 같은 유닉스의 분산인증구조와 유사. 따라서 윈도우 중심의 ------------------------------..

1) WinRM 사용 시 이슈가 없을지 여부 ○ WinRM 관련된 취약점 관련 히스토리ü WinRM에 대해 Exploit-DB 사이트에 등록된 최신 취약점 날짜는 2012년 11월이며, 1건 존재합니다. 이에 반해 SSH는 17년도에 발견된 취약점이 존재하며, exploit-DB 사이트에 20건 이상 존재합니다. ü 중국 해킹 그룹 3390에서 실제로 WinRM 프로토콜에 대한 취약점을 이용하여 공격을 진행한 사례가 있습니다. 관련 URL: http:/attack.mitre.org/wiki/Group/G0027ü WinRM 프로토콜 관련 공격 툴로는 Colbalt Strike, Metasploit 등의 도구가 있습니다.( 해당 도구에는 2012년 공개된 취약점이 포함되어 있습니다. )ü WinRM은 HT..

// 파워쉘 관련 보안 설정 //WinRM 관련 보안설정 //Windows Security encycolpedia - WinRM servicehttps://www.windows-security.org/2250af73d71c1797109e41fc7baeb460/winrm-service //RSA WinRM configuration Guide //Black hat remote powershell 관련 //WinRM 관련 소개 및 공격 examples 등https://attack.mitre.org/wiki/Technique/T1028#scite-928815910929858bf6789e75932e7d1f //winRM 공격 관련 글https://poshsecurity.com/blog/2014/3/20/power..

Windows 2003 R2부터 들어간 기능인데 설정하는 방법에 대한 내용이 까다롭습니다 설정 방법 찾아보다가 ...하하하.. 어렵더군요.. 대충 이기능은WS-Management란 웹 서비스에 근간한 SOAP기반의 프로토콜입니다. WS-Management를 이용하여 서버, 장비, 응용 프로그램등에 대한 관리를 편리하게 하실 수 있습니다. 이 기술은 2005년 Microsoft, Intel, Dell, AMD, Sun Microsystems등에서 기획한 표준 방식입니다. Microsoft에서는 해당 기술을 Windows Remote Management라고 부르고 있습니다.Windows Server 2003 R2에서 새롭게 추가된 기능중 Hardware Management라는 기능이 있습니다. 해당 기능이 ..

Management & Instrumentation of Your own ApplicationSubtitle : Windows Management Instrumentation (WMI) in .NET기술은 발전한다. 그리고 기술의 발전과 더불어 그 복잡도는 기하 급수적으로 늘어나기 마련이다. 소프트웨어의 발전 역사를 살펴보면 가희 전광석화 같은 발전 모습을 볼 수 있다. 하지만 눈부신 발전 뒤에 숨겨진 기술의 복잡도는 숨이 막힐 지경이다. 개발자들은 이러한 복잡한 기술 속에서 살고 있다. 예전엔 간단히 로컬 데이터베이스에 접속하는 기능만 있으면 충분했었지만 현재의 어플리케이션은 원격 어플리케이션 서버에 존재하는 미들웨어를 통해 데이터베이스에 접속하거나 SOA(Service Oriented Architec..

출처: http://itstorys.tistory.com/m/152 AD 를 이용하는 방법이외워크그룹인 경우는 다음과 같은 방법을 쓰면방화벽 정책을 백업 복원이 가능하다.WIN7레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\StandardProfile\GloballyOpenPorts위 키값을 레지스트리를 이용하여 내보내기 하면 백업하고복원하려는 컴퓨터에서 백업한 reg 파일을 실행하면 된다. ------------------------------------------------------------------------------------- WIN10윈도우 > 실행 창 > regedit.exe ..

출처: https://www.mariasarang.net/bbs/bbs_view.asp?index=program_win2k&no=85 게시: 2009년 4월업데이트 날짜: 2009년 12월적용 대상: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista고급 보안 기능을 가진 Windows 방화벽은 다음과 같은 규칙 종류를 지원합니다.Windows 서비스 보안 강화. 기본 제공되는 이 종류의 규칙은 서비스가 설계된 방식으로만 연결을 설정할 수 있도록 제한합니다. 서비스 제한은 Windows 서비스가 지정된 방식으로만 통신할 수 있도록 구성됩니다. 예를 들어 허용된 트래픽이라 하더라도 지정된 포트에 대해서는 연결이 제한될 수 있습니다. ..

출처: http://www.snoopybox.co.kr/1727 윈도우에서 설치된 핫픽스(업데이트) 확인하는 방법 일반적으로 제어판에서 확인할 것이다. 하지만 커맨드로 확인해야 한다면? 보통은 systeminfo 커맨드를 이용할 것이다. 그런데 systeminfo 커맨드로는 설치된 날짜를 확인할 수 없다. 따라서 아래와 같이 wmic 커맨드를 활용해보자. wmic QFE Get HotFixID,InstalledOn 아래와 같이 find 커맨드를 조합하거나, 직접 Where 조건을 넣어 쿼리하면 특정 핫픽스 설치 여부와 날짜를 확인할 수 있겠다. wmic QFE Get HotFixID,InstalledOn | find "KB2839894" wmic QFE Where HotFixID="KB2839894" G..