도메인 컨트롤러 서버 역할에서 보안 문제를 해결하는 것은 Microsoft® Windows Server™ 2003 SP1(서비스 팩 1) 및 Active Directory® 디렉터리 서비스가 실행되는 컴퓨터를 포함하는 환경에서 가장 중요한 측면 중 하나입니다. 이러한 환경에서 도메인 컨트롤러가 손실되거나 손상되면 인증, 그룹 정책 및 중앙의 LDAP(Lightweight Directory Access Protocol) 디렉터리를 이용하기 위해 도메인 컨트롤러에 의존하는 클라이언트 컴퓨터, 서버 및 응용 프로그램에 심각한 영향을 줄 수 있습니다.
이와 같이 도메인 컨트롤러는 대단히 중요하므로 항상 자격 있는 관리 담당자만 액세스할 수 있는 물리적으로 안전한 위치에 보관해야 합니다. 도메인 컨트롤러를 지사와 같이 안전하지 않은 위치에 보관해야 하는 경우 여러 가지 보안 설정을 조정하여 물리적 위협으로부터 가능한 손상을 제한할 수 있습니다.
도메인 컨트롤러 기준 정책
이 가이드 뒷부분에 자세히 설명되어 있는 다른 서버 역할 정책과 달리, 도메인 컨트롤러 서버 역할의 그룹 정책은 4장 "구성원 서버 기준 정책"에 정의된 MSBP(구성원 서버 기준 정책)와 같은 기준 정책입니다. DCBP(도메인 컨트롤러 기준 정책)는 Domain Controllers OU에 연결되어 있으며 기본 도메인 컨트롤러 정책보다 우선적으로 적용됩니다. DCBP에 포함되어 있는 정책 설정은 작업 환경에 있는 모든 도메인 컨트롤러의 전반적인 보안을 강화합니다.
대부분의 DCBP는 MSBP에서 복사됩니다. 따라서 DCBP에 포함된 많은 정책 설정을 충분히 이해하려면 4장 "구성원 서버 기준 정책"을 주의깊게 검토해야 합니다. 이 장에서는 MSBP의 설정과 다른 DCBP 설정만 설명합니다.
도메인 컨트롤러 템플릿은 이 가이드에 정의된 세 가지 환경의 보안 요구를 해결하도록 설계되었습니다. 다음 표에서는 LC(레거시 클라이언트), EC(엔터프라이즈 클라이언트) 및 SSLF(특수 보안 - 기능 제한) 환경에 대해 이 가이드에 포함되어 있는 domain controller.inf 파일을 보여 줍니다. 예를 들어 EC-Domain Controller.inf 파일은 엔터프라이즈 클라이언트 환경을 위한 보안 템플릿입니다.
표 5.1 도메인 컨트롤러 기준 보안 템플릿
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
LC-Domain Controller.inf
EC-Domain Controller.inf
SSLF-Domain Controller.inf
**참고**: 잘못 구성된 GPO(그룹 정책 개체)를 Domain Controllers OU에 연결하면 도메인 작업이 심각하게 손상될 수 있습니다. 이러한 보안 템플릿을 가져올 때는 특히 주의해야 하며 GPO를 Domain Controllers OU에 연결하기 전에 가져온 모든 정책 설정이 올바른지 확인해야 합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 감사 정책 설정
도메인 컨트롤러의 감사 정책 설정은 MSBP에 지정된 감사 정책 설정과 거의 동일합니다. 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. DCBP의 정책 설정을 사용하면 모든 관련 보안 감사 정보가 도메인 컨트롤러에 기록됩니다.
**표 5.2 감사 정책 권장 설정**
설정
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
디렉터리 서비스 액세스 감사
감사 없음
감사 없음
실패
#### 디렉터리 서비스 액세스 감사
이 정책 설정은 지정된 SACL(시스템 액세스 제어 목록)이 있는 Active Directory 개체에 대한 사용자 액세스를 감사할지 여부를 결정합니다. **디렉터리 서비스 액세스 감사** 설정을 정의하면 성공을 감사할지, 실패를 감사할지 또는 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 사용자가 SACL이 지정된 Active Directory 개체에 액세스할 때 감사 항목을 생성합니다. 실패 감사는 사용자가 SACL이 지정된 Active Directory 개체에 액세스하지 못할 때마다 감사 항목을 생성합니다.
DCBP에서 **디렉터리 서비스 액세스 감사** 설정을 활성화하고 디렉터리 개체에 대해 SACL을 구성하면 도메인 컨트롤러의 보안 로그에 많은 양의 항목이 생성될 수 있습니다. 생성된 정보를 실제로 사용하려는 경우에만 이 설정을 활성화해야 합니다.
LC 및 EC 환경에서는 **디렉터리 서비스 액세스 감사** 설정이 **감사 안 함**으로 구성되고 SSLF 환경에서는 **실패** 이벤트를 기록하도록 구성됩니다.
다음 표는 **디렉터리 서비스 액세스 감사** 설정이 보안 로그에 기록하는 중요한 보안 이벤트를 보여 줍니다.
**표 5.3 디렉터리 서비스 액세스 이벤트**
이벤트 ID
이벤트 설명
ID
설명
566
일반 개체 작업이 발생했습니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 사용자 권한 할당 설정
DCBP는 도메인 컨트롤러에 대한 여러 가지 사용자 권한 할당을 지정합니다. 이 가이드에 정의된 세 가지 환경의 도메인 컨트롤러에 대한 보안을 강화하기 위해 기본 구성 외에 몇 가지 사용자 권한 설정이 수정되었습니다.
여기서는 MSBP의 사용자 권한 설정과는 다른, DCBP용으로 지정된 사용자 권한 설정에 대해 자세히 설명합니다. 이 섹션에 나오는 규정된 설정은 이 가이드의 다운로드 가능 버전에 포함되어 있는 Microsoft Excel® 통합 문서 "Windows Server 2003 보안 가이드 설정"에 요약되어 있습니다.
다음 표에서는 DCBP에 대해 권장되는 사용자 권한 할당을 요약해서 보여 줍니다. 표 다음에 나오는 섹션에서는 각 설정에 대한 추가 정보가 제공됩니다.
**표 5.4 사용자 권한 할당 권장 설정**
Administrators, Server Operators, Backup Operators
Administrators, Server Operators, Backup Operators
Administrators
터미널 서비스를 통한 로그온 허용
Administrators
Administrators
Administrators
시스템 시간 바꾸기
Administrators
Administrators
Administrators
컴퓨터 및 사용자 계정을 위임용으로 트러스트할 수 있음
정의되지 않음
정의되지 않음
Administrators
장치 드라이버 로드 및 언로드
Administrators
Administrators
Administrators
파일 및 디렉터리 복원
Administrators
Administrators
Administrators
시스템 종료
Administrators
Administrators
Administrators
#### 네트워크에서 이 컴퓨터 액세스
이 정책 설정은 네트워크에서 해당 도메인 컨트롤러에 연결할 수 있는 사용자 및 그룹을 결정합니다. 이 설정은 도메인 컨트롤러 간의 Active Directory 복제, 사용자 및 컴퓨터에서 도메인 컨트롤러로의 인증 요청, 공유 폴더 및 프린터에 대한 액세스 등의 많은 네트워크 작업에 필요합니다.
Windows Server 2003 SP1에서 **Everyone** 보안 그룹에 할당되는 권한은 익명 사용자에게 액세스 권한을 제공하지 않지만 게스트 그룹 및 계정에는 **Everyone** 보안 그룹을 통해 액세스 권한이 계속 제공될 수 있습니다.
따라서 SSLF 환경의 DCBP에서는 **Everyone** 보안 그룹이 **네트워크에서 이 컴퓨터 액세스** 사용자 권한에서 제거됩니다. 이 그룹을 제거하면 도메인에 대해 게스트 권한으로 액세스하는 경우를 방지할 수 있습니다. 이 정책 설정은 LC 및 EC 환경에서 **정의되지 않음**으로 구성됩니다.
#### 워크스테이션을 도메인에 추가
이 정책 설정은 특정 도메인에 컴퓨터 워크스테이션을 추가할 수 있는 사용자를 지정합니다. 이 정책 권한을 적용하려면 해당 도메인의 기본 도메인 컨트롤러 정책의 일부로 사용자에게 할당해야 합니다. 이 권한이 부여된 사용자는 최대 10개의 워크스테이션을 도메인에 추가할 수 있습니다. Active Directory의 OU 또는 컴퓨터 컨테이너에 대해 **컴퓨터 개체 만들기** 권한이 부여된 사용자는 **워크스테이션을 도메인에 추가** 사용자 권한의 할당 여부에 관계없이 도메인에 무제한으로 컴퓨터를 추가할 수 있습니다.
기본적으로 **Authenticated Users** 그룹의 모든 사용자는 Active Directory 도메인에 컴퓨터 계정을 최대 10개까지 추가할 수 있습니다. 이러한 새 컴퓨터 계정은 컴퓨터 컨테이너에 만들어집니다.
Windows 기반 네트워크에서 보안 주체라는 용어는 리소스에 대한 액세스를 제어하기 위해 보안 식별자가 자동으로 할당된 사용자, 그룹 또는 컴퓨터로 정의됩니다. Active Directory 도메인에서 각 컴퓨터 계정은 도메인 리소스를 인증하고 액세스할 수 있는 완전한 보안 사용자가 됩니다. 그러나 일부 조직에서는 컴퓨터를 일관되게 추적, 구축 및 관리하기 위해 Active Directory 환경의 컴퓨터 수를 제한하려고 합니다. 사용자에게 도메인에 컴퓨터를 추가할 수 있는 권한이 부여되면 추적 및 관리 노력은 소용이 없게 됩니다. 또한 사용자는 권한이 없는 도메인 컴퓨터를 추가로 만들 수 있기 때문에 추적하기 더욱 어려운 활동을 수행할 수 있습니다.
따라서 SSLF 환경의 DCBP에서는 **워크스테이션을 도메인에 추가** 사용자 권한이 **Administrators** 그룹에만 할당됩니다. 이 정책 설정은 LC 및 EC 환경에서 **정의되지 않음**으로 구성됩니다.
#### 로컬로 로그온 허용
이 정책 설정은 도메인 컨트롤러에서 대화형 세션을 시작할 수 있는 사용자를 지정합니다. **터미널 서비스를 통한 로그온 허용** 사용자 권한이 할당되면 이 권한이 없는 사용자도 도메인 컨트롤러에서 원격 대화형 세션을 시작할 수 있습니다.
도메인 컨트롤러 콘솔에 로그온할 수 있는 계정의 수를 제한하면 도메인 컨트롤러 파일 시스템과 시스템 서비스에 대한 무단 액세스가 방지됩니다. 도메인 컨트롤러의 콘솔에 로그온할 수 있는 사용자가 시스템을 악용하여 전체 도메인이나 포리스트의 보안을 손상시킬 수 있습니다.
기본적으로 **Account Operators**, **Backup Operators**, **Print Operators** 및 **Server Operators** 그룹에는 도메인 컨트롤러에 대해 **로컬로 로그온 허용** 사용자 권한이 할당됩니다. 이러한 그룹의 사용자는 관리 작업을 수행하기 위해 도메인 컨트롤러에 로그온할 필요가 없으며 다른 워크스테이션에서 작업을 수행할 수 있습니다. 도메인 컨트롤러에서는 **Administrators** 그룹의 사용자만 유지 관리 작업을 수행해야 합니다.
**로컬로 로그온 허용** 사용자 권한을 **Administrators** 그룹에만 할당하면 도메인 컨트롤러에 대한 실제 대화형 액세스가 확실히 신뢰할 수 있는 사용자로만 제한되므로 보안이 향상됩니다. 따라서 SSLF 환경의 DCBP에서는 **로컬로 로그온 허용** 사용자 권한이 **Administrators** 그룹에만 할당되고 LC 및 EC 환경에서는 **Server Operators** 및 **Backup Operators** 그룹을 포함하도록 구성됩니다.
#### 터미널 서비스를 통한 로그온 허용
이 정책 설정은 원격 데스크톱 연결을 통해 도메인 컨트롤러에 로그온할 수 있는 사용자를 지정합니다.
터미널 서비스를 통해 도메인 컨트롤러 콘솔에 로그온할 수 있는 계정의 수를 제한하면 도메인 컨트롤러 파일 시스템과 시스템 서비스에 대한 무단 액세스가 방지됩니다. 터미널 서비스를 통해 도메인 컨트롤러의 콘솔에 로그온할 수 있는 사용자는 해당 시스템을 이용할 수 있으며 전체 도메인이나 포리스트의 보안을 손상시킬 수 있습니다.
**터미널 서비스를 통한 로그온 허용** 사용자 권한을 **Administrators** 그룹에만 할당하면 도메인 컨트롤러에 대한 대화형 액세스가 확실히 신뢰할 수 있는 사용자로만 제한되므로 보안이 향상됩니다. 따라서 이 가이드에 정의된 세 가지 환경의 DCBP에서 **터미널 서비스를 통한 로그온 허용** 사용자 권한은 **Administrators** 그룹에만 할당됩니다. 터미널 서비스를 통해 도메인 컨트롤에 로그온하려면 기본적으로 관리 액세스 권한이 필요하지만 이 정책 설정을 구성하면 네트워크를 손상시킬 수 있는 부주의하거나 악의적인 작업으로부터 보호할 수 있습니다.
추가 보안 대책으로 DCBP는 기본 Administrator 계정의 **터미널 서비스를 통한 로그온 허용** 사용자 권한을 거부합니다. 이 구성은 악의적인 사용자가 기본 Administrator 계정을 사용하여 도메인 컨트롤러에 원격으로 침입을 시도하지 못하도록 합니다. 이 정책 설정에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오.
#### 시스템 시간 바꾸기
이 정책 설정은 컴퓨터의 내부 시계에서 시간을 조정할 수 있는 사용자를 지정합니다. 그러나 표준 시간대나 시스템 시간의 다른 디스플레이 특성을 변경하는 데는 이 권한이 필요하지 않습니다.
동기화된 시스템 시간은 Active Directory 작동에 중요합니다. Kerberos 인증 프로토콜에서 사용하는 적절한 Active Directory 복제 및 인증 티켓 생성 프로세스를 사용하려면 모든 환경의 시간을 동기화해야 합니다.
작업 환경에서 다른 도메인 컨트롤러의 시스템 시간과 동기화되지 않은 도메인 컨트롤러 시계는 도메인 서비스의 작업을 방해할 수 있습니다. 관리자만 시스템 시간을 수정할 수 있도록 허용하면 도메인 컨트롤러의 시스템 시간이 틀릴 확률이 최소화됩니다.
기본적으로 **Server Operators** 그룹에는 도메인 컨트롤러에서 시스템 시간을 수정할 권한이 부여됩니다. 이 그룹의 구성원이 도메인 컨트롤러의 시계를 잘못 수정하여 발생할 수 있는 문제 때문에 이 가이드에 정의된 세 가지 환경에 대해 DCBP에서는 **시스템 시간 바꾸기** 사용자 권한이 **Administrators** 그룹에만 부여됩니다.
Microsoft Windows® 시간 서비스에 대한 자세한 내용은 [Windows 시간 서비스 기술 참조 (영문)](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/techref/a0fcd250-e5f7-41b3-b0e8-240f8236e210.mspx)(www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/
a0fcd250-e5f7-41b3-b0e8-240f8236e210.mspx)를 참조하십시오.
#### 컴퓨터 및 사용자 계정을 위임용으로 트러스트할 수 있음
이 정책 설정은 사용자가 Active Directory의 사용자 또는 컴퓨터 개체에 대해 **위임용으로 트러스트** 설정을 변경할 수 있는 사용자를 지정합니다. 인증의 위임은 다계층 클라이언트/서버 응용 프로그램에서 사용하는 기능입니다. 이 설정을 사용하면 응용 프로그램과 같은 프런트 엔드 서비스가 데이터베이스와 같은 백 엔드 서비스를 인증하는 데 클라이언트의 자격 증명을 사용할 수 있습니다. 이러한 인증이 가능하려면 클라이언트와 서버가 모두 위임용으로 트러스트된 계정에서 실행되어야 합니다.
이 사용자 권한을 남용하면 허가되지 않은 사용자가 네트워크의 다른 사용자를 가장할 수 있습니다. 공격자는 이 사용자 권한으로 다른 사용자를 가장하여 네트워크 리소스에 액세스할 수 있으므로 보안 사고 후에 어떤 일이 발생했는지 파악하기 더욱 어려워질 수 있습니다.
**컴퓨터 및 사용자 계정을 위임용으로 트러스트할 수 있음** 사용자 권한은 SSLF 환경의 도메인 컨트롤러에서 **Administrators** 그룹에만 할당됩니다. 이 정책 설정은 LC 및 EC 환경에서 **정의되지 않음**으로 구성됩니다.
**참고**: 기본 도메인 컨트롤러 정책은 **Administrators** 그룹에 이 사용자 권한을 할당하지만 DCBP는 원래 MSBP를 기반으로 하기 때문에 SSLF 환경에서만 이 권한을 적용합니다. MSBP는 이 권한에 Null 값을 할당합니다.
#### 장치 드라이버 로드 및 언로드
이 정책 설정은 장치 드라이버를 로드 및 언로드할 수 있는 사용자를 지정하며 플러그 앤 플레이 장치의 로드 및 언로드에 필요합니다.
도메인 컨트롤러의 장치 드라이버를 부주의하게 관리하면 버그나 악의적인 코드가 도메인 컨트롤러의 작동을 고의로 방해할 수 있습니다. DCBP에서 장치 드라이버를 로드 및 언로드할 수 있는 계정이 가장 신뢰도가 높은 사용자로만 제한되면 장치 드라이버가 도메인 컨트롤러 침투에 이용될 가능성이 최소화됩니다.
기본적으로 **장치 드라이버 로드 및 언로드** 사용자 권한은 **Print Operators** 그룹에 할당됩니다. 앞에서 설명한 것처럼 도메인 컨트롤러에서 프린터 공유를 만드는 것은 권장되지 않습니다. 이렇게 하면 **Print Operators**가 장치 드라이버를 로드 및 언로드하는 기능을 가질 필요가 없습니다. 따라서 이 가이드에 정의된 세 가지 환경의 DCBP에서는 **장치 드라이버 로드 및 언로드** 사용자 권한이 **Administrators** 그룹에만 할당됩니다.
#### 파일 및 디렉터리 복원
이 정책 설정은 파일 및 디렉터리 권한이 없어도 복원 프로세스를 수행할 수 있는 사용자를 지정합니다. 모든 유효한 보안 주체는 개체의 소유자로 설정될 수 있습니다.
파일 및 디렉터리를 도메인 컨트롤러의 파일 시스템으로 복원할 수 있는 계정은 실행 파일을 쉽게 수정할 수 있습니다. 악의적인 사용자는 이 능력을 이용하여 도메인 컨트롤러를 쓸모 없게 만들 뿐 아니라 도메인이나 전체 포리스트의 보안을 손상시킬 수 있습니다.
기본적으로 **파일 및 디렉터리 복원** 사용자 권한은 **Server Operators** 및 **Backup Operators** 그룹에 할당됩니다. 이러한 그룹에서 이 사용자 권한을 제거한 후 **Administrators** 그룹에만 할당하면 파일 시스템을 부적절하게 수정하여 도메인 컨트롤러를 손상시킬 가능성이 줄어듭니다. 따라서 이 가이드에 정의된 세 가지 환경의 DCBP에서는 **파일 및 디렉터리 복원** 사용자 권한이 **Administrators** 그룹에만 할당됩니다.
#### 시스템 종료
이 정책 설정은 로컬 컴퓨터를 종료할 수 있는 사용자를 지정합니다.
도메인 컨트롤러를 종료할 수 있는 악의적인 사용자는 DoS(서비스 거부) 공격을 쉽게 시작하여 전체 도메인이나 포리스트에 심각한 영향을 미칠 수 있습니다. 공격자는 이 사용자 권한을 이용하여 서비스를 다시 시작할 때 도메인 컨트롤러 계정에 대한 권한 승격 공격을 시작할 수 있습니다. 도메인 컨트롤러에 대한 권한 승격 공격이 성공하면 도메인이나 전체 포리스트의 보안이 손상됩니다.
기본적으로 **시스템 종료** 사용자 권한은 **Administrators**, **Server Operators**, **Print Operators** 및 **Backup Operators** 그룹에만 할당됩니다. 보안 환경에서는 이러한 그룹 중 **Administrators**를 제외하면 관리 작업을 수행하는 데 이 권한이 필요하지 않습니다. 따라서 이 가이드에 정의된 세 가지 환경의 DCBP에서 **시스템 종료** 사용자 권한은 **Administrators** 그룹에만 할당됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 보안 옵션
도메인 컨트롤러의 보안 옵션 설정 대부분은 MSBP에 지정된 보안 옵션 설정과 동일합니다. 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. 다음 섹션에서는 MSBP 및 DCBP 정책 설정 간의 차이점에 대해 설명합니다.
#### 도메인 컨트롤러 설정
**표 5.5 보안 옵션 도메인 컨트롤러 권장 설정**
설정
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
Server Operator가 작업을 스케줄하도록 허용
사용 안 함
사용 안 함
사용 안 함
LDAP 서버 서명 필요
정의되지 않음
정의되지 않음
서명 필요
컴퓨터 계정 암호 변경 거부
사용 안 함
사용 안 함
사용 안 함
##### 도메인 컨트롤러: Server Operator가 작업을 스케줄하도록 허용
이 정책 설정은 **Server Operators** 그룹의 구성원이 AT 스케줄 기능을 사용하여 작업을 제출할 수 있는지 여부를 결정합니다.
**도메인 컨트롤러: Server Operator가 작업을 스케줄하도록 허용** 설정은 이 가이드에 정의된 세 가지 환경의 DCBP에서 **사용 안 함**으로 구성됩니다. 대부분의 조직에서 이 정책 설정 구성을 사용하지 않을 경우의 영향은 작아야 합니다. **Server Operators** 그룹의 사용자를 포함하여 사용자는 여전히 작업 스케줄러 마법사를 사용하여 작업을 만들 수 있지만 이 작업은 해당 사용자가 작업을 설정할 때 인증한 계정 컨텍스트에서 실행됩니다.
**참고**: AT 서비스 계정을 수정하여 LOCAL SYSTEM 계정이 아닌 다른 계정을 선택할 수 있습니다. 계정을 변경하려면 시스템 도구를 열고 **예약된 작업**을 클릭한 다음 **보조프로그램** 폴더를 클릭합니다. 그런 다음 **고급** 메뉴에서 **AT 서비스 계정**을 클릭합니다.
##### 도메인 컨트롤러: LDAP 서버 서명 필요
이 정책 설정은 LDAP 서버가 LDAP 클라이언트와 협상하기 전에 서명을 요구할지 여부를 결정합니다. 서명되지 않고 암호화되지도 않은 네트워크 트래픽은 끼어들기 공격을 받기 쉽습니다. 이 공격 유형에서 침입자는 서버와 클라이언트 사이의 패킷을 캡처한 후 수정하여 클라이언트에 전달합니다. LDAP 서버에서는 공격자가 LDAP 디렉터리의 잘못된 레코드를 기준으로 클라이언트에서 의사 결정을 내리도록 만들 수 있습니다.
모든 도메인 컨트롤러에서 Windows 2000 또는 Windows Server 2003이 실행되면 **도메인 컨트롤러: LDAP 서버 서명 필요** 설정을 **서명 필요**로 구성하고 그렇지 않으면 이 정책 설정을 **정의되지 않음**으로 둡니다. LC 및 EC 환경의 DCBP는 이와 같이 구성됩니다. SSLF 환경의 모든 컴퓨터에서 Windows 2000 또는 Windows Server 2003이 실행되므로 이 정책 설정은 이 환경의 DCBP에서 **서명 필요**로 구성됩니다.
##### 도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부
이 정책 설정은 도메인 컨트롤러에서 구성원 컴퓨터의 컴퓨터 계정 암호 변경 요청을 거부할 것인지 여부를 결정합니다. 도메인의 모든 도메인 컨트롤러에서 이 정책 설정을 활성화하면 도메인 구성원의 컴퓨터 계정 암호를 변경할 수 없으므로 공격 받기 더 쉬워집니다.
따라서 이 가이드에 정의된 세 가지 환경의 DCBP에서는 **도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부** 설정이 **사용 안 함**으로 구성됩니다.
#### 네트워크 보안 설정
**표 5.6 보안 옵션: 네트워크 보안 권장 설정**
설정
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
다음 암호 변경 시 Lan Manager 해시 값 저장 안 함
사용
사용
사용
#### 네트워크 보안: 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함
이 정책 설정은 암호가 변경될 때 새 암호에 대한 LM(LAN Manager) 해시 값을 저장할지 여부를 결정합니다. LM 해시는 비교적 약하며 암호화된 강력한 Windows NT® 해시와 비교할 때 공격받기 쉽습니다.
따라서 이 가이드에 정의된 세 가지 환경에서 DCBP는 **네트워크 보안: 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함** 설정을 활성화합니다.
**참고**: 이 정책 설정을 활성화하면 이전 운영 체제 및 일부 타사 응용 프로그램이 작동되지 않습니다. 예를 들어 Windows 95 및 Windows 98은 Active DSCLient(Directory Client Extension)가 설치되어 있지 않으면 작동되지 않습니다. 또한 이 정책 설정을 활성화한 경우에는 모든 계정이 암호를 변경하도록 요구됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 이벤트 로그 설정
도메인 컨트롤러의 이벤트 로그 설정은 MSBP에 지정된 이벤트 로그 설정과 동일합니다. 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. DCBP의 기준 설정을 사용하면 모든 관련 보안 감사 정보가 디렉터리 서비스 액세스를 포함하여 도메인 컨트롤러에 기록됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 제한된 그룹
이전 장에서 설명된 것처럼 **제한된 그룹** 설정을 사용하면 Active Directory 그룹 정책을 통해 Windows Server 2003 SP1의 그룹 구성원을 관리할 수 있습니다. 먼저 조직의 요구를 검토하여 제한하려는 그룹을 결정합니다. 도메인 컨트롤러의 경우 이 가이드에 정의된 세 가지 환경에서 **Server Operators** 및 **Backup Operators** 그룹이 제공됩니다. **Backup Operators** 및 **Backup Operator** 그룹의 구성원은 **Administrators** 그룹의 구성원보다 액세스 권한이 약하지만 여전히 강력한 권한을 갖습니다.
**참고:** 조직에서 이러한 그룹을 사용할 경우에는 해당 구성원 자격을 주의해서 제어해야 하며 **제안된 그룹** 설정에 대한 지침을 구현하지 마십시오. 조직에서 Server Users 그룹에 사용자를 추가할 경우 이전 장에 나오는 “파일 시스템 보안 유지" 섹션에 설명된 선택적 파일 시스템 사용 권한을 구현할 수 있습니다.
**표 5.7 제한된 그룹 권장 사항**
로컬 그룹
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
Backup Operators
구성원 없음
구성원 없음
구성원 없음
Server Operators
구성원 없음
구성원 없음
구성원 없음
Windows Server 2003 SP1에서는 그룹 정책 개체 편집기의 다음 위치에서 **제한된 그룹** 설정을 구성할 수 있습니다.
**컴퓨터 구성\\Windows 설정\\보안 설정\\제한된 그룹\\**
관리자는 원하는 그룹을 GPO 네임스페이스의 **제한된 그룹** 노드에 직접 추가하여 GPO의 제한된 그룹을 구성할 수 있습니다.
그룹이 제한되면 해당 구성원과 구성원이 속하는 다른 그룹을 정의할 수 있습니다. 이러한 그룹 구성원을 지정하지 않으면 그룹이 전체적으로 제한된 상태를 유지합니다. 보안 템플릿을 사용해야만 그룹을 제한할 수 있습니다.
**제한된 그룹 설정을 보거나 수정하려면**
1. 보안 템플릿 관리 콘솔을 엽니다.
**참고**: 관리 도구 메뉴에는 보안 템플릿 관리 콘솔이 기본적으로 추가되어 있지 않습니다. 보안 템플릿 관리 콘솔을 추가하려면 Microsoft Management Console(mmc.exe)을 시작하고 보안 템플릿 추가 기능을 추가합니다.
2. 구성 파일 디렉터리를 두 번 클릭하고 구성 파일을 두 번 클릭합니다.
3. **제한된 그룹** 항목을 두 번 클릭합니다.
4. **제한된 그룹**을 마우스 오른쪽 단추로 클릭합니다.
5. **그룹 추가**를 선택합니다.
6. **찾아보기** 단추를 클릭하고 **위치**를 클릭한 후 원하는 위치를 선택하고 **확인**을 클릭합니다.
**참고**: 일반적으로 이 작업을 수행하면 로컬 컴퓨터가 목록 맨 위에 표시됩니다.
7. **선택할 개체 이름 입력하십시오.** 입력란에 그룹 이름을 입력하고 **이름 확인** 단추를 클릭합니다.
- 또는 -
**고급** 단추를 클릭하고 **지금 찾기** 단추를 클릭하여 사용 가능한 그룹을 모두 나열합니다.
8. 제한할 그룹을 선택하고 **확인**을 클릭합니다.
9. **그룹 추가** 대화 상자에서 **확인**을 클릭하여 대화 상자를 닫습니다.
이 가이드에서 **Server Operators** 및 **Backup Operators** 그룹의 모든 구성원(사용자와 그룹)은 두 환경에서 완전히 제한되도록 제거되었습니다. 또한 SSLF 환경에서는 **Remote Desktop Users** 그룹의 모든 구성원이 제거되었습니다. 조직에서 사용하지 않으려는 기본 제공 그룹을 제한하는 것이 좋습니다.
**참고**: 이 섹션에 설명된 제한된 그룹의 구성은 매우 간단합니다. Windows XP SP1 및 SP2와 Windows Server 2003에서는 좀 더 복잡한 디자인을 사용할 수 있습니다. 자세한 내용은 Microsoft 기술 자료 문서 “[사용자 정의 로컬 그룹의 제한된 그룹("소속 그룹") 동작 업데이트](https://support.microsoft.com/default.aspx?kbid=810076)”(https://support.microsoft.com/default.aspx?kbid=810076)를 참조하십시오.
[](#mainsection)[페이지 위쪽](#mainsection)
### 추가 보안 설정
이 섹션에서는 DCBP에서 수행해야 하는 수정은 물론 그룹 정책을 통해 구현할 수 없는 추가 설정 및 대책에 대해 설명합니다.
#### 사용자 권한 할당에 수동으로 고유 보안 그룹 추가
DCBP를 통해 적용되는 대부분의 사용자 권한 할당은 이 가이드와 함께 제공되는 보안 템플릿에 적절히 지정되어 있습니다. 그러나 일부 계정 및 보안 그룹의 경우에는 해당 SID(보안 식별자)가 개별 Windows Server 2003 도메인에서 고유하므로 템플릿에 포함할 수 없습니다. 다음 표에서는 수동으로 구성해야 하는 사용자 권한 할당을 보여 줍니다.
**경고**: 다음 표는 기본 제공 Administrator 계정 값을 포함합니다. 이 계정을 기본 제공 **Administrators** 보안 그룹과 혼동하면 안 됩니다. **Administrators** 보안 그룹을 다음 액세스 거부 사용자 권한에 추가한 경우 오류를 바로 잡기 위해 로컬로 로그온해야 합니다.
또한 4장 "구성원 서버 기준 정책"의 권장 사항에 따라 기본 제공 Administrator 계정의 이름을 바꾼 경우 액세스 거부 사용자 권한에 계정을 추가할 때 이름을 바꾼 새 Administrator 계정을 선택해야 합니다.
**표 5.8 수동으로 추가되는 사용자 권한 할당**
설정
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
네트워크에서 이 컴퓨터 액세스 거부
기본 제공 Administrator, SUPPORT_388945a0,
Guest, 모든 비운영 체제 서비스 계정
기본 제공 Administrator, SUPPORT_388945a0,
Guest, 모든 비운영 체제 서비스 계정
기본 제공 Administrator, SUPPORT_388945a0,
Guest, 모든 비운영 체제 서비스 계정
일괄 작업으로 로그온 거부
Support_388945a0 및 Guest
Support_388945a0 및 Guest
Support_388945a0 및 Guest
터미널 서비스를 통한 로그온 거부
기본 제공 Administrator, 모든 비운영 체제 서비스 계정
기본 제공 Administrator, 모든 비운영 체제 서비스 계정
기본 제공 Administrator, 모든 비운영 체제 서비스 계정
**중요**: “모든 비운영 체제 서비스 계정”에는 엔터프라이즈 전체에서 특정 응용 프로그램용으로 사용되는 서비스 계정이 포함되지만 LOCAL SYSTEM, LOCAL SERVICE 또는 NETWORK SERVICE 계정(운영 체제에서 사용하는 기본 제공 계정)은 포함되지 않습니다.
#### 디렉터리 서비스
Windows Server 2003 SP1을 실행하는 도메인 컨트롤러는 디렉터리 데이터를 저장하고 사용자 로그온 프로세스, 인증, 디렉터리 검색 같은 사용자와 도메인 상호 작용을 관리합니다.
##### 데이터 재배치 – Active Directory 데이터베이스 및 로그 파일
디렉터리 무결성 및 안정성을 유지하기 위해서는 반드시 Active Directory 데이터베이스와 해당 로그 파일의 보안을 유지해야 합니다.
Ntds.dit, Edb.log 및 Temp.edb 파일을 기본 위치에서 이동하면 도메인 컨트롤러가 손상되는 경우 공격자로부터 이러한 파일을 숨길 수 있습니다. 시스템 볼륨의 파일을 별도의 물리적 디스크로 이동하면 도메인 컨트롤러의 성능이 향상됩니다.
따라서 도메인 컨트롤러의 Active Directory 데이터베이스 및 로그 파일을 운영 체제가 없는 스트라이프 또는 스트라이프/미러 디스크 볼륨으로 이동하는 것이 좋습니다. 이 가이드에 정의된 세 가지 환경에서는 이러한 파일이 이동됩니다.
##### Active Directory 로그 파일 크기 조정
Active Directory의 무결성, 안정성 및 가용성을 효과적으로 모니터링하고 유지 관리하려면 적당량의 정보가 기록되어야 합니다. 작업 환경의 모든 도메인 컨트롤러에 있는 정보가 필요합니다.
이를 지원하기 위해 로그 파일의 최대 크기를 늘릴 수 있습니다. 로그 정보가 많을수록 해커 공격이 발생할 때 관리자는 의미 있는 감사를 수행할 수 있습니다.
따라서 이 가이드에 정의된 세 가지 환경의 도메인 컨트롤러에서는 디렉터리 서비스 및 파일 복제 서비스 로그 파일의 최대 크기를 512KB에서 16MB로 늘리는 것이 좋습니다.
##### Syskey 사용
도메인 컨트롤러에서 암호 정보는 Active Directory에 저장됩니다. 암호를 해독 소프트웨어는 일반적으로 사용자 계정 암호에 액세스하기 위해 SAM(보안 계정 관리자) 데이터베이스나 디렉터리 서비스를 대상으로 합니다.
시스템 키 유틸리티(Syskey)는 오프라인 암호 해독 소프트웨어로부터 방어하는 추가 보안 기능을 제공합니다. Syskey는 강력한 암호화 기법을 사용하여 도메인 컨트롤러의 SAM에 저장된 계정 암호 정보를 보호합니다.
**표 5.9 Syskey 모드**
시스템 키 옵션
보안 수준
설명
모드 1: 시스템 생성 암호, 시작 키를 로컬에 저장
안전
컴퓨터에서 생성한 임의 키를 시스템 키로 사용하고 암호화된 버전의 키를 로컬 컴퓨터에 저장합니다. 이 옵션은 레지스트리에 있는 암호 정보의 강력한 암호화를 제공하며 관리자는 사용자가 암호를 입력하거나 디스크를 삽입할 필요 없이 컴퓨터를 다시 시작하도록 할 수 있습니다.
모드 2: 관리자 생성 암호, 시작 암호
보다 안전
컴퓨터에서 생성한 임의 키를 시스템 키로 사용하고 암호화된 버전의 키를 로컬 컴퓨터에 저장합니다. 키는 관리자가 선택한 암호로도 보호됩니다. 컴퓨터의 초기 시작 시퀀스에서 시스템 키 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 시스템 키 암호는 컴퓨터의 어느 위치에나 저장되지 않습니다.
모드 3: 시스템 생성 암호, 시작 키를 플로피 디스크에 저장
가장 안전
컴퓨터에서 생성한 임의 키를 사용하고 키를 플로피 디스크에 저장합니다. 컴퓨터를 시작하려면 시스템 키가 들어 있는 플로피 디스크가 필요하며 시작 시퀀스 동안 프롬프트가 나타날 때 삽입해야 합니다. 시스템 키는 컴퓨터에는 저장되지 않습니다.
Syskey는 모드 1(난독 처리된(obfuscated) 키)의 모든 Windows Server 2003 SP1 서버에서 사용됩니다. 안전한 시작 위치에서 처음에는 이 구성이 적절한 것처럼 보입니다. 그러나 모드 1의 Syskey를 사용하면 공격자가 디렉터리의 내용을 읽고 변경할 수 있으므로 물리적 액세스 권한이 있는 공격자가 도메인 컨트롤러를 쉽게 공격할 수 있습니다.
물리적 보안 위협에 노출된 모든 도메인 컨트롤러의 경우 모드 2(콘솔 암호) 또는 모드 3(Syskey 암호를 플로피에 저장)에서 Syskey 사용을 권장하는 여러 가지 이유가 있습니다. 그러나 작업 중에 도메인 컨트롤러를 다시 시작해야 하는 경우에는 Syskey 모드 2나 3을 지원하기 어려울 수 있습니다. 이러한 Syskey 모드가 제공하는 추가 보호 기능을 이용하려면 도메인 컨트롤러의 특정 가용성 요구 사항을 충족시키도록 사용자 환경에서 적절한 작동 프로세스를 구현해야 합니다.
Syskey 암호의 배치나 플로피 디스크 관리는 특히 지사에서는 매우 복잡할 수 있습니다. 예를 들어 다른 사용자가 시스템에 액세스할 수 있도록 지사 관리자나 로컬 관리 직원 중 한 명이 오전 3시에 사무실에 와서 암호를 입력하거나 플로피를 삽입하도록 하는 것은 비용이 많이 드는 일입니다. 또한 고가용성 SLA(Service Level Agreement)를 달성하기도 어려워집니다.
또는 중앙의 IT 운영 직원이 Syskey 암호를 원격으로 제공하도록 하려면 추가 하드웨어가 필요합니다. 일부 하드웨어 공급업체에서는 서버 콘솔에 원격으로 액세스할 수 있도록 하는 추가 기능 솔루션을 제공합니다.
마지막으로 Syskey 암호를 잊거나 플로피 디스크가 손실되면 도메인 컨트롤러를 다시 시작할 수 없는 상태에 이르게 됩니다. Syskey 암호를 잊거나 플로피 디스크를 잃은 경우 도메인 컨트롤러를 복구할 방법이 없습니다. 이런 상황이 발생하면 도메인 컨트롤러를 다시 구축해야 합니다.
그러나 적절한 작동 절차를 갖추고 있으면 Syskey는 도메인 컨트롤러에 있는 중요한 디렉터리 정보를 보호할 수 있는 향상된 보안 수준을 제공할 수 있습니다. 이런 이유로 강력한 물리적 저장소 보안이 없는 위치의 도메인 컨트롤러에는 Syskey 모드 2 또는 모드 3을 사용하는 것이 좋습니다. 이 구성은 이 가이드에 설명된 세 가지 환경의 도메인 컨트롤러에 적용됩니다.
**시스템 키를 만들거나 업데이트하려면**
1. **시작**, **실행**을 클릭하고 **syskey**를 입력한 후 **확인**을 클릭합니다.
2. **암호화 사용**을 클릭하고 **업데이트**를 클릭합니다.
3. 원하는 옵션을 클릭하고 **확인**을 클릭합니다.
#### Active Directory 통합 DNS
이 가이드에 정의된 세 가지 환경에서는 Active Directory 통합 DNS를 사용하는 것이 좋습니다. Active Directory 영역 통합을 수행할 경우 Active Directory 통합 DNS를 사용하지 않는 환경보다 Active Directory 통합 DNS를 사용하는 환경의 DNS 인프라를 보다 간편하게 보호할 수 있기 때문입니다.
##### DNS 서버 보호
모든 Active Directory 환경에서는 반드시 DNS 서버를 보호해야 합니다. 다음 섹션에서는 DNS 서버를 보호하는 방법에 대한 몇 가지 권장 사항과 설명을 제공합니다.
DNS 서버가 공격을 받을 때 공격자의 가능한 한 가지 목표는 DNS 클라이언트 쿼리에 응답하여 반환되는 DNS 정보를 제어하는 것입니다. 공격자가 이 정보를 제어할 경우 클라이언트는 자기도 모르게 허가되지 않은 컴퓨터로 리디렉션될 수 있습니다. IP 스푸핑과 캐시 포이즈닝은 이런 종류의 공격 예입니다.
IP 스푸핑에서는 액세스 권한을 얻으려는 승인 받지 않은 사용자의 IP 주소가 컴퓨터나 네트워크로 전송됩니다. 캐시 포이즈닝은 승인 받지 않은 호스트가 다른 호스트에 관한 잘못된 정보를 DNS 서버의 캐시로 전송하는 공격입니다. 이러한 공격이 발생하면 클라이언트는 허가되지 않은 컴퓨터로 리디렉션됩니다.
클라이언트 컴퓨터가 허가되지 않은 컴퓨터와 통신할 수 있도록 허용되면 허가되지 않은 컴퓨터가 클라이언트 컴퓨터의 정보에 액세스하려고 시도할 수 있습니다.
모든 공격이 DNS 서버에 스푸핑을 집중하는 것은 아닙니다. 일부 DoS 공격은 합법적인 DNS 서버에 있는 DNS 레코드를 변경하여 클라이언트 쿼리에 응답하여 잘못된 주소를 제공할 수 있습니다. DNS 서버가 잘못된 주소에 응답하면 클라이언트와 서버는 도메인 컨트롤러, 웹 서버 또는 파일 공유 같은 기능에 필요한 리소스를 찾을 수 없습니다.
따라서 이 가이드에 정의된 세 가지 환경에서 사용되는 라우터는 스푸핑된 IP 패킷을 제거하여 다른 컴퓨터가 DNS 서버의 IP 주소를 스푸핑할 수 없도록 구성됩니다.
##### 보안 동적 업데이트 구성
Windows Server 2003 SP1의 **DNS 클라이언트** 서비스는 동적 DNS 업데이트를 지원하여 클라이언트 컴퓨터가 데이터베이스에 직접 DNS 레코드를 추가할 수 있도록 합니다. 동적 DNS 서버가 보안되지 않은 업데이트를 받아들이도록 구성되면 공격자는 DNS 동적 업데이트 프로토콜을 지원하는 클라이언트 컴퓨터로부터 악의적이거나 허가되지 않은 업데이트를 전송할 수 있습니다.
적어도 공격자는 DNS 데이터베이스에 잘못된 항목을 추가할 수 있게 됩니다. 뿐만 아니라 최악의 경우 공격자는 DNS 데이터베이스에 포함되어 있는 올바른 항목을 덮어쓰거나 삭제할 수도 있습니다. 이러한 공격자는 다음과 같은 능력을 가질 수 있습니다.
- **클라이언트의 작업 경로를 승인 받지 않은 도메인 컨트롤러로 지정**. 클라이언트가 도메인 컨트롤러의 주소를 찾는 DNS 쿼리를 제출하면 손상된 DNS 서버는 승인 받지 않은 서버의 주소를 반환하도록 지시할 수 있습니다. 그런 후 DNS와 관련되지 않은 다른 공격을 사용하여 클라이언트를 속이고 허가되지 않은 서버로 보안 정보를 전송하도록 만들 수 있습니다.
- **잘못된 주소를 사용하여 DNS 쿼리에 응답**: 이렇게 하면 클라이언트와 서버가 서로를 찾을 수 없습니다. 클라이언트가 서버를 찾을 수 없으면 디렉터리에 액세스할 수 없습니다. 도메인 컨트롤러가 다른 도메인 컨트롤러를 찾을 수 없으면 디렉터리 복제가 중지되고 포리스트 전체의 사용자에게 영향을 미칠 수 있는 DoS 조건이 생성됩니다.
- **DoS 조건 생성**. 서버의 디스크 공간에 있는 거대한 파일 영역이 더미 레코드나 많은 수의 항목으로 채워져 복제가 느려질 수 있습니다.
보안 동적 DNS 업데이트를 사용하면 Active Directory 포리스트의 유효한 클라이언트에서 보낸 등록 요청만 처리됩니다. 이 방법은 공격자가 DNS 서버의 무결성을 손상시키지 못하도록 합니다.
따라서 이 가이드에 정의된 세 가지 환경의 Active Directory DNS 서버는 보안 동적 업데이트만 받아들이도록 구성됩니다.
##### 권한 있는 시스템에 영역을 전송하도록 제한
DNS에서 영역이 중요한 부분을 차지하므로 이름 확인 쿼리에 대해 적절한 가용성과 내결함성을 제공하도록 네트워크에 있는 둘 이상의 DNS 서버에서 영역을 사용할 수 있어야 합니다. 영역을 호스팅하는 추가 서버가 있을 경우 영역 서버를 호스팅하도록 구성된 각 서버에서 사용하는 영역의 모든 복사본을 복제하고 동기화하기 위해 영역을 전송해야 합니다.
또한 영역 전송을 요청할 수 있는 사용자를 제한하지 않는 DNS 서버는 영역을 요청하는 모든 사람에게 전체 DNS 영역을 전송하는 취약점이 있습니다. 이러한 전송은 Nslookup.exe 같은 도구를 사용하여 쉽게 수행할 수 있습니다. 이 도구는 호스트가 도메인 컨트롤러, 디렉터리(통합 웹 서버) 또는 Microsoft SQL Server™ 데이터베이스의 역할을 하는 DNS를 비롯하여 전체 도메인의 DNS 데이터 집합을 노출할 수 있습니다.
따라서 이 가이드에 정의된 세 가지 환경의 Active Directory 통합 DNS 서버는 영역 전송을 허용하지만 요청을 전송할 수 있는 컴퓨터를 제한하도록 구성됩니다.
##### 이벤트 로그 및 DNS 서비스 로그 크기 조정
DNS 서비스를 효과적으로 모니터링하고 유지 관리하려면 적절한 양의 정보가 기록되어야 합니다. 작업 환경의 모든 도메인 컨트롤러에 있는 정보가 필요합니다.
DNS 서비스 로그 파일의 최대 크기를 늘려 관리자가 보안 공격 발생 시 의미 있는 감사를 수행하도록 할 수 있습니다.
이 가이드에서는 정의된 세 가지 환경의 도메인 컨트롤러에서 DNS 서비스 로그 파일의 최대 크기를 적어도 16MB 이상으로 늘리도록 권장합니다. 또한 보존되는 로그 항목의 양을 최대화하려면 DNS 서비스의 **필요한 경우 이벤트 덮어쓰기** 옵션을 선택합니다.
#### 잘 알려진 계정의 보안 설정
Windows Server 2003 SP1에는 삭제할 수는 없지만 이름을 바꿀 수는 있는 다수의 기본 제공 사용자 계정이 있습니다. Windows Server 2003에서 가장 잘 알려진 두 가지 기본 제공 계정은 Guest 와 Administrator입니다.
Guest 계정은 구성원 서버와 도메인 컨트롤러에서 기본적으로 사용하지 않도록 설정됩니다. 이 구성은 변경하면 안 됩니다. 변형된 대부분의 악성 코드는 서버를 손상시키려는 초기 시도에서 기본 제공 Administrator 계정을 사용합니다. 따라서 공격자가 이러한 잘 알려진 계정을 사용하여 원격 서버를 손상시키지 못하도록 기본 제공 Administrator 계정의 이름을 바꾸고 해당 설명을 변경해야 합니다.
기본 제공 Administrator 계정의 SID(보안 식별자)를 지정하여 해당 계정의 실제 이름을 확인함으로써 서버 침입을 시도하는 공격 도구가 등장한 이후 지난 몇 년 동안 이 구성 변경 값은 감소했습니다. SID는 네트워크의 각 사용자, 그룹, 컴퓨터 계정 및 로그온 세션을 고유하게 식별하는 값입니다. 기본 제공 계정의 SID는 변경할 수 없습니다. 그러나 이 SID를 고유한 이름으로 바꾸면 작업 그룹에서 Administrator 계정에 대해 시도된 공격을 모니터링하기 쉬워집니다.
도메인 및 서버의 잘 알려진 계정에 보안을 설정하려면 다음 단계를 수행하십시오.
- 모든 도메인 및 서버에 대해 Administrator 및 Guest 계정의 이름을 변경하고 암호를 길고 복잡한 값으로 변경합니다.
- 각 서버에 서로 다른 이름과 암호를 사용합니다. 모든 도메인 및 서버에 사용된 계정 이름과 암호가 동일하면 하나의 구성원 서버에 액세스한 공격자가 계정 이름 및 암호가 같은 다른 모든 서버에도 액세스할 수 있게 됩니다.
- 계정을 쉽게 식별할 수 없도록 계정 설명을 기본값이 아닌 다른 값으로 변경합니다.
- 지정한 변경 내용을 안전한 위치에 기록해 둡니다.
**참고**: 그룹 정책을 통해 기본 제공 Administrator 계정의 이름을 변경할 수 있습니다. 모든 조직에서는 이 계정의 고유한 이름을 선택해야 하므로 이 가이드에 제공된 보안 템플릿에는 이 정책 설정이 구현되지 않았습니다. 그러나 EC 환경에서 Administrator 계정의 이름을 바꾸도록 **계정: Administrator 계정 이름 바꾸기** 설정을 구성할 수 있습니다. 이 정책 설정은 GPO의 보안 옵션 설정에 포함됩니다.
#### 서비스 계정 보안 설정
꼭 필요한 경우가 아니면 서비스가 도메인 계정의 보안 컨텍스트에서 실행되도록 구성하지 않습니다. 서버가 물리적으로 손상되면 LSA 기밀 정보를 덤프하여 도메인 계정 암호를 알아낼 수 있습니다. 서비스 계정에 대해 보안을 설정하는 방법에 대한 자세한 내용은 [서비스 및 서비스 계정 보안 계획 가이드](https://www.microsoft.com/korea/technet/security/topics/serversecurity/serviceaccount/default.mspx)(www.microsoft.com/korea/technet/security/topics/serversecurity/serviceaccount/default.mspx)를 참조하십시오.
#### 터미널 서비스 설정
**표 5.10 터미널 서비스 권장 설정**
기본값
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
클라이언트 연결 암호화 수준 설정
높음
높음
높음
**클라이언트 연결 암호화 수준 설정**은 사용자 환경에서 터미널 서비스 클라이언트 연결의 암호화 수준을 결정합니다. 128비트 암호화를 사용하는 **높은 수준** 옵션은 공격자가 패킷 분석기를 사용하여 터미널 서비스 세션을 도청하지 못하도록 합니다. 이전 버전의 터미널 서비스 클라이언트에서는 이 고급 수준의 암호화를 지원하지 않는 경우도 있습니다. 네트워크에 이러한 클라이언트가 포함된 경우에는 해당 클라이언트에서 지원하는 가장 높은 암호화 수준으로 데이터를 보내고 받도록 연결 암호화 수준을 설정합니다.
이 가이드에 정의된 세 가지 환경의 DCBP에서는 **클라이언트 연결 암호화 수준 설정**은 **사용**으로 구성되고 **높은 수준** 암호화가 선택됩니다.
Windows Server 2003에서는 그룹 정책 개체 편집기 내의 다음 위치에서 이 정책 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\**
**터미널 서비스\\암호화 및 보안**
다음 표에는 사용 가능한 세 가지 암호화 수준이 설명되어 있습니다.
**표 5.11 터미널 서비스 암호화 수준**
암호화 수준
설명
높은 수준
클라이언트에서 서버로 보낸 데이터와 서버에서 클라이언트로 보낸 데이터를 강력한 128비트 암호화로 암호화합니다. 원격 데스크톱 연결 클라이언트와 같은 128비트 클라이언트만이 포함된 환경에서 터미널 서버를 실행 중인 경우 이 수준을 사용합니다. 이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없습니다.
클라이언트 호환
클라이언트에서 지원하는 최대 키 강도로 클라이언트와 서버 간에 보낸 데이터를 암호화합니다. 혼합 또는 레거시 클라이언트가 포함된 환경에서 터미널 서버를 실행 중인 경우 이 수준을 사용합니다.
낮은 수준
클라이언트에서 서버로 보낸 데이터를 56비트 암호화로 암호화합니다.
중요: 서버에서 클라이언트로 보낸 데이터는 암호화하지 않습니다.
오류 보고
표 5.12 오류 보고 권장 설정
설정
레거시 클라이언트
엔터프라이즈 클라이언트
특수 보안 – 기능 제한
Windows 오류 보고 사용 안 함
사용
사용
사용
이 서비스는 Microsoft에서 오류를 추적하여 해결하는 데 도움을 줍니다. 이 서비스에서 운영 체제 오류, Windows 구성 요소 오류 또는 프로그램 오류에 대한 보고서를 생성하도록 구성할 수 있습니다. 이 서비스는 Windows XP Professional 및 Windows Server 2003에서만 사용할 수 있습니다.
**오류 보고** 서비스는 인터넷 또는 내부 파일 공유를 통해 Microsoft에 이러한 오류를 보고할 수 있습니다. 오류 보고에는 중요하거나 기밀인 회사 데이터가 포함될 수 있지만 오류 보고와 관련된 Microsoft 개인 정보 보호 정책은 Microsoft에서 이러한 데이터를 부적절하게 사용하지 않을 것임을 보장합니다. 데이터는 암호화되지 않은 텍스트로 HTTP(Hypertext Transfer Protocol)를 통해 전송되므로 인터넷 상에서 제3자가 가로채어 볼 수 있습니다.
**Windows오류 보고 사용 안 함** 설정은 **오류 보고** 서비스가 데이터를 전송할지 여부를 제어할 수 있습니다.
Windows Server 2003에서는 그룹 정책 개체 편집기 내의 다음 위치에서 이 정책 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\시스템\\인터넷 통신 관리\\인터넷 통신 설정**
이 가이드에 정의된 세 가지 환경의 DCBP에서는 **Windows오류 보고 사용 안 함** 설정을 **사용**으로 구성하십시오.
[](#mainsection)[페이지 위쪽](#mainsection)
### SCW를 사용하여 정책 만들기
필요한 보안 설정을 배포하려면 SCW(보안 구성 마법사 도구)와 이 가이드의 다운로드 가능 버전에 포함되어 있는 보안 템플릿을 사용하여 도메인 컨트롤러 기준 정책을 만들어야 합니다.
자체의 정책을 만든 경우 "레지스트리 설정" 및 "감사 정책" 섹션을 건너뛰십시오. 이러한 정책 설정은 선택한 환경에 대한 보안 템플릿에서 제공합니다. 이 방법은 템플릿에서 제공한 정책 요소가 SCW에 의해 구성된 정책보다 우선적으로 적용되도록 하는 데 필요합니다.
이전 구성에서 가져온 레거시 설정이나 소프트웨어가 없도록 운영 체제를 새로 설치하여 구성 작업을 시작해야 합니다. 가능한 경우 호환성이 최대한 보장되도록 배포에 사용된 하드웨어와 비슷한 하드웨어에 운영 체제를 설치해야 합니다. 새 설치를 참조 시스템이라고 합니다.
**도메인 컨트롤러 기준 정책을 만들려면**
도메인 컨트롤러 기준 정책을 만들려면 도메인 컨트롤러로 구성된 컴퓨터를 사용해야 합니다. 기존 도메인 컨트롤러를 사용하거나 참조 컴퓨터를 만든 후 Dcpromo 도구를 사용하여 해당 컴퓨터를 도메인 컨트롤러로 만들 수 있습니다. 그러나 대부분의 조직에서는 도메인 컨트롤러를 프로덕션 환경에 추가하면 보안 정책에 위반될 수 있으므로 다른 방식을 사용하려고 합니다. 기존 도메인 컨트롤러를 사용할 경우에는 SCW를 사용하여 다른 설정을 적용하거나 해당 구성을 수정하지 않도록 합니다.
1. 제어판, 프로그램 추가/제거, Windows 구성 요소 추가/제거를 통해 컴퓨터에 보안 구성 마법사 구성 요소를 설치합니다.
2. SCW GUI를 시작하고 **새 보안 정책 만들기**를 선택한 후 참조 컴퓨터를 가리키도록 지정합니다.
3. 검색된 서버 역할이 작업 환경에 적절한지 확인합니다. 파일 서버 역할은 도메인 컨트롤러가 적절히 작동하는 데 반드시 필요하므로 제거하지 않도록 합니다.
4. 검색된 클라이언트 기능이 작업 환경에 적절한지 확인합니다.
5. 검색된 관리 옵션이 작업 환경에 적절한지 확인합니다.
**참고**: 도메인 컨트롤러가 작업 환경의 여러 사이트에 분포되어 있는 경우 **메일 기반 Active Directory 복제**를 선택해야 합니다.
6. 백업 에이전트나 바이러스 백신 소프트웨어와 같이 기준 정책에 필요한 추가 서비스가 검색되는지 확인합니다.
7. 작업 환경에 있는 미지정 서비스의 처리 방법을 결정합니다. 보안 강화를 위해 이 정책 설정을 **사용 안 함**으로 구성할 수도 있습니다. 프로덕션 서버가 참조 컴퓨터와 중복되지 않는 추가 서비스를 실행할 경우 문제가 발생할 수 있으므로 먼저 구성을 철저히 테스트한 후에 프로덕션 네트워크에 배포해야 합니다.
8. "네트워크 보안" 섹션에서 **현재 영역 건너뛰기** 확인란의 선택을 취소한 후 **다음**을 클릭합니다. 앞에서 식별된 특정 포트 및 응용 프로그램이 Windows 방화벽에 대한 예외로 구성됩니다.
**참고:다음에서 사용하는 포트: 시스템 RPC 응용 프로그램**이 선택되었는지 확인합니다.
9. "레지스트리 설정" 섹션에서 **현재 영역 건너뛰기** 확인란을 클릭한 후 **다음**을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.
10. "레지스트리 설정" 섹션에서 **현재 영역 건너뛰기** 확인란을 클릭한 후 **다음**을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.
11. 적절한 보안 템플릿(예: EC-Domain Controller.inf)을 포함시킵니다.
12. 적절한 이름(예: Domain Controller.xml) 을 지정하여 정책을 저장합니다.
#### SCW를 사용하여 정책 테스트
정책을 만들어 저장한 후에는 반드시 테스트 환경에 배포해 보십시오. 이상적으로는 테스트 서버가 프로덕션 서버와 동일한 하드웨어 및 소프트웨어 구성을 갖는 것이 좋습니다. 이렇게 하면 특정 하드웨어 장치에 필요한 예상치 못한 서비스가 존재하는 경우와 같은 잠재적인 문제를 찾아 해결할 수 있습니다.
정책을 테스트하기 위해서는 두 가지 방법을 사용할 수 있습니다. 바로 네이티브 SCW 배포 기능을 사용하는 방법과 GPO를 통해 정책을 배포하는 것입니다.
정책 감사를 시작할 경우에는 네이티브 SCW 배포 기능을 사용해야 합니다. SCW를 사용하여 한 번에 한 서버에 정책을 밀어 넣거나 Scwcmd를 사용하여 서버 그룹에 정책을 밀어 넣을 수 있습니다. 네이티브 배포 방법은 SCW 내에서 배포된 정책을 쉽게 롤백할 수 있는 기능을 제공합니다. 이 기능은 테스트 프로세스 중에 정책을 많이 변경해야 할 경우에 특히 유용합니다.
정책을 대상 서버에 적용했을 때 중요한 기능이 영향을 받지 않는지 확인하기 위해 정책을 테스트합니다. 구성 변경 내용을 적용한 후에는 컴퓨터의 핵심 기능을 확인해야 합니다. 예를 들어 서버가 CA(인증 기관)로 구성된 경우 클라이언트에서 인증서를 요청하고 얻을 수 있는지, 인증서 해지 목록을 다운로드할 수 있는지 등을 확인해야 합니다.
만든 정책 구성에 문제가 없으면 다음 절차에 표시된 대로 Scwcmd를 사용하여 정책을 GPO로 변환합니다.
SCW 정책을 테스트하는 방법에 대한 자세한 내용은 [보안 구성 마법사에 대한 배포 가이드 (영문)](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/scwdeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx)(www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx) 및 [보안 구성 마법사 설명서(영문)](https://go.microsoft.com/fwlink/?linkid=43450)(https://go.microsoft.com/fwlink/?linkid=43450)를 참조하십시오.
#### 정책 변환 및 배포
정책을 철저히 테스트한 후에는 다음 단계를 완료하여 정책을 GPO로 변환한 후 배포합니다.
1. 명령 프롬프트에서 다음 명령을 입력합니다.
참고: 여기서는 표시상의 문제 때문에 명령 프롬프트에 입력할 정보가 여러 줄로 표시됩니다. 실제로 이 정보는 모두 한 줄로 입력해야 합니다.
그룹 정책 관리 콘솔을 사용하여 새로 만든 GPO를 Domain Controllers OU에 연결한 후 가장 높은 우선 순위가 지정되도록 기본 도메인 컨트롤러 정책 위로 옮깁니다.
SCW 보안 정책 파일에 Windows 방화벽 설정이 포함되어 있을 경우 이 절차가 성공적으로 완료되려면 로컬 컴퓨터에서 Windows 방화벽이 활성 상태여야 합니다. Windows 방화벽이 활성 상태인지 확인하려면 제어판을 열고 Windows 방화벽을 두 번 클릭합니다.
특히 도메인 컨트롤러가 여러 사이트에 분포되어 있는 환경에서는 새로 만든 GPO가 모든 도메인 컨트롤러로 복제되려면 다소 시간이 소요될 수 있습니다. GPO가 성공적으로 복제되었는지 확인한 후에 최종 테스트를 수행하여 GPO가 원하는 설정을 적용하는지 확인해야 합니다. 이 절차를 완료하려면 적절한 설정이 구성되었으며 기능에 영향을 주지 않는지 확인합니다.
이 장에서는 이 가이드에 정의된 세 가지 환경에서 Windows Server 2003 SP1이 실행되는 도메인 컨트롤러 서버의 보안을 강화하는 방법을 설명했습니다. 설명된 대부분의 정책 설정은 그룹 정책을 통해 구성 및 적용되었습니다. 기본 도메인 컨트롤러 정책을 보완하는 DCBP(도메인 컨트롤러 기준 정책)는 Domain Controllers OU에 연결되었습니다.
DCBP 설정은 모든 환경에서 도메인 컨트롤러의 전반적인 보안을 강화합니다. 두 가지 GPO를 사용하여 도메인 컨트롤러를 보호하면 기본 환경을 보존하고 문제를 쉽게 해결할 수 있습니다.
설명된 설정 중 일부는 그룹 정책을 통해 적용할 수 없습니다. 이러한 설정에 대해서는 수동 구성 정보가 제공되었습니다.
보안 강화를 위해 도메인 컨트롤러를 구성하면 다른 서버 역할의 보안도 강화될 수 있습니다. 이 가이드의 이후 장에서는 일부 특정 서버 역할의 보안을 강화하는 방법을 중점적으로 소개합니다.
추가 정보
다음 링크에서는 Windows Server 2003 SP1이 실행되는 도메인 컨트롤러의 보안 강화와 관련된 항목에 대한 추가 정보를 제공합니다.