부록 D: Active Directory의 기본 제공 관리자 계정 보안

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

부록 D: Active Directory의 기본 제공 관리자 계정 보안

Active Directory의 각 도메인의 관리자 계정이 도메인의 만들기의 일부로 만들어집니다. 이 계정은 기본적으로 도메인의 도메인 관리자 및 관리자 그룹의 구성원이며 도메인이 포리스트 루트 도메인인 경우 계정은 Enterprise Admins 그룹의 구성원이기도 합니다.

도메인의 관리자 계정 사용은 초기 빌드 활동 및 재해 복구 시나리오에 대해서만 예약되어야 합니다. 다른 계정을 사용할 수 없는 경우 관리자 계정을 사용하여 복구에 영향을 주도록 하려면 포리스트의 도메인에서 관리자 계정의 기본 멤버 자격을 변경하면 안 됩니다. 대신 다음 섹션에 설명된 대로 포리스트의 각 도메인에서 관리자 계정을 보호해야 하며 다음 단계별 지침에 자세히 설명되어 있습니다.

참고

이 가이드에서는 계정을 사용하지 않도록 설정하는 것이 좋습니다. 포리스트 복구 백서에서 기본 관리자 계정을 사용하므로 제거되었습니다. 그 이유는 이것이 글로벌 카탈로그 서버 없이 로그온할 수 있는 유일한 계정이기 때문입니다.

기본 제공 관리자 계정에 대 한 컨트롤

포리스트의 각 도메인에 있는 기본 제공 관리자 계정의 경우 다음 설정을 구성해야 합니다.

  • 계정을 사용하도록 설정하는 것은 중요하며 계정에 플래그를 위임할 수 없습니다 .

  • 계정의 대화형 로그온 플래그에는 스마트 카드를 사용하도록 설정해야 합니다 .

  • 도메인 가입 시스템에서 관리자 계정의 사용을 제한하도록 GPO를 구성합니다.

    • 각 도메인에서 워크스테이션 및 멤버 서버 OU를 만들고 연결하는 하나 이상의 GPO에서 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당의 다음 사용자 권한에 각 도메인의 관리자 계정을 추가합니다.

      • 네트워크에서 이 컴퓨터 액세스 거부

      • 일괄 작업으로 로그온 거부

      • 서비스로 로그온 거부

      • 원격 데스크톱 서비스를 통한 로그온 거부

참고

이 설정에 계정을 추가할 때 로컬 관리자 계정 또는 도메인 관리자 계정을 구성할지 여부를 지정해야 합니다. 예를 들어 NWTRADERS 도메인의 관리자 계정을 이러한 거부 권한에 추가하려면 계정을 NWTRADERS\Administrator로 입력하거나 NWTRADERS 도메인에 대한 관리자 계정으로 이동해야 합니다. 그룹 정책 개체 편집기에서 이러한 사용자 권한 설정에 "관리자"를 입력하면 GPO가 적용되는 각 컴퓨터의 로컬 관리자 계정을 제한합니다.

구성원 서버 및 워크스테이션의 로컬 관리자 계정 도메인 기반 관리자 계정으로 같은 방식으로 제한 하는 것이 좋습니다. 따라서 일반적으로 추가 해야 포리스트의 각 도메인에 대 한 관리자 계정 및 로컬 컴퓨터에 대 한 관리자 계정을 이러한 사용자 권한 설정 합니다. 다음 스크린 샷에서 로컬 관리자 계정 및 도메인의 관리자 계정에서 이러한 계정에 필요 하지 않습니다는 로그온을 수행을 차단 하도록 이러한 사용자 권한 구성 예를 보여줍니다.

Screenshot that highlights User Rights Assignment.

  • 도메인 컨트롤러에서 관리자 계정을 제한하도록 GPO 구성
    • 포리스트의 각 도메인에서 기본 도메인 컨트롤러 GPO 또는 도메인 컨트롤러 OU에 연결된 정책을 수정하여 각 도메인의 관리자 계정을 Computer Configuration\Policies\Windows 설정\Security 설정\Local Policies\User Rights Assignments의 다음 사용자 권한에 추가해야 합니다.
      • 네트워크에서 이 컴퓨터 액세스 거부

      • 일괄 작업으로 로그온 거부

      • 서비스로 로그온 거부

      • 원격 데스크톱 서비스를 통한 로그온 거부

참고

이러한 설정은 도메인 컨트롤러에 로컬로 로그온할 수 있지만 도메인의 기본 제공 관리자 계정을 사용하여 도메인 컨트롤러에 연결할 수 없도록 합니다. 이 계정은 재해 복구 시나리오에서만 사용되어야 하므로 하나 이상의 도메인 컨트롤러에 대한 물리적 액세스를 사용할 수 있거나 도메인 컨트롤러에 원격으로 액세스할 수 있는 권한이 있는 다른 계정을 사용할 수 있습니다.

  • 관리자 계정 감사 구성

    각 도메인의 관리자 계정을 보호한 경우 계정의 사용 또는 변경 내용을 모니터링하도록 감사를 구성해야 합니다. 계정이 로그인되어 있거나, 암호가 재설정되거나, 계정에 대한 다른 수정 사항이 있는 경우 조직의 인시던트 대응 팀 외에 Active Directory 관리를 담당하는 사용자 또는 팀에 경고가 전송되어야 합니다.

Active Directory에서 기본 제공 관리자 계정을 보호하는 단계별 지침

  1. 서버 관리자도구를 클릭하고 Active Directory 사용자 및 컴퓨터 클릭합니다.

  2. 위임을 활용하여 다른 시스템에서 계정의 자격 증명을 사용하는 공격을 방지하려면 다음 단계를 수행합니다.

    1. 관리자 계정을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

    2. 계정 탭을 클릭합니다.

    3. 계정 옵션에서 다음 스크린샷에 표시된 대로 계정이 중요하고 위임 플래그를 위임할 수 없음을 선택하고 확인을 클릭합니다.

      Screenshot that shows the Account is sensitive and cannot be delegated check box.

  3. 계정의 대화형 로그온 플래그에 스마트 카드를 사용하도록 설정하려면 다음 단계를 수행합니다.

    1. 관리자 계정을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

    2. 계정 탭을 클릭합니다.

    3. 계정 옵션에서 다음 스크린샷에 표시된 대화형 로그온 플래그에 필요한 스마트 카드를 선택하고 확인을 클릭합니다.

      Screenshot that shows the Smart card is required for interactive login check box.

Domain-Level 관리자 계정을 제한하도록 GPO 구성

경고

이 GPO는 재해 복구 시나리오에서도 기본 제공 관리자 계정을 사용할 수 없게 만들 수 있으므로 도메인 수준에서 연결해서는 안 됩니다.

  1. 서버 관리자도구를 클릭하고 그룹 정책 관리를 클릭합니다.

  2. 콘솔 트리에서 Forest>\Domains\<Domain>을 확장<한 다음 개체를 그룹 정책. 여기서 <포리스트>는 포리스트의 이름이고 <도메인>은 그룹 정책 만들려는 도메인의 이름입니다.

  3. 콘솔 트리에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다.

    Screenshot that shows Group Policy Objects in the console tree.

  4. 새 GPO 대화 상자에서 GPO 이름을> 입력<하고 다음 스크린샷에 표시된 대로 확인을 클릭합니다(여기서 <GPO 이름은> 이 GPO의 이름임).

    Screenshot that shows the New GPO dialog box.

  5. 세부 정보 창에서 GPO 이름을> 마우스 오른쪽 단추로 클릭하고 <편집을 클릭합니다.

  6. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책으로 이동하고 사용자 권한 할당을 클릭합니다.

    Screenshot that shows the Group Policy Management Editor.

  7. 다음을 수행하여 관리자 계정이 네트워크를 통해 구성원 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성합니다.

    1. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

    3. 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다. 다음 스크린샷에 <표시된 것처럼 계정이 DomainName>\Username 형식으로 표시되는지 확인합니다.

      Screenshot that shows the DomainName/Username format.

    4. 확인을 클릭하고 다시 확인합니다.

  8. 다음을 수행하여 관리자 계정이 일괄 처리 작업으로 로그온되지 않도록 사용자 권한을 구성합니다.

    1. 일괄 작업으로 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

    3. 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다. 다음 스크린샷에 <표시된 것처럼 계정이 DomainName>\Username 형식으로 표시되는지 확인합니다.

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a batch job.

    4. 확인을 클릭하고 다시 확인합니다.

  9. 다음을 수행하여 관리자 계정이 서비스로 로그온되지 않도록 사용자 권한을 구성합니다.

    1. 서비스로 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

    3. 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다. 다음 스크린샷에 <표시된 것처럼 계정이 DomainName>\Username 형식으로 표시되는지 확인합니다.

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a service.

    4. 확인을 클릭하고 다시 확인합니다.

  10. 다음을 수행하여 BA 계정이 원격 데스크톱 서비스를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성합니다.

    1. 원격 데스크톱 서비스를 통해 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

    3. 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다. 다음 스크린샷에 <표시된 것처럼 계정이 DomainName>\Username 형식으로 표시되는지 확인합니다.

      Screenshot that shows how to verify you have configured the user rights to prevent the BA account from accessing member servers and workstations via Remote Desktop Services.

    4. 확인을 클릭하고 다시 확인합니다.

  11. 그룹 정책 관리 편집기를 종료하려면 파일을 클릭하고 끝내기를 클릭합니다.

  12. 그룹 정책 관리에서 다음을 수행하여 GPO를 멤버 서버 및 워크스테이션 OU에 연결합니다.

    1. <Forest>\Domains\<Domain>(포<리스트는 포>리스트의 이름이고 <도메인>은 그룹 정책 설정하려는 도메인의 이름임)으로 이동합니다.

    2. GPO가 적용될 OU를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결을 클릭합니다.

      Screenshot that shows the Link an Existing GPO menu option.

    3. 만든 GPO를 선택하고 확인을 클릭합니다.

      Screenshot that shows where to select the GPO you created.

    4. 워크스테이션을 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

    5. 멤버 서버를 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

중요

이러한 설정에 관리자 계정을 추가할 때 계정에 레이블을 지정하는 방법에 따라 로컬 관리자 계정 또는 도메인 관리자 계정을 구성할지 여부를 지정합니다. 예를 들어 TAILSPINTOYS 도메인의 관리자 계정을 이러한 거부 권한에 추가하려면 TAILSPINTOYS\Administrator로 표시되는 TAILSPINTOYS 도메인에 대한 관리자 계정으로 이동하게 됩니다. 그룹 정책 개체 편집기에서 이러한 사용자 권한 설정에 "관리자"를 입력하는 경우 앞에서 설명한 대로 GPO가 적용되는 각 컴퓨터의 로컬 관리자 계정을 제한합니다.

확인 단계

여기에 설명된 확인 단계는 Windows 8 및 Windows Server 2012 관련됩니다.

"대화형 로그온에 스마트 카드 필요" 계정 옵션 확인
  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 도메인의 기본 제공 관리자 계정을 사용하여 도메인에 대화형으로 로그온하려고 시도합니다. 로그온을 시도한 후 다음과 유사한 대화 상자가 나타납니다.

Screenshot that says you must use a smart card to sign in.

"네트워크에서 이 컴퓨터에 대한 액세스 거부" GPO 설정 확인

GPO 변경(예: 점프 서버)의 영향을 받지 않는 멤버 서버 또는 워크스테이션에서 GPO 변경의 영향을 받는 네트워크를 통해 멤버 서버 또는 워크스테이션에 액세스하려고 시도합니다. GPO 설정을 확인하려면 다음 단계를 수행하여 NET USE 명령을 사용하여 시스템 드라이브를 매핑합니다.

  1. 도메인의 기본 제공 관리자 계정을 사용하여 도메인에 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 표시줄이 나타나면 검색을 클릭합니다.

  3. 검색 상자에 명령 프롬프트를 입력하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭하여 관리자 권한 명령 프롬프트를 엽니다.

  4. 권한 상승을 승인를 묻는 메시지가 나타나면 클릭 합니다.

    Screenshot that shows the User Access Control dialog box.

  5. 명령 프롬프트 창에서 net use \\<Server Name>\c$를 입력합니다. 여기서 <서버 이름은> 네트워크를 통해 액세스하려는 구성원 서버 또는 워크스테이션의 이름입니다.

  6. 다음 스크린샷은 표시되어야 하는 오류 메시지를 보여줍니다.

    Screenshot that shows an access failure error.

GPO 설정 "일괄 작업으로 로그온 거부" 확인

GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

Batch 파일 만들기
  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 표시줄이 나타나면 검색을 클릭합니다.

  2. 검색 상자에 메모장을 입력하고 메모장 클릭합니다.

  3. 메모장dir c:를 입력합니다.

  4. 파일을 클릭하고 다른 이름으로 저장을 클릭합니다.

  5. 파일 이름 필드에 파일> 이름.bat입력< 합니다(여기서 <Filename>은 새 배치 파일의 이름임).

작업 예약
  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 표시줄이 나타나면 검색을 클릭합니다.

  2. 검색 상자에 작업 스케줄러를 입력하고 작업 스케줄러를 클릭합니다.

    참고

    Windows 8 실행하는 컴퓨터의 검색 상자에 일정 작업을 입력하고 작업 예약을 클릭합니다.

  3. 작업 스케줄러에서 작업을 클릭하고 작업 만들기를 클릭합니다.

  4. 작업 만들기 대화 상자에서 작업 이름(작업< 이름은> 새 작업의 이름임)을 입력<합니다.>

  5. 작업 탭을 클릭하고 새로 만들기를 클릭합니다.

  6. 작업:에서 프로그램 시작을 선택합니다.

  7. 프로그램/스크립트:에서 찾아보기를 클릭하고 "일괄 처리 파일 만들기" 섹션에서 만든 일괄 처리 파일을 찾아 선택한 다음 열기를 클릭합니다.

  8. 확인을 클릭합니다.

  9. 일반 탭을 클릭합니다.

  10. 보안 옵션에서 사용자 또는 그룹 변경을 클릭합니다.

  11. 도메인 수준에서 BA 계정의 이름을 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

  12. 사용자가 로그온되었는지 여부에 관계없이 실행을 선택하고 암호를 저장하지 않습니다. 작업은 로컬 컴퓨터 리소스에만 액세스할 수 있습니다.

  13. 확인을 클릭합니다.

  14. 사용자 계정 자격 증명을 요청하여 작업을 실행하도록 요청하는 대화 상자가 나타납니다.

  15. 자격 증명을 입력한 후 확인을 클릭합니다.

  16. 다음과 유사한 대화 상자가 나타납니다.

    Screenshot that shows a Task Scheduler dialog box.

"서비스로 로그온 거부" GPO 설정 확인
  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 표시줄이 나타나면 검색을 클릭합니다.

  3. 검색 상자에 서비스를 입력하고 서비스를 클릭합니다.

  4. 인쇄 스풀러를 찾아 두 번 클릭합니다.

  5. 로그온 탭을 클릭합니다.

  6. 다음으로 로그온:에서 이 계정을 선택합니다.

  7. 찾아보기를 클릭하고 도메인 수준에서 BA 계정의 이름을 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

  8. 암호:암호 확인:에서 관리자 계정의 암호를 입력하고 확인을 클릭합니다.

  9. 확인을 세 번 더 클릭합니다.

  10. 인쇄 스풀러 서비스를 마우스 오른쪽 단추로 클릭하고 다시 시작을 선택합니다.

  11. 서비스를 다시 시작하면 다음과 유사한 대화 상자가 나타납니다.

    Screenshot that shows the Services dialog box.

프린터 스풀러 서비스로 변경 내용 되돌리기
  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 표시줄이 나타나면 검색을 클릭합니다.

  3. 검색 상자에 서비스를 입력하고 서비스를 클릭합니다.

  4. 인쇄 스풀러를 찾아 두 번 클릭합니다.

  5. 로그온 탭을 클릭합니다.

  6. 다음으로 로그온:에서 로컬 시스템 계정을 선택하고 확인을 클릭합니다.

"원격 데스크톱 서비스를 통한 로그온 거부" GPO 설정 확인
  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 표시줄이 나타나면 검색을 클릭합니다.

  2. 검색 상자에 원격 데스크톱 연결을 입력하고 원격 데스크톱 연결을 클릭합니다.

  3. 컴퓨터 필드에 연결할 컴퓨터의 이름을 입력하고 커넥트 클릭합니다. (컴퓨터 이름 대신 IP 주소를 입력할 수도 있습니다.)

  4. 메시지가 표시되면 도메인 수준에서 BA 계정의 이름에 대한 자격 증명을 제공합니다.

  5. 다음과 유사한 대화 상자가 나타납니다.

    securing built-in admin accounts