최소 권한 관리 모델 구현Implementing Least-Privilege Administrative Models

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

다음 발췌 구문에서은 관리자 계정 보안 계획 가이드, 1999 년 4 월 1 일에 처음 게시:The following excerpt is from The Administrator Accounts Security Planning Guide, first published on April 1, 1999:

"대부분의 보안 관련 교육 과정 및 설명서의 최소 권한의 원칙 구현에 설명 하면서 조직에서는 거의 따릅니다."Most security-related training courses and documentation discuss the implementation of a principle of least privilege, yet organizations rarely follow it. 원칙 간단 하 고 크게 올바르게 적용의 영향을 사용자의 보안을 증가 하 고 위험을 줄일 수 있습니다.The principle is simple, and the impact of applying it correctly greatly increases your security and reduces your risk. 규칙에 따르면 모든 사용자가 현재 작업 하며 그 이상의 완료 하는 데 필요한 절대 최소 권한을 가진 사용자 계정으로 로그온 해야 합니다.The principle states that all users should log on with a user account that has the absolute minimum permissions necessary to complete the current task and nothing more. 이렇게 하는 것은 다른 공격에서 악성 코드 로부터 보호 합니다.Doing so provides protection against malicious code, among other attacks. 해당 컴퓨터의 사용자와 컴퓨터에이 원칙이 적용 됩니다.This principle applies to computers and the users of those computers. "이이 원칙을도 잘 작동 하는 이유 중 하나를 내부 조사 강요 한다는 점입니다."One reason this principle works so well is that it forces you to do some internal research. 예를 들어, 컴퓨터 또는 사용자에 실질적으로 필요한 액세스 권한을 결정 하 고 그런 다음이 구현 해야 합니다.For example, you must determine the access privileges that a computer or user really needs, and then implement them. 많은 조직에서이 작업 처음으로 보일 수 다양 한 단계입니다. 그러나 있어 네트워크 환경에 성공적으로 보호를 위해 필수적인 단계입니다.For many organizations, this task might initially seem like a great deal of work; however, it is an essential step to successfully secure your network environment. "권한을 부여 하는 도메인 관리자가 모든 사용자의 도메인에서 최소한의 권한 개념입니다."You should grant all domain administrator users their domain privileges under the concept of least privilege. 예를 들어 관리자 권한이 가진된 계정으로 로그온 하 실수로 바이러스 프로그램을 실행 하는 경우 바이러스와 전체 도메인 로컬 컴퓨터에 대 한 관리 액세스를 있습니다.For example, if an administrator logs on with a privileged account and inadvertently runs a virus program, the virus has administrative access to the local computer and to the entire domain. 관리자에서는 권한 (관리자가 아닌) 계정을 사용 하 여 로그온 했다면, 손상의 바이러스의 범위는 수 로컬 컴퓨터의 로컬 컴퓨터 사용자로 실행 되기 때문에 있습니다.If the administrator had instead logged on with a nonprivileged (nonadministrative) account, the virus's scope of damage would only be the local computer because it runs as a local computer user. "또 다른 예로, 도메인 수준 관리자 권한을 부여할 계정을 해야 하지 상승 된 권한을 가져서는 다른 포리스트의 포리스트 간에 트러스트 관계가 없는 경우에 합니다."In another example, accounts to which you grant domain-level administrator rights must not have elevated rights in another forest, even if there is a trust relationship between the forests. 이 방법은 공격자가 관리 되는 포리스트를 손상 시킬 경우 광범위 한 손상을 방지할 수 있습니다.This tactic helps prevent widespread damage if an attacker manages to compromise one managed forest. 조직에서는 정기적으로 감사 해야 무단된 상승에 으로부터 보호 하기 위해 네트워크입니다. "Organizations should regularly audit their network to protect against unauthorized escalation of privilege."

다음 발췌 구문에서은 Microsoft Windows Security Resource Kit, 첫 번째에 게시 된 2005:The following excerpt is from the Microsoft Windows Security Resource Kit, first published in 2005:

"항상 최소한의 작업을 수행 하는 데 필요한 권한 부여 측면에서 보안을 생각 합니다."Always think of security in terms of granting the least amount of privileges required to carry out the task. 너무 많은 권한을 가진 애플리케이션은 손상 될 경우 공격자가 애플리케이션에서 최소한의 권한 가능한 했다면는 어떤 초과 공격을 확장할 수 수 있습니다.If an application that has too many privileges should be compromised, the attacker might be able to expand the attack beyond what it would if the application had been under the least amount of privileges possible. 예를 들어 모르게 바이러스를 시작 하는 전자 메일 첨부 파일을 열고 네트워크 관리자의 결과 검사 합니다.For example, examine the consequences of a network administrator unwittingly opening an email attachment that launches a virus. 관리자가 도메인 관리자 계정을 사용 하 여 로그온 하는 경우 바이러스 관리자 권한이 도메인의 모든 컴퓨터에 있으며 따라서 네트워크에서 거의 모든 데이터에 무제한 액세스할.If the administrator is logged on using the domain Administrator account, the virus will have Administrator privileges on all computers in the domain and thus unrestricted access to nearly all data on the network. 관리자에 로깅되는 경우는 로컬 관리자 계정을 사용 하 여 바이러스 관리자 권한이 로컬 컴퓨터에 있으며 따라서 키 스트로크 로깅 소프트웨어 등 악성 소프트웨어를 컴퓨터에 설치 하 고 컴퓨터에 모든 데이터에 액세스할 수 있게 됩니다.If the administrator is logged on using a local Administrator account, the virus will have Administrator privileges on the local computer and thus would be able to access any data on the computer and install malicious software such as key-stroke logging software on the computer. 관리자가 일반 사용자 계정을 사용 하 여 로그온 하는 경우 바이러스 관리자의 데이터에만 액세스할 수 있는 및 악성 소프트웨어를 설치할 수 없습니다.If the administrator is logged on using a normal user account, the virus will have access only to the administrator's data and will not be able to install malicious software. 이 예제에서는 전자 메일을 읽는 데 필요한 최소한의 권한을 사용 하 여 손상의 잠재적 범위 크게 줄었습니다. "By using the least privileges necessary to read email, in this example, the potential scope of the compromise is greatly reduced."

권한 문제The Privilege Problem

앞 부분에서 설명 하는 원칙은 변경 되지 않은 하지만 Active Directory 설치를 평가, 우리 동일 하 게 확인 하지 계정 권한 및 보다 훨씬 더 강력 일상적인 작업을 수행 하는 데 필요한 사용 권한이 부여 된 과도 하 게 많은 합니다.The principles described in the preceding excerpts have not changed, but in assessing Active Directory installations, we invariably find excessive numbers of accounts that have been granted rights and permissions far beyond those required to perform day-to-day work. 환경의 크기가 지나치게 권한이 높은 계정 수에 영향을 줍니다 하지만 수백 또는 수천 대규모 설치 해야 하는 동안 proportionmidsized 디렉터리가 아니라 가장 높은 권한 있는 그룹에 계정 수십 될 수도 있습니다.The size of the environment affects the raw numbers of overly privileged accounts, but not the proportionmidsized directories may have dozens of accounts in the most highly privileged groups, while large installations may have hundreds or even thousands. 몇 가지 예외를 제외 하는 공격자의 기술 및 자리를 잡고, 숙련도 관계 없이 공격자는 일반적으로 최소 저항 경로 따릅니다.With few exceptions, regardless of the sophistication of an attacker's skills and arsenal, attackers typically follow the path of least resistance. 만 경우 방어자로 간단한 메커니즘 장애가 발생 하거나 연결이 차단 도구와 방법의 복잡성을 증가 시킵니다.They increase the complexity of their tooling and approach only if and when simpler mechanisms fail or are thwarted by defenders.

아쉽게도 많은 환경에서 최소 저항 경로 광범위 하 고 전체 권한 가진 계정 과도 하 게 사용 될 것으로 입증 합니다.Unfortunately, the path of least resistance in many environments has proven to be the overuse of accounts with broad and deep privilege. 광범위 한 권한은 큰 망라 환경-간 예를 들어 특정 작업을 수행 하는 계정이 허용 된 권한 및 사용, 지원 센터 담당자 수 있습니다 권한은 부여할 수 많은 사용자 계정에 암호를 다시 설정 하도록 허용 하는.Broad privileges are rights and permissions that allow an account to perform specific activities across a large cross-section of the environment- for example, Help Desk staff may be granted permissions that allow them to reset the passwords on many user accounts.

심층 권한은 복구를 수행할 수 있도록 서버에 대 한 엔지니어 관리자 권한을 부여 하는 등 채우기의 좁은 세그먼트에 적용 되는 강력한 권한입니다.Deep privileges are powerful privileges that are applied to a narrow segment of the population, such as giving an engineer Administrator rights on a server so that they can perform repairs. 광범위 한 권한 아니고 심층 권한 반드시 위험한 이지만 도메인의 여러 계정은 광범위 하 고 전체 권한 부여 영구적으로 손상 되는 계정 중 하나의 경우에 사용할 수 있습니다 신속 하 게 공격자의 용도로 환경 다시 구성 또는 인프라의 큰 세그먼트를 삭제 합니다.Neither broad privilege nor deep privilege is necessarily dangerous, but when many accounts in the domain are permanently granted broad and deep privilege, if only one of the accounts is compromised, it can quickly be used to reconfigure the environment to the attacker's purposes or even to destroy large segments of the infrastructure.

자격 증명 도난 공격 유형의 해시를 전달 공격 되며 어디에서 나을 수행 하는 도구는 무료로 사용 가능 하 고 사용 하기 쉬운-, 때문에 많은 환경에서 공격에 취약 때문에 있습니다.Pass-the-hash attacks, which are a type of credential theft attack, are ubiquitous because the tooling to perform them is freely available and easy-to-use, and because many environments are vulnerable to the attacks. 그러나 해시를 전달 공격에서 실제 문제는.Pass-the-hash attacks, however, are not the real problem. 문제의 핵심은 다음 두 가지입니다.The crux of the problem is twofold:

  1. 일반적으로 공격자가 단일 컴퓨터에 대 한 전체 권한이 가져오고 후 다른 컴퓨터에 광범위 하 게 해당 권한을 전파 하는 것이 쉽습니다.It is usually easy for an attacker to obtain deep privilege on a single computer and then propagate that privilege broadly to other computers.
  2. 컴퓨팅 환경 전반에서 너무 많은 영구 계정 높은 수준의 권한으로는 일반적 으로입니다.There are usually too many permanent accounts with high levels of privilege across the computing landscape.

해시를 전달 공격 제거 하는 경우에 공격자가 다른 전술, 다른 전략 하지 사용 하기만 합니다.Even if pass-the-hash attacks are eliminated, attackers would simply use different tactics, not a different strategy. 자격 증명 도난을 도구를 포함 하는 맬웨어의 효과 얻습니다 대신은 키 입력을 기록 하는 맬웨어 공장 수도 있습니다 개수에 관계 없이 다른 방법도를 캡처하는 환경의 강력한는 자격 증명을 활용 하 여.Rather than planting malware that contains credential theft tooling, they might plant malware that logs keystrokes, or leverage any number of other approaches to capture credentials that are powerful across the environment. 전략에 관계 없이 대상 동일 하 게 유지: 광범위 하 고 전체 권한 있는 계정입니다.Regardless of the tactics, the targets remain the same: accounts with broad and deep privilege.

과도 한 권한 부여만에서 찾을 수 없는 Active Directory에서 손상 된 환경입니다.Granting of excessive privilege isn't only found in Active Directory in compromised environments. 조직에서 필요한 것 보다 더 많은 권한을 부여 하는 습관을 개발 하는 다음 섹션에서 설명 했 듯이 인프라 전체에서 일반적으로 발견 됩니다.When an organization has developed the habit of granting more privilege than is required, it is typically found throughout the infrastructure as discussed in the following sections.

Active Directory에서In Active Directory

이 Active Directory에서 찾을 EA, DA, BA 그룹 계정 수 없다고 일반적입니다.In Active Directory, it is common to find that the EA, DA and BA groups contain excessive numbers of accounts. 가장 일반적으로 가장 적은 멤버를 포함 하는 조직의 EA 그룹, DA 그룹에는 일반적으로 EA 그룹의 사용자 수의 승수로 포함 및 관리자 그룹에는 일반적으로 결합 하는 다른 그룹의 채우기 보다 구성원이 포함 합니다.Most commonly, an organization's EA group contains the fewest members, DA groups usually contain a multiplier of the number of users in the EA group, and Administrators groups usually contain more members than the populations of the other groups combined. 이 관리자는 어떤 이유로 든 믿음이 인해 방식은 DAs 또는 EAs 보다 "권한" less 합니다.This is often due to a belief that Administrators are somehow "less privileged" than DAs or EAs. 이러한 각 그룹에 부여 된 권한과 다를 있지만 효과적으로 고려해 야 동일 하 게 강력한 그룹 중 하나의 멤버인 자신에 다른 두의 멤버를 만들 수 있으므로 합니다.While the rights and permissions granted to each of these groups differ, they should be effectively considered equally powerful groups because a member of one can make himself or herself a member of the other two.

구성원 서버에서On Member Servers

까지의 범위 내에서 로컬 및 도메인 계정, 소수의 수십 개의 중첩 된 그룹 멤버 자격 사실을 알게 많은 환경에서 구성원 서버에서 로컬 관리자 그룹의 구성원을 검색 하는 경우를 확장 하면 표시 수백, 수천 서버에서 로컬 관리자 권한이 있는 계정입니다.When we retrieve the membership of local Administrators groups on member servers in many environments, we find membership ranging from a handful of local and domain accounts, to dozens of nested groups that, when expanded, reveal hundreds, even thousands, of accounts with local Administrator privilege on the servers. 대부분의 경우에서 큰 멤버 자격으로 도메인 그룹 구성원 서버 로컬 관리자 그룹, 도메인에 있는 해당 그룹의 구성원을 수정할 수 있는 모든 사용자에 모든 시스템의 그룹에 된 중첩 된 로컬 Administrators 그룹의 관리 제어를 얻을 수 있다는 사실 고려 하지 않고에 중첩 됩니다.In many cases, domain groups with large memberships are nested in member servers' local Administrators groups, without consideration to the fact that any user who can modify the memberships of those groups in the domain can gain administrative control of all systems on which the group has been nested in a local Administrators group.

워크스테이션에서On Workstations

워크스테이션에는 일반적으로 보다 구성원 서버, 다양 한 환경에 상당히 적은 수의 로컬 관리자 그룹 멤버는 사용자의 개인용 컴퓨터에서 로컬 관리자 그룹의 멤버 자격이 부여 됩니다.Although workstations typically have significantly fewer members in their local Administrators groups than member servers do, in many environments, users are granted membership in the local Administrators group on their personal computers. 이 경우 UAC를 사용 하는 경우에, 해당 사용자가 자신의 워크스테이션의 무결성에는 상승 된 위험을 제공 합니다.When this occurs, even if UAC is enabled, those users present an elevated risk to the integrity of their workstations.

중요

신중 하 게 고려해 야 사용자가 자신의 워크스테이션에 관리자 권한이 있어야 하며 라우팅하는 경우 더 나은 방법 하기가 Administrators 그룹의 구성원 인 컴퓨터에서 별도 로컬 계정을 만듭니다.You should consider carefully whether users require administrative rights on their workstations, and if they do, a better approach may be to create a separate local account on the computer that is a member of the Administrators group. 권한 상승에 대 한 해당 로컬 계정의 자격 증명 제공할 수 있는 사용자가 권한 상승을 요구 하는 경우 있지만 계정은 로컬 이므로 도메인 리소스에 액세스 하거나 다른 컴퓨터에 사용할 수 없습니다.When users require elevation, they can present the credentials of that local account for elevation, but because the account is local, it cannot be used to compromise other computers or access domain resources. 그러나 모든 로컬 계정을와 마찬가지로 로컬 권한 있는 계정의 자격 증명 고유 해야 합니다. 여러 워크스테이션에서 동일한 자격 증명으로 로컬 계정을 만들면 컴퓨터 해시를 전달 공격에 노출 합니다.As with any local accounts, however, the credentials for the local privileged account should be unique; if you create a local account with the same credentials on multiple workstations, you expose the computers to pass-the-hash attacks.

애플리케이션에서In Applications

공격 대상의 조직에 대 한 지식 정보를 애플리케이션 내에서 강력한 권한이 부여 된 계정 exfiltration 데이터를 허용 하도록 지정할 수 있습니다.In attacks in which the target is an organization's intellectual property, accounts that have been granted powerful privileges within applications can be targeted to allow exfiltration of data. 하지만 중요 한 데이터에 액세스할 수 있는 계정은 부여 된 도메인 또는 운영 체제, 애플리케이션의 구성 조작할 수 있는 계정에서 상승 된 권한이 없는 또는 애플리케이션 정보에 액세스할 수 있는 위험을 제공 합니다.Although the accounts that have access to sensitive data may have been granted no elevated privileges in the domain or the operating system, accounts that can manipulate the configuration of an application or access to the information the application provides present risk.

데이터 저장소에서In Data Repositories

계정을 대상으로 문서 및 기타 파일의 형태로 지적 재산에 액세스 하려고 하는 공격자가 지정할 수는 다른 대상은 그대로 파일에 대 한 액세스 제어 저장소, 파일 또는 심지어 그룹 또는 파일에 액세스할 수 있는 역할에 직접 액세스할 수 있는 계정입니다.As is the case with other targets, attackers seeking access to intellectual property in the form of documents and other files can target the accounts that control access to the file stores, accounts that have direct access to the files, or even groups or roles that have access to the files. 예를 들어 계약 문서를 저장할 파일 서버를 사용 하는 경우 Active Directory 그룹을 사용 하 여 문서에 액세스가 허용 됩니다 그룹의 구성원을 수정할 수 있는 공격자는 수 그룹에 손상 된 계정을 추가 하 고 계약 문서에 액세스 합니다.For example, if a file server is used to store contract documents and access is granted to the documents by the use of an Active Directory group, an attacker who can modify the membership of the group can add compromised accounts to the group and access the contract documents. SharePoint와 같은 애플리케이션에서 문서에는 액세스를 제공 하는 경우에서 공격자가 앞에서 설명한 대로 애플리케이션을 지정할 수 있습니다.In cases in which access to documents is provided by applications such as SharePoint, attackers can target the applications as described earlier.

권한 줄이기Reducing Privilege

더 큰 숫자 및 복잡 한 환경에 더 어렵게 관리 및 보호 하는 것입니다.The larger and more complex an environment, the more difficult it is to manage and secure. 소규모 조직에서 검토 하 고 권한을 줄이는 비교적 단순한 일을 기준으로 수 있지만 각 추가 서버, 워크스테이션, 사용자 계정 및 조직에서 사용 중인 애플리케이션 보호 해야 하는 다른 개체를 추가 합니다.In small organizations, reviewing and reducing privilege may be a relatively simple proposition, but each additional server, workstation, user account, and application in use in an organization adds another object that must be secured. 수 있으므로 어렵거나를 제대로 조직의의 모든 측면을 보안 IT 인프라를 초점을 맞춰야 인 권한 만들기 가장 큰 위험을 계정에 대해 가장 먼저 노력, 워크스테이션 및 구성원 서버에 권한이 부여 된 로컬 계정 및 계정과 Active Directory에서 그룹에 일반적으로 권한 있는 기본 제공 합니다.Because it can be difficult or even impossible to properly secure every aspect of an organization's IT infrastructure, you should focus efforts first on the accounts whose privilege create the greatest risk, which are typically the built-in privileged accounts and groups in Active Directory, and privileged local accounts on workstations and member servers.

워크스테이션 및 구성원 서버에서 로컬 관리자 계정 보안Securing Local Administrator Accounts on Workstations and Member Servers

이 문서에서는 앞에서 설명한 대로 Active Directory 보안, 디렉터리에 대 한 대부분 공격 개별 호스트에 대 한 공격으로 시작 합니다.Although this document focuses on securing Active Directory, as has been previously discussed, most attacks against the directory begin as attacks against individual hosts. 로컬 그룹 멤버의 시스템에 보안 설정에 대 한 전체 지침을 제공할 수 없습니다, 하지만 다음 권장 사항을 워크스테이션 및 구성원 서버에서 로컬 관리자 계정을 보호 하는 데 도움이 데 사용할 수 있습니다.Full guidelines for securing local groups on member systems cannot be provided, but the following recommendations can be used to help you secure the local Administrator accounts on workstations and member servers.

로컬 관리자 계정 보안Securing Local Administrator Accounts

현재 기본 지원에에서는 Windows의 모든 버전에서는 기본적으로 계정을 사용할 수 없게 해시를 전달 및 기타 자격 증명 도난 공격에 대 한 로컬 관리자 계정이 비활성화 되어 있습니다.On all versions of Windows currently in mainstream support, the local Administrator account is disabled by default, which makes the account unusable for pass-the-hash and other credential theft attacks. 그러나 이전 운영 체제를 포함 하는 도메인 또는 로컬 관리자 계정을 사용 하도록 설정에서 이러한 계정은 사용할 수 있는 앞에서 설명한 대로 구성원 서버 및 워크스테이션에 손상 된를 전파 합니다.However, in domains containing legacy operating systems or in which local Administrator accounts have been enabled, these accounts can be used as previously described to propagate compromise across member servers and workstations. 이러한 이유로 다음 컨트롤은 도메인에 가입 된 시스템에서 모든 로컬 관리자 계정에 대 한 것이 좋습니다.For this reason, the following controls are recommended for all local Administrator accounts on domain-joined systems.

이러한 컨트롤을 구현 하기 위한 자세한 지침에 제공 됩니다 부록 h: 보안 로컬 관리자 계정 및 그룹합니다.Detailed instructions for implementing these controls are provided in Appendix H: Securing Local Administrator Accounts and Groups. 이러한 설정은 구현 하기 전에 확인 합니다는 로컬 관리자 계정을 현재 사용 되지 않는 환경에서 컴퓨터에 서비스를 실행 하거나을 수행할 다른 작업을 이러한 계정을 사용할 수 없습니다.Before implementing these settings, however, ensure that local Administrator accounts are not currently used in the environment to run services on computers or perform other activities for which these accounts should not be used. 이 설정을 프로덕션 환경에서 구현 하기 전에 철저히 테스트 합니다.Test these settings thoroughly before implementing them in a production environment.

로컬 관리자 계정에 대 한 제어Controls for Local Administrator Accounts

기본 제공 관리자 계정을 구성원 서버에서 서비스 계정으로 사용 해야 하거나은 사용할 로컬 컴퓨터에 로그온 할 (계정을 비활성화 하는 경우에 허용 되는 안전 모드 제외).Built-in Administrator accounts should never be used as service accounts on member servers, nor should they be used to log on to local computers (except in Safe Mode, which is permitted even if the account is disabled). 각 컴퓨터의 로컬 관리자 계정을 보호 컨트롤 먼저 뒤집힙니다 경우가 아니면 사용할 수 없도록 방지 하기 위해 여기에 설명 된 설정은 구현의 목표가입니다.The goal of implementing the settings described here is to prevent each computer's local Administrator account from being usable unless protective controls are first reversed. 이러한 컨트롤을 구현 하 고 관리자 계정 변경에 대 한 모니터링을 크게 줄일 수 있습니다 공격 성공 가능성 해당 대상으로 로컬 관리자 계정입니다.By implementing these controls and monitoring Administrator accounts for changes, you can significantly reduce the likelihood of success of an attack that targets local Administrator accounts.

도메인에 가입 된 시스템에 대 한 관리자 권한을 제한 하는 Gpo를 구성 합니다.Configuring GPOs to Restrict Administrator Accounts on Domain-Joined Systems

사용자가 만들고 각 도메인의 워크스테이션 및 구성원 서버 Ou에 연결 하는 하나 이상의 Gpo에서 관리자 계정을 컴퓨터 Configuration\Policies\Windows 설정 \ 로컬 정책 \ 사용자 권한 할당의 다음 사용자 권한에 추가 합니다.In one or more GPOs that you create and link to workstation and member server OUs in each domain, add the Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

  • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network
  • 일괄 작업으로 로그온 거부Deny log on as a batch job
  • 서비스로 로그온 거부Deny log on as a service
  • 원격 데스크톱 서비스를 통한 로그온 거부Deny log on through Remote Desktop Services

관리자 계정을 이러한 사용자 권한을 추가 하면 추가 하는 여부는 로컬 관리자 계정이 나 도메인의 관리자 계정 방식으로 계정 이름을 지정 하는 지정 합니다.When you add Administrator accounts to these user rights, specify whether you are adding the local Administrator account or the domain's Administrator account by the way that you label the account. 예를 들어 이러한 NWTRADERS 도메인의 관리자 계정 거부를 추가 하려면 권한, 계정으로 입력 하면 NWTRADERS\Administrator, 하거나 NWTRADERS 도메인에 대 한 관리자 계정을 찾습니다.For example, to add the NWTRADERS domain's Administrator account to these deny rights, you would type the account as NWTRADERS\Administrator, or browse to the Administrator account for the NWTRADERS domain. 입력을 보장 하기 위해 로컬 관리자 계정 제한 하는 관리자 에서 이러한 사용자 권한 그룹 정책 개체 편집기에서 설정 합니다.To ensure that you restrict the local Administrator account, type Administrator in these user rights settings in the Group Policy Object Editor.

참고

로컬 관리자 계정 이름이 변경 되는 경우에 정책은 여전히 적용 됩니다.Even if local Administrator accounts are renamed, the policies will still apply.

이러한 설정은 컴퓨터의 관리자 계정을 실수로 또는 악의적으로 사용 하는 경우에 다른 컴퓨터에 연결할 사용할 수 없습니다 확인 됩니다.These settings will ensure that a computer's Administrator account cannot be used to connect to the other computers, even if it is inadvertently or maliciously enabled. 로컬 관리자 계정을 사용 하 여 로컬 로그온 완전히 비활성화할 수 없습니다 나 인하려고 하면이 위해 컴퓨터의 로컬 관리자 계정을 재해 복구 시나리오에서 사용 하도록 디자인 되었기 때문입니다.Local logons using the local Administrator account cannot be completely disabled, nor should you attempt to do so, because a computer's local Administrator account is designed to be used in disaster recovery scenarios.

해야 구성원 서버 또는 워크스테이션 될 도메인에서 분리 다른 로컬 계정 부여 된 관리자 권한이 없는, 컴퓨터를 안전 모드로 부팅할 수, 관리자 계정을 사용할 수 있으며, 및 컴퓨터에 대 한 복구를 적용할 계정을 사용할 수 있습니다.Should a member server or workstation become disjoined from the domain with no other local accounts granted administrative privileges, the computer can be booted into safe mode, the Administrator account can be enabled, and the account can then be used to effect repairs on the computer. 복구를 완료 하는 경우 관리자 계정은 다시 수 없게 됩니다.When repairs are completed, the Administrator account should again be disabled.

Active Directory의 로컬 특권된 계정 및 그룹 보안Securing Local Privileged Accounts and Groups in Active Directory

법률 번호 6: 관리자가 신뢰할 수 있는 경우에만 컴퓨터가 안전 하 게 보호 됩니다.Law Number Six: A computer is only as secure as the administrator is trustworthy. - 보안의 10 가지 불변 법 (버전 2.0) - Ten Immutable Laws of Security (Version 2.0)

여기에 제공 된 정보는 가장 높은 권한 기본 제공 계정 및 Active Directory의 그룹 보안을 위한 일반 지침을 제공 하는 데 사용 됩니다.The information provided here is intended to give general guidelines for securing the highest privilege built-in accounts and groups in Active Directory. 자세한 단계별 지침에도 제공 되어 부록 d: 보안 기본 제공 관리자 계정에 Active Directory, 부록 e: 보안 Enterprise Admins 그룹에 Active Directory, 부록 f: 보안 도메인 관리자 그룹에 Active Directory, 및 부록 g: 보안 관리자가 Active Directory의에서 그룹합니다.Detailed step-by-step instructions are also provided in Appendix D: Securing Built-In Administrator Accounts in Active Directory, Appendix E: Securing Enterprise Admins Groups in Active Directory, Appendix F: Securing Domain Admins Groups in Active Directory, and in Appendix G: Securing Administrators Groups in Active Directory.

이러한 설정 중 하나를 구현 하기 전에 철저 하 게 환경에 적합 한지 확인 하려면 모든 설정도 테스트 해야 합니다.Before you implement any of these settings, you should also test all settings thoroughly to determine if they are appropriate for your environment. 모든 조직은 이러한 설정을 구현 하려면 수 있을 것입니다.Not all organizations will be able to implement these settings.

Active Directory에서 기본 제공 관리자 계정 보안Securing Built-in Administrator Accounts in Active Directory

Active Directory의 각 도메인의 관리자 계정이 도메인의 만들기의 일부로 만들어집니다.In each domain in Active Directory, an Administrator account is created as part of the creation of the domain. 이 계정은 기본적으로 Domain Admins 및 도메인 관리자 그룹의 멤버 이며 포리스트 루트 도메인의 도메인을 사용 하는 경우 계정이 Enterprise Admins 그룹의 멤버 이기도 합니다.This account is by default a member of the Domain Admins and Administrator groups in the domain, and if the domain is the forest root domain, the account is also a member of the Enterprise Admins group. 초기 빌드 활동 및 재해 복구 시나리오에 대해서만 사용 하 여 도메인의 로컬 관리자 계정의 예약 되어야 합니다.Use of a domain's local Administrator account should be reserved only for initial build activities and, possibly, disaster-recovery scenarios. 다른 계정을 사용할 수는 복구에 적용할 기본 제공 관리자 계정을 사용할 수 있도록 되도록 하지는 포리스트의 모든 도메인 관리자 계정의 기본 멤버 자격을 변경 해야 합니다.To ensure that a built-in Administrator account can be used to effect repairs in the event that no other accounts can be used, you should not change the default membership of the Administrator account in any domain in the forest. 대신, 포리스트의 각 도메인의 관리자 계정을 보호 하기 위한 지침을 수행 해야 합니다.Instead, you should following guidelines to help secure the Administrator account in each domain in the forest. 이러한 컨트롤을 구현 하기 위한 자세한 지침에 제공 됩니다 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.Detailed instructions for implementing these controls are provided in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

기본 제공 관리자 계정에 대 한 컨트롤Controls for Built-in Administrator Accounts

여기에 설명 된 설정은 구현의 목표는 다양 한 컨트롤 뒤집힙니다 경우가 아니면 사용할 수 없도록 각 도메인의 관리자 계정 (그룹이 아닌)를 방지 하기 위해입니다.The goal of implementing the settings described here is to prevent each domain's Administrator account (not a group) from being usable unless a number of controls are reversed. 이러한 컨트롤을 구현 하 고 관리자 계정 변경에 대 한 모니터링, 도메인의 관리자 계정 활용 하 여 공격의 성공 가능성을 크게 줄일 수 있습니다.By implementing these controls and monitoring the Administrator accounts for changes, you can significantly reduce the likelihood of a successful attack by leveraging a domain's Administrator account. 포리스트의 각 도메인의 관리자 계정에 대 한 다음 설정을 구성 해야 합니다.For the Administrator account in each domain in your forest, you should configure the following settings.

계정에 "계정이 민감하여 위임할 수 없음" 플래그를 사용 하도록 설정Enable the "Account is sensitive and cannot be delegated" flag on the account

기본적으로 모든 계정에 Active Directory를 위임할 수 있습니다.By default, all accounts in Active Directory can be delegated. 위임에는 컴퓨터 또는 컴퓨터에 인증 된 계정의 자격 증명을 제공 하는 서비스 또는 서비스 계정 대신 하 여 서비스를 얻기 위해 다른 컴퓨터로 수 있습니다.Delegation allows a computer or service to present the credentials for an account that has authenticated to the computer or service to other computers to obtain services on behalf of the account. 사용 하도록 설정한 경우는 계정이 민감하여 위임할 수 없음 특성 도메인 기반 계정에서 계정의 자격 증명에 제공할 수 없으므로 다른 컴퓨터 또는 다른 시스템에서 계정의 자격 증명을 사용 하 여 위임을 활용 하는 공격을 제한 하는 네트워크에서 서비스입니다.When you enable the Account is sensitive and cannot be delegated attribute on a domain-based account, the account's credentials cannot be presented to other computers or services on the network, which limits attacks that leverage delegation to use the account's credentials on other systems.

계정에는 "스마트 카드는 대화형 로그온에 필요한" 플래그를 사용 하도록 설정Enable the "Smart card is required for interactive logon" flag on the account

사용 하도록 설정한 경우는 대화형 로그온에 스마트 카드는 특성 Windows 계정에 계정 암호 120 자의 임의 값을 기본값으로 다시 설정 합니다.When you enable the Smart card is required for interactive logon attribute on an account, Windows resets the account's password to a 120-character random value. 기본 제공 관리자 계정에이 플래그를 설정 하 여 계정의 암호 뿐 아니라 길고 복잡 하지만 사용자에 게 알려지지 않은 확인 합니다.By setting this flag on built-in Administrator accounts, you ensure that the password for the account is not only long and complex, but is not known to any user. 기술적으로이 특성을 설정 하기 전에 계정에 대 한 스마트 카드를 만들 필요가 없는 하지만 가능 하면 스마트 카드 계정 제한 구성 하기 전에 각 관리자 계정에 대해 만들어지고 스마트 카드를 안전한 위치에 저장 해야 합니다.It is not technically necessary to create smart cards for the accounts before enabling this attribute, but if possible, smart cards should be created for each Administrator account prior to configuring the account restrictions and the smart cards should be stored in secure locations.

설정의 대화형 로그온에 스마트 카드는 플래그는 계정의 암호를 다시 설정, 계정 알려진된 값으로 설정 하 고 계정의 이름 및 리소스에 액세스 하는 새 암호를 사용 하 여 네트워크에서 계정 암호를 재설정할 수 있는 권한이 있는 사용자를 방지 하지는 않습니다.Although setting the Smart card is required for interactive logon flag resets the account's password, it does not prevent a user with rights to reset the account's password from setting the account to a known value and using the account's name and new password to access resources on the network. 이 때문에 계정에 다음과 같은 추가 컨트롤을 구현 해야 합니다.Because of this, you should implement the following additional controls on the account.

도메인에 가입 된 시스템에서 도메인의 관리자 계정 제한 하는 Gpo를 구성 합니다.Configuring GPOs to Restrict Domains' Administrator Accounts on Domain-Joined Systems

도메인 관리자 계정을 사용 하지 않도록 설정 하면 계정을 효과적으로 사용할 수 없는 있지만 계정을 실수로 또는 악의적으로 사용 하는 경우 계정에 추가 제한 사항이 구현 해야 합니다.Although disabling the Administrator account in a domain makes the account effectively unusable, you should implement additional restrictions on the account in case the account is inadvertently or maliciously enabled. 이러한 컨트롤 수 궁극적으로 관리자 계정으로 되돌릴 수 있지만 목적은 공격자의 진행 속도 저하 있는 컨트롤을 만들려면 및 제한 계정 손상을 줄 수 있습니다.Although these controls can ultimately be reversed by the Administrator account, the goal is to create controls that slow an attacker's progress and limit the damage the account can inflict.

사용자가 만들고 각 도메인의 워크스테이션 및 구성원 서버 Ou에 연결 하는 하나 이상의 Gpo에서 각 도메인의 관리자 계정을 컴퓨터 Configuration\Policies\Windows 설정 \ 로컬 정책 \ 사용자 권한 할당의 다음 사용자 권한에 추가 합니다.In one or more GPOs that you create and link to workstation and member server OUs in each domain, add each domain's Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

  • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network
  • 일괄 작업으로 로그온 거부Deny log on as a batch job
  • 서비스로 로그온 거부Deny log on as a service
  • 원격 데스크톱 서비스를 통한 로그온 거부Deny log on through Remote Desktop Services

참고

로컬 관리자 계정에이 설정에 추가 하면 여부를 구성 하는 로컬 관리자 계정 또는 도메인 관리자 계정을 지정 해야 합니다.When you add local Administrator accounts to this setting, you must specify whether you are configuring local Administrator accounts or domain Administrator accounts. 예를 들어 이러한 NWTRADERS 도메인의 로컬 관리자 계정 거부를 추가 하려면 권한, 계정으로 입력 해야 하거나 NWTRADERS\Administrator, 또는 NWTRADERS 도메인에 대 한 로컬 관리자 계정으로 이동 합니다.For example, to add the NWTRADERS domain's local Administrator account to these deny rights, you must either type the account as NWTRADERS\Administrator, or browse to the local Administrator account for the NWTRADERS domain. 입력 하는 경우 관리자 이러한 사용자 권한 설정을 그룹 정책 개체 편집기에서 GPO를 적용할 각 컴퓨터의 로컬 관리자 계정 제한 됩니다.If you type Administrator in these user rights settings in the Group Policy Object Editor, you will restrict the local Administrator account on each computer to which the GPO is applied.

구성원 서버 및 워크스테이션의 로컬 관리자 계정 도메인 기반 관리자 계정으로 같은 방식으로 제한 하는 것이 좋습니다.We recommend restricting local Administrator accounts on member servers and workstations in the same manner as domain-based Administrator accounts. 따라서 일반적으로 추가 해야 포리스트의 각 도메인에 대 한 관리자 계정 및 로컬 컴퓨터에 대 한 관리자 계정을 이러한 사용자 권한 설정 합니다.Therefore, you should generally add the Administrator account for each domain in the forest and the Administrator account for the local computers to these user rights settings.

도메인 컨트롤러에 대 한 관리자 권한을 제한 하는 Gpo를 구성 합니다.Configuring GPOs to Restrict Administrator Accounts on Domain Controllers

포리스트의 각 도메인에서 도메인 컨트롤러 OU에 연결 된 기본 도메인 컨트롤러 정책 또는 정책을 수정 하 여 각 도메인의 관리자 계정을 컴퓨터 Configuration\Policies\Windows 설정 \ 로컬 정책 \ 사용자 권한 할당의 다음 사용자 권한에 추가 해야 합니다.In each domain in the forest, the Default Domain Controllers policy or a policy linked to the Domain Controllers OU should be modified to add each domain's Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

  • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network
  • 일괄 작업으로 로그온 거부Deny log on as a batch job
  • 서비스로 로그온 거부Deny log on as a service
  • 원격 데스크톱 서비스를 통한 로그온 거부Deny log on through Remote Desktop Services

참고

이러한 설정은 로컬 관리자 계정을 사용할 수 없음을 도메인 컨트롤러에 연결 하려면 도메인 컨트롤러에 설정 된 경우 계정에서 로컬로 로그온 할 수 있지만 확인 됩니다.These settings will ensure that the local Administrator account cannot be used to connect to a domain controller, although the account, if enabled, can log on locally to domain controllers. 이 계정은 해야만 사용 하도록 설정 되어 재해 복구 시나리오에서 사용을 하기 때문에 하나 이상의 도메인 컨트롤러에 대 한 실제 액세스 된 사용할 수는 또는 도메인 컨트롤러를 원격으로 액세스할 수 있는 권한이 있는 다른 계정을 사용할 수 있도록으로 예상 됩니다.Because this account should only be enabled and used in disaster-recovery scenarios, it is anticipated that physical access to at least one domain controller will be available, or that other accounts with permissions to access domain controllers remotely can be used.

기본 제공 관리자 계정 감사 구성Configure Auditing of Built-in Administrator Accounts

각 도메인의 관리자 계정 보안을 한 옵션을 비활성화 하는 경우 계정에 대 한 변경 내용을 모니터링할 감사를 구성 해야 합니다.When you have secured each domain's Administrator account and disabled it, you should configure auditing to monitor for changes to the account. 계정이 활성화 되어, 암호를 다시 설정, 계정에 모든 수정 내용이 사용자 또는 조직에서 사고 대응 팀 외에도 AD DS의 관리를 담당 하는 팀에 알림은 보내야 합니다.If the account is enabled, its password is reset, or any other modifications are made to the account, alerts should be sent to the users or teams responsible for administration of AD DS, in addition to incident response teams in your organization.

관리자, Domain Admins 및 Enterprise Admins 그룹 보안Securing Administrators, Domain Admins and Enterprise Admins Groups

엔터프라이즈 관리자 그룹의 보안 설정Securing Enterprise Admin Groups

앞에서 설명한 대로 보안이 제공 및에 포리스트 루트 도메인에 들어, Enterprise Admins 그룹 도메인의 로컬 관리자 계정의 예외일 수 있음 일상적으로 사용자를 포함 해야 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.The Enterprise Admins group, which is housed in the forest root domain, should contain no users on a day-to-day basis, with the possible exception of the domain's local Administrator account, provided it is secured as described earlier and in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

EA 액세스 해야 할 때 Enterprise Admins 그룹에 계정을 가진 EA 권한 및 사용 해야 하는 사용자를 일시적으로 배치 되어야 합니다.When EA access is required, the users whose accounts require EA rights and permissions should be temporarily placed into the Enterprise Admins group. 하지만 사용자가 매우 강력한 권한의 계정을 사용 하는, 해당 활동을 감사 하 고 가급적 실수로 오용 또는 잘못 된 구성이 가능성을 최소화 하기 위해 변경 내용을 수행 하는 한 사용자 및 변경 되는 내용을 다른 사용자를 사용 하 여 수행 해야 합니다.Although users are using the highly privileged accounts, their activities should be audited and preferably performed with one user performing the changes and another user observing the changes to minimize the likelihood of inadvertent misuse or misconfiguration. 활동이 완료 되 면 하는 경우는 계정은 EA 그룹에서 제거 해야 합니다.When the activities have been completed, the accounts should be removed from the EA group. 이 수동 절차를 통해 수행할 수 있습니다 및 프로세스, 타사 identity/액세스 권한을된 관리 (PIM/PAM) 소프트웨어 또는 둘의 조합을 설명 합니다.This can be achieved via manual procedures and documented processes, third-party privileged identity/access management (PIM/PAM) software, or a combination of both. 제공 Active Directory의 권한 있는 그룹의 구성원 자격을 제어할 사용할 수 있는 계정 만들기에 대 한 지침 매력적인 계정 자격 증명 도난에 대 한 에서 자세한 지침을 제공 하 고 부록 i: 관리 계정 만들기 Active Directory의 보호 된 계정 및 그룹에 대 한합니다.Guidelines for creating accounts that can be used to control the membership of privileged groups in Active Directory are provided in Attractive Accounts for Credential Theft and detailed instructions are provided in Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory.

엔터프라이즈 관리자는 기본적으로 포리스트의 각 도메인에 기본 제공 Administrators 그룹의 구성원입니다.Enterprise Admins are, by default, members of the built-in Administrators group in each domain in the forest. 각 도메인의 관리자 그룹에서 Enterprise Admins 그룹을 제거는 포리스트 재해 복구 시나리오에서 발생할 경우 EA 권한이 필요할 수도 있으므로 부적절 한는 수정입니다.Removing the Enterprise Admins group from the Administrators groups in each domain is an inappropriate modification because in the event of a forest disaster-recovery scenario, EA rights will likely be required. Enterprise Admins 그룹에는 포리스트에 있는 Administrators 그룹에서 제거한, 각 도메인의 관리자 그룹에 추가 되어야 하 고 다음과 같은 추가 컨트롤을 구현 해야 합니다.If the Enterprise Admins group has been removed from Administrators groups in a forest, it should be added to the Administrators group in each domain and the following additional controls should be implemented:

  • Enterprise Admins 그룹에 설명 된 대로 보안을 유지 해야 하는 포리스트 루트 도메인 관리자 계정의 예외일 수 있음 일상적으로 사용자를 포함 해야 앞에서 설명한 대로 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.As described earlier, the Enterprise Admins group should contain no users on a day-to-day basis, with the possible exception of the forest root domain's Administrator account, which should be secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.
  • 구성원 서버 및 워크스테이션 각 도메인에 포함 된 Ou에 연결 된 Gpo, EA 그룹 다음 사용자 권한을 추가 해야 합니다.In GPOs linked to OUs containing member servers and workstations in each domain, the EA group should be added to the following user rights:
    • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network
    • 일괄 작업으로 로그온 거부Deny log on as a batch job
    • 서비스로 로그온 거부Deny log on as a service
    • 로컬 로그온 거부Deny log on locally
    • 원격 데스크톱 서비스를 통한 로그온을 거부 합니다.Deny log on through Remote Desktop Services.

이렇게 하면 EA 그룹의 구성원으로 구성원 서버 및 워크스테이션에 로그온 하지 것입니다.This will prevent members of the EA group from logging on to member servers and workstations. 점프 서버 도메인 컨트롤러와 Active Directory 관리를 사용할 경우에 제한적인 Gpo 연결 되지 않은 OU에 점프 서버가 있는지 확인 합니다.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which the restrictive GPOs are not linked.

  • 감사는 EA 그룹의 구성원 또는 속성을 수정한 경우 경고를 보내도록 구성 되어야 합니다.Auditing should be configured to send alerts if any modifications are made to the properties or membership of the EA group. 이러한 경고 전송 되는 여기에 최소한 사용자 또는 팀 Active Directory 관리와 사고 응답을 담당 합니다.These alerts should be sent, at a minimum, to users or teams responsible for Active Directory administration and incident response. 프로세스 및 절차 일시적으로 그룹의 합법적인 채우기가 수행 하는 경우에 알림 절차를 포함 하는 EA 그룹을 채우기 위한 정의 해야 합니다.You should also define processes and procedures for temporarily populating the EA group, including notification procedures when legitimate population of the group is performed.

도메인 관리자 그룹의 보안 설정Securing Domain Admins Groups

Enterprise Admins 그룹의 경우 처럼 Domain Admins 그룹의 구성원 자격 빌드 또는 재해 복구 시나리오에만 받아야 합니다.As is the case with the Enterprise Admins group, membership in Domain Admins groups should be required only in build or disaster-recovery scenarios. 있어야 일상적인 사용자 계정이 없는 도메인에 대 한 로컬 관리자 계정 제외 하 고 DA 그룹에 설명 된 대로 보안이 설정 되었을 경우 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.There should be no day-to-day user accounts in the DA group with the exception of the local Administrator account for the domain, if it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

DA 액세스 해야 할 때 해당 도메인에 대 한 DA 그룹에이 수준의 액세스 권한 필요로 하는 계정을 일시적으로 배치 되어야 합니다.When DA access is required, the accounts needing this level of access should be temporarily placed in the DA group for the domain in question. 사용자가 매우 강력한 권한의 계정을 사용 하는, 있지만 활동을 감사 하 고 가급적 실수로 오용 또는 잘못 된 구성이 가능성을 최소화 하기 위해 변경 내용을 수행 하는 한 사용자 및 변경 되는 내용을 다른 사용자를 사용 하 여 수행 해야 합니다.Although the users are using the highly privileged accounts, activities should be audited and preferably performed with one user performing the changes and another user observing the changes to minimize the likelihood of inadvertent misuse or misconfiguration. 활동이 완료 되 면 하는 경우는 계정은 Domain Admins 그룹에서 제거 해야 합니다.When the activities have been completed, the accounts should be removed from the Domain Admins group. 이 수동 절차를 통해 수행할 수 있습니다 및 타사 identity/액세스 권한을된 관리 (PIM/PAM) 소프트웨어를 통해 프로세스 또는 둘의 조합을 설명 합니다.This can be achieved via manual procedures and documented processes, via third-party privileged identity/access management (PIM/PAM) software, or a combination of both. 제공 Active Directory의 권한 있는 그룹의 구성원 자격을 제어할 사용할 수 있는 계정 만들기에 대 한 지침 부록 i: 관리 계정 만들기 Active Directory의 보호 된 계정 및 그룹에 대 한합니다.Guidelines for creating accounts that can be used to control the membership of privileged groups in Active Directory are provided in Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory.

Domain Admins는 기본적으로 모든 구성원 서버 및 워크스테이션의 해당 도메인에 로컬 관리자 그룹의 구성원입니다.Domain Admins are, by default, members of the local Administrators groups on all member servers and workstations in their respective domains. 이 기본 중첩 지원 가능성 및 재해 복구 옵션에 영향을 주므로 수정할 수 없습니다.This default nesting should not be modified because it affects supportability and disaster recovery options. Domain Admins 그룹 구성원 서버에서 로컬 관리자 그룹에서 제거 되었으면, 각 멤버 서버와 연결 된 Gpo의 제한 그룹 설정을 통해 도메인에 워크스테이션에서 관리자 그룹에 추가 되어야 합니다.If Domain Admins groups have been removed from the local Administrators groups on the member servers, they should be added to the Administrators group on each member server and workstation in the domain via restricted group settings in linked GPOs. 다음과 같은 일반적인 컨트롤에서 자세히 설명 되어 있는 부록 f: 보안 도메인 관리자 그룹에 Active Directory 도 구현 해야 합니다.The following general controls, which are described in depth in Appendix F: Securing Domain Admins Groups in Active Directory should also be implemented.

포리스트의 각 도메인에서 Domain Admins 그룹:For the Domain Admins group in each domain in the forest:

  1. 에 설명 된 대로 보안이 설정 된 경우 DA 그룹은 도메인에 대 한 기본 제공 관리자 계정의 예외일 수 있음에서 모든 구성원을 제거 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.Remove all members from the DA group, with the possible exception of the built-in Administrator account for the domain, provided it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

  2. 구성원 서버 및 워크스테이션 각 도메인에 포함 된 Ou에 연결 된 Gpo, DA 그룹 다음 사용자 권한을 추가 해야 합니다.In GPOs linked to OUs containing member servers and workstations in each domain, the DA group should be added to the following user rights:

    • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network
    • 일괄 작업으로 로그온 거부Deny log on as a batch job
    • 서비스로 로그온 거부Deny log on as a service
    • 로컬 로그온 거부Deny log on locally
    • 원격 데스크톱 서비스를 통한 로그온 거부Deny log on through Remote Desktop Services

    이렇게 하면 DA 그룹의 구성원으로 구성원 서버 및 워크스테이션에 로그온 하지 것입니다.This will prevent members of the DA group from logging on to member servers and workstations. 점프 서버 도메인 컨트롤러와 Active Directory 관리를 사용할 경우에 제한적인 Gpo 연결 되지 않은 OU에 점프 서버가 있는지 확인 합니다.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which the restrictive GPOs are not linked.

  3. 감사는 DA 그룹의 구성원 또는 속성을 수정한 경우 경고를 보내도록 구성 되어야 합니다.Auditing should be configured to send alerts if any modifications are made to the properties or membership of the DA group. 이러한 경고 전송 되는 여기에 최소한 사용자 또는 팀에 AD DS 관리와 사고 응답을 담당 합니다.These alerts should be sent, at a minimum, to users or teams responsible for AD DS administration and incident response. 프로세스 및 절차 일시적으로 그룹의 합법적인 채우기가 수행 하는 경우에 알림 절차를 포함 하는 DA 그룹을 채우기 위한 정의 해야 합니다.You should also define processes and procedures for temporarily populating the DA group, including notification procedures when legitimate population of the group is performed.

Active Directory에서 관리자 그룹의 보안 설정Securing Administrators Groups in Active Directory

EA 및 DA 그룹의 경우 처럼 빌드 또는 재해 복구 시나리오에만 관리자 (BA) 그룹의 멤버 자격이 받아야 합니다.As is the case with the EA and DA groups, membership in the Administrators (BA) group should be required only in build or disaster-recovery scenarios. 있어야 일상적인 사용자 계정이 없는 도메인에 대 한 로컬 관리자 계정 제외 하 고 Administrators 그룹에 설명 된 대로 보안이 설정 되었을 경우 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.There should be no day-to-day user accounts in the Administrators group with the exception of the local Administrator account for the domain, if it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

관리자가 액세스 해야 할 때 해당 도메인에 대 한 관리자 그룹에이 수준의 액세스 권한 필요로 하는 계정을 일시적으로 배치 되어야 합니다.When Administrators access is required, the accounts needing this level of access should be temporarily placed in the Administrators group for the domain in question. 사용자가 매우 강력한 권한의 계정을 사용 하는, 있지만 활동 감사와, 가급적 실수로 오용 또는 잘못 된 구성이 가능성을 최소화 하기 위해 변경 내용을 수행 하는 사용자 및 변경 되는 내용을 다른 사용자를 사용 하 여 수행 합니다.Although the users are using the highly privileged accounts, activities should be audited and, preferably, performed with a user performing the changes and another user observing the changes to minimize the likelihood of inadvertent misuse or misconfiguration. 때 활동이 완료 되 면 계정은 관리자 그룹에서 즉시 제거 해야 합니다.When the activities have been completed, the accounts should immediately be removed from the Administrators group. 이 수동 절차를 통해 수행할 수 있습니다 및 타사 identity/액세스 권한을된 관리 (PIM/PAM) 소프트웨어를 통해 프로세스 또는 둘의 조합을 설명 합니다.This can be achieved via manual procedures and documented processes, via third-party privileged identity/access management (PIM/PAM) software, or a combination of both.

관리자는 기본적으로 대부분의 각 도메인의 AD DS 개체의 소유자입니다.Administrators are, by default, the owners of most of the AD DS objects in their respective domains. 이 그룹의 멤버 소유권 또는 기능 개체의 소유권을 필요는 빌드 및 재해 복구 시나리오에 필요할 수 있습니다.Membership in this group may be required in build and disaster recovery scenarios in which ownership or the ability to take ownership of objects is required. 또한 DAs 및 EAs에는 다양 한 해당 권한 및 관리자 그룹의 해당 기본 멤버 자격을 통해 권한을 상속합니다.Additionally, DAs and EAs inherit a number of their rights and permissions by virtue of their default membership in the Administrators group. Active Directory의 권한 있는 그룹을 수정 하지 않아야에 대 한 중첩 된 그룹으로 기본 지정 되며 각 도메인의 관리자 그룹에 설명 된 대로 보호 되어야 합니다 부록 g: 보안 관리자가 Active Directory의에서 그룹, 및 일반 아래 지침에 나와 있습니다.Default group nesting for privileged groups in Active Directory should not be modified, and each domain's Administrators group should be secured as described in Appendix G: Securing Administrators Groups in Active Directory, and in the general instructions below.

  1. 에 설명 된 대로 보안이 설정 되었습니다 제공 관리자 그룹의 도메인에 대 한 로컬 관리자 계정의 예외일 수 있음에서 모든 구성원을 제거 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.Remove all members from the Administrators group, with the possible exception of the local Administrator account for the domain, provided it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

  2. 도메인의 관리자 그룹의 구성원은 구성원 서버 또는 워크스테이션에 로그온 할 필요는 없습니다.Members of the domain's Administrators group should never need to log on to member servers or workstations. 워크스테이션 및 구성원 서버 각 도메인의 Ou에 연결 된 하나 이상의 Gpo, Administrators 그룹 다음 사용자 권한을 추가 해야 합니다.In one or more GPOs linked to workstation and member server OUs in each domain, the Administrators group should be added to the following user rights:

    • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network
    • 일괄 작업으로 로그온 거부Deny log on as a batch job,
    • 서비스로 로그온 거부Deny log on as a service
    • 이 오류로 인해 Administrators 그룹의 구성원에서 로그온 하거나 (하지 않는 한 여러 개의 컨트롤은 위반 처음) 구성원 서버 또는 워크스테이션에 연결 하는 데 사용 되 고, 여기서 자격 증명 수 캐시 하 고 있으므로 노출 합니다.This will prevent members of the Administrators group from being used to log on or connect to member servers or workstations (unless multiple controls are first breached), where their credentials could be cached and thereby compromised. 권한 있는 계정 권한이 적은 시스템에 로그온 할 사용할 수 해야 수 없으며 이러한 컨트롤을 강제 적용은 많은 공격에 대 한 보호를 제공 합니다.A privileged account should never be used to log on to a less-privileged system, and enforcing these controls affords protection against a number of attacks.
  3. 에 다음 사용자 관리자 그룹은 포리스트의 각 도메인의 OU 부여 해야 하는 도메인 컨트롤러 (아직 없는 이러한 권한을) 하는 경우 권한, 포리스트 전체 재해 복구 시나리오에 필요한 기능을 수행 하려면 Administrators 그룹의 멤버 수:At the domain controllers OU in each domain in the forest, the Administrators group should be granted the following user rights (if they do not already have these rights), which will allow the members of the Administrators group to perform functions necessary for a forest-wide disaster recovery scenario:

    • 네트워크에서 이 컴퓨터 액세스Access this computer from the network
    • 로컬 로그온 허용Allow log on locally
    • 원격 데스크톱 서비스를 통한 로그온 허용Allow log on through Remote Desktop Services
  4. 감사 관리자 그룹의 구성원 또는 속성을 수정한 경우 경고를 보내도록 구성 되어야 합니다.Auditing should be configured to send alerts if any modifications are made to the properties or membership of the Administrators group. 이러한 경고 전송 되는 여기에 최소한 AD DS 관리를 담당 하는 팀의 멤버입니다.These alerts should be sent, at a minimum, to members of the team responsible for AD DS administration. 알림을 보내야 보안 팀의 구성원에 게 및 Administrators 그룹의 멤버 자격을 수정 하기 위한 절차를 정의 해야 합니다.Alerts should also be sent to members of the security team, and procedures should be defined for modifying the membership of the Administrators group. 특히, 이러한 프로세스는 보안 팀에 알렸습니다 했을 때 관리자 그룹은 수정할 수 있으므로 경고를 보낼 경우 예상 되는 및 경보 발생 하지는 프로시저를 포함 해야 합니다.Specifically, these processes should include a procedure by which the security team is notified when the Administrators group is going to be modified so that when alerts are sent, they are expected and an alarm is not raised. 또한 Administrators 그룹의 사용이 완료 되 고 사용 하는 계정 그룹에서 제거 된 경우 보안 팀에 알리기 위해 프로세스를 구현 합니다.Additionally, processes to notify the security team when the use of the Administrators group has been completed and the accounts used have been removed from the group should be implemented.

참고

Gpo의 Administrators 그룹에 제한 사항이 구현 하는 경우 Windows 도메인의 관리자 그룹 외에도 컴퓨터의 로컬 관리자 그룹의 구성원에 게 설정을 적용 합니다.When you implement restrictions on the Administrators group in GPOs, Windows applies the settings to members of a computer's local Administrators group in addition to the domain's Administrators group. 따라서 Administrators 그룹에 제한을 구현 하는 경우 주의 사용 해야 합니다.Therefore, you should use caution when implementing restrictions on the Administrators group. 로컬 로그온 이나 로그온 원격 데스크톱 서비스를 통해 관리자 그룹의 구성원은 네트워크, 배치 및 서비스 로그온을 차단 하면는 구현 하는 것이 가능한 아무 곳에 나 하는 것이 좋습니다, 하지만 제한 하지 않습니다.Although prohibiting network, batch and service logons for members of the Administrators group is advised wherever it is feasible to implement, do not restrict local logons or logons through Remote Desktop Services. 이러한 로그온 유형은 차단 로컬 관리자 그룹의 구성원으로 컴퓨터의 합법적인 관리를 차단할 수 있습니다.Blocking these logon types can block legitimate administration of a computer by members of the local Administrators group. 기본 제공 로컬 또는 도메인 관리자 그룹의 오용 외에도 도메인 관리자 계정 및 다음 스크린 샷에서 구성 설정의 기본 제공 악용을 차단 하는 로컬 보여 줍니다.The following screenshot shows configuration settings that block misuse of built-in local and domain Administrator accounts, in addition to misuse of built-in local or domain Administrators groups. 이때는 원격 데스크톱 서비스를 통한 로그온 거부 사용자 권한을 포함 하 여이 설정에는 로컬 컴퓨터의 Administrators 그룹의 구성원 인 계정에 대 한 이러한 로그온 차단도 하기 때문에 관리자 그룹 포함 되지 않습니다.Note that the Deny log on through Remote Desktop Services user right does not include the Administrators group, because including it in this setting would also block these logons for accounts that are members of the local computer's Administrators group. 컴퓨터의 서비스가이 섹션에 설명 된 권한 있는 그룹의 컨텍스트에서 실행 되도록 구성 된 경우 이러한 설정을 구현 하면 서비스와 응용 프로그램에 오류가 발생할 수 있습니다.If services on computers are configured to run in the context of any of the privileged groups described in this section, implementing these settings can cause services and applications to fail. 따라서이 섹션에서 권장 하는 모든와 마찬가지로 철저히 테스트 해야 적용 가능성에 대 한 설정을 사용자 환경에서.Therefore, as with all of the recommendations in this section, you should thoroughly test settings for applicability in your environment.

최소 권한 관리자 모델

Active Directory에 대 한 역할 기반 액세스 제어 (RBAC)Role-Based Access Controls (RBAC) for Active Directory

일반적으로 역할 기반 액세스 제어 (RBAC)는 사용자를 그룹화 하 고 비즈니스 규칙에 따라 리소스에 대 한 액세스를 제공 하기 위한 메커니즘을 사용 합니다.Generally speaking, role-based access controls (RBAC) are a mechanism for grouping users and providing access to resources based on business rules. Active Directory의 경우 역할의 구성원은 과도 한 권한 부여 하지 않고 일상적인 관리 작업을 수행할 수 있도록 권한 및 사용을 위임 하는 역할을 만드는 과정은 AD DS에 대 한 RBAC를 구현 합니다.In the case of Active Directory, implementing RBAC for AD DS is the process of creating roles to which rights and permissions are delegated to allow members of the role to perform day-to-day administrative tasks without granting them excessive privilege. Active Directory에 대 한 RBAC 설계 하 고 타사 제품 또는 이러한 방법의 조합이 구매 하 여 이미 소유 수는 소프트웨어를 활용 하 여 기본 도구 및 인터페이스를 통해 구현 될 수 있습니다.RBAC for Active Directory can be designed and implemented via native tooling and interfaces, by leveraging software you may already own, by purchasing third-party products, or any combination of these approaches. 이 섹션 Active Directory에 대 한 RBAC를 구현 하기 위한 단계별 지침을 제공 하지는 않지만 대신 AD DS 설치 프로그램에서 RBAC를 구현 하는 데 접근 방식을 선택에 고려 사항에 설명 합니다.This section does not provide step-by-step instructions to implement RBAC for Active Directory, but instead discusses factors you should consider in choosing an approach to implementing RBAC in your AD DS installations.

네이티브 Active Directory에 대 한 RBAC 방법Native Approaches to RBAC for Active Directory

가장 간단한 RBAC 구현에서 AD DS 그룹으로 역할을 구현할 수 있으며 권한 및 역할의 지정 된 범위 내에서 일상적인 관리를 수행 하도록 허용 하는 그룹에 권한을 위임할 수 있습니다.In the simplest RBAC implementation, you can implement roles as AD DS groups and delegate rights and permissions to the groups that allow them to perform daily administration within the designated scope of the role.

경우에 따라 Active Directory의 기존 보안 그룹 권한 및 작업 함수에 적절 한 권한을 부여 하 사용할 수 있습니다.In some cases, existing security groups in Active Directory can be used to grant rights and permissions appropriate to a job function. 예를 들어 IT 조직에 특정 직원 관리 및 유지 관리 DNS 영역 및 레코드에 대 한 책임이 이러한 책임을 위임 수 각 DNS 관리자에 대 한 계정을 만드는 Active Directory의 DNS 관리자 그룹에 추가 하는 작업 만큼 간단 합니다.For example, if specific employees in your IT organization are responsible for the management and maintenance of DNS zones and records, delegating those responsibilities can be as simple as creating an account for each DNS administrator and adding it to the DNS Admins group in Active Directory. 보다 높은 권한의 그룹과 달리 DNS 관리자 그룹에는 Active Directory에 대 한 몇 가지 강력한 권한이 있지만이 그룹의 구성원은 DNS를 관리할 수 있는 권한을 위임 받았습니다. 그러나 여전히 손상 및 남용의 영향을 받을 수 있습니다.The DNS Admins group, unlike more highly privileged groups, has few powerful rights across Active Directory, although members of this group have been delegated permissions that allow them to administer DNS and is still subject to compromise and abuse could result in elevation of privilege.

그 밖의 경우 보안 그룹을 만들고 지정 된 관리 작업을 수행할 권한 및 그룹의 멤버 수 있도록 Active Directory 개체, 파일 시스템 개체 및 레지스트리 개체에 대 한 권한을 위임 해야 합니다.In other cases, you may need to create security groups and delegate rights and permissions to Active Directory objects, file system objects, and registry objects to allow members of the groups to perform designated administrative tasks. 예를 들어 헬프 데스크 연산자 인 잊어버린된 암호 다시 설정 하는 일을 담당 하는 경우 연결 문제가 있는 사용자를 지원 하 고, 애플리케이션 설정 문제를 해결 해야 기술 지원팀 사용자가 사용자의 구성 설정을 보거나 수정 하려면 사용자의 컴퓨터에 원격으로 연결할 수 있는 권한을 가진 Active Directory의 사용자 개체에서 위임 설정을 결합 합니다.For example, if your Help Desk operators are responsible for resetting forgotten passwords, assisting users with connectivity problems, and troubleshooting application settings, you may need to combine delegation settings on user objects in Active Directory with privileges that allow Help Desk users to connect remotely to users' computers to view or modify the users' configuration settings. 정의한 각 역할에 대해 식별 해야 합니다.For each role you define, you should identify:

  1. 어떤 작업 역할의 구성원은 매일 하 고 있는 작업은 덜 자주 수행에서 수행 합니다.Which tasks members of the role perform on a day-to-day basis and which tasks are less frequently performed.
  2. 애플리케이션에서 시스템을 켜고 권한 및 사용 역할의 구성원이 부여 됩니다.On which systems and in which applications members of a role should be granted rights and permissions.
  3. 사용자 역할의 멤버 자격이 부여 됩니다.Which users should be granted membership in a role.
  4. 어떻게 관리 역할 멤버 자격에 수행 됩니다.How management of role memberships will be performed.

대부분의 환경에서 Active Directory 환경 관리에 대 한 역할 기반 액세스 제어를 직접 만든 하기 어려울 수 있습니다 구현 및 유지 관리 합니다.In many environments, manually creating role-based access controls for administration of an Active Directory environment can be challenging to implement and maintain. 역할 및 책임 IT 인프라의 관리에 대 한 명확 하 게 정의 된 경우에 관리 가능한 네이티브 RBAC 배포를 만드는에 도움을 주는 추가 도구를 활용 하는 것이 좋습니다.If you have clearly defined roles and responsibilities for administration of your IT infrastructure, you may want to leverage additional tooling to assist you in creating a manageable native RBAC deployment. 예를 들어 Forefront Identity Manager (FIM)를 사용자 환경에서 사용 중인 경우에 생성 및 지속적인 관리를 줄일 수 있는 관리자 역할의 채우기를 자동화할 FIM을 사용할 수 있습니다.For example, if Forefront Identity Manager (FIM) is in use in your environment, you can use FIM to automate the creation and population of administrative roles, which can ease ongoing administration. Microsoft Endpoint Configuration Manager 및 System Center Operations Manager (SCOM)를 사용 하는 경우 응용 프로그램 관련 역할을 사용 하 여 관리 및 모니터링 기능을 위임할 수 있으며 도메인의 시스템 간에 일관 된 구성 및 감사를 적용할 수도 있습니다.If you use Microsoft Endpoint Configuration Manager and System Center Operations Manager (SCOM), you can use application-specific roles to delegate management and monitoring functions, and also enforce consistent configuration and auditing across systems in the domain. 공개 키 인프라 (PKI)를 구현한 경우에 실행할 수 있으며 환경 관리를 담당 하는 IT 직원에 대 한 스마트 카드를 요구 수 있습니다.If you have implemented a public key infrastructure (PKI), you can issue and require smart cards for IT staff responsible for administering the environment. FIM 자격 증명 관리 FIM CM ()를 사용 하 여 관리 직원에 대 한 역할 및 자격 증명의 관리를 조합할 수도 있습니다.With FIM Credential Management (FIM CM), you can even combine management of roles and credentials for your administrative staff.

다른 경우에 "기본적으로" 기능을 제공 하는 타사 RBAC 소프트웨어 배포를 고려 하는 것이 좋습니다.이 수 있습니다.In other cases, it may be preferable for an organization to consider deploying third-party RBAC software that provides "out-of-box" functionality. Active Directory, Windows 및 Windows가 아닌 디렉터리 및 운영 체제에 대 한 RBAC에 대 한 상용 되어 있어 (COTS) 솔루션은 여러 공급 업체에서 제공 됩니다.Commercial, off-the-shelf (COTS) solutions for RBAC for Active Directory, Windows, and non-Windows directories and operating systems are offered by a number of vendors. 네이티브 솔루션과 타사 제품을 선택할 때 다음과 같은 요소를 고려해 야 합니다.When choosing between native solutions and third-party products, you should consider the following factors:

  1. 예산: 소프트웨어 및 수를 이미 소유 하는 도구를 사용 하 여 rbac 개발에 투자를 하 여 솔루션을 배포 하는 데 필요한 소프트웨어 비용을 줄일 수 있습니다.Budget: By investing in development of RBAC using software and tools you may already own, you can reduce the software costs involved in deploying a solution. 그러나 직원을 만들고 기본 RBAC 솔루션 배포 경험이 없다면 솔루션을 개발 하는 컨설팅 리소스를 연결 하는 데 할 수 있습니다.However, unless you have staff who are experienced in creating and deploying native RBAC solutions, you may need to engage consulting resources to develop your solution. 신중 하 게 제한 된 예산 하는 경우에 특히 비용 "기본적으로" 솔루션을 배포 하는 사용자 지정 개발 솔루션에 대 한 예상된 비용을 평가 해야 합니다.You should carefully weigh the anticipated costs for a custom-developed solution with the costs to deploy an "out-of-box" solution, particularly if your budget is limited.
  2. IT 환경의 구성: 경우 주로 Windows 시스템의 해당 환경이 구성 되어 또는 비 Windows 시스템 및 계정 관리에 대 한 Active Directory를 이미 활용 하 고, 경우 기본 사용자 지정 솔루션 요구 사항에 대 한 최적의 솔루션을 제공할 수 있습니다.Composition of the IT environment: If your environment is comprised primarily of Windows systems, or if you are already leveraging Active Directory for management of non-Windows systems and accounts, custom native solutions may provide the optimal solution for your needs. Windows를 실행 하지 않는 및 Active Directory에서 관리 되지 않는 여러 시스템을 포함 하는 인프라, Active Directory 환경에서 별도로 비 Windows 시스템의 관리에 대 한 옵션을 고려해 야 할 수 있습니다.If your infrastructure contains many systems that are not running Windows and are not managed by Active Directory, you may need to consider options for management of non-Windows systems separately from the Active Directory environment.
  3. 솔루션의 권한 모델: 제품이 Active Directory의 높은 권한 있는 그룹에 서비스 계정을 배치 하는 데 사용 되 고 과도 한 권한이 필요 하지 않은 옵션을 RBAC 소프트웨어에 부여할 수 없는 경우 Active Directory 공격 노출 영역을 줄일 수 없습니다. 디렉터리에서 가장 권한 있는 그룹의 컴퍼지션을 변경 했습니다.Privilege model in the solution: If a product relies on placement of its service accounts into highly privileged groups in Active Directory and does not offer options that do not require excessive privilege be granted to the RBAC software, you have not really reduced your Active Directory attack surface you've only changed the composition of the most privileged groups in the directory. 애플리케이션 공급 업체 손상 및 악의적으로 사용 되는 계정의 확률을 최소화 하는 서비스 계정에 대 한 컨트롤을 제공할 수를 하지 않는 한 다른 옵션을 고려 하는 것이 좋습니다.Unless an application vendor can provide controls for service accounts that minimize the probability of the accounts being compromised and maliciously used, you may want to consider other options.

Privileged Identity ManagementPrivileged Identity Management

Id 관리 (PIM) 권한을 가진, 라고도를 권한 있는 계정으로 PAM (관리) 또는 특권 수준의 자격 증명 관리 (PCM)는 디자인, 생성,이 고 권한 있는 인프라에는 계정 관리 하는 방법의 구현입니다.Privileged identity management (PIM), sometimes referred to as privileged account management (PAM) or privileged credential management (PCM) is the design, construction, and implementation of approaches to managing privileged accounts in your infrastructure. 일반적으로 말해 PIM는 계정에는 임시 권한 부여 되었는지 하는 메커니즘을 제공 하 고 권한을 계정에 연결 된 영구적으로 유지 하는 대신 함수를 빌드 또는 중단을 수행 하는 데 필요한 사용 권한을 수정 합니다.Generally speaking, PIM provides mechanisms by which accounts are granted temporary rights and permissions required to perform build-or-break fix functions, rather than leaving privileges permanently attached to accounts. PIM 기능이 수동으로 만들어지거나 타사 소프트웨어 배포를 통해 구현 되는지 여부는 다음 기능 중 하나 이상을 사용할 수 있습니다.Whether PIM functionality is manually created or is implemented via the deployment of third-party software one or more of the following features may be available:

  • "자격 증명 모음을" 권한 있는 계정의 암호를 "체크 아웃" 고 초기 암호가 할당 후 "체크 인" 때 활동이 완료 되 면 되는 시간에 암호는 계정에 재설정 다시 된 자격 증명입니다.Credential "vaults," where passwords for privileged accounts are "checked out" and assigned an initial password, then "checked in" when activities have been completed, at which time passwords are again reset on the accounts.
  • 권한이 있는 자격 증명의 사용에 대 한 시간 범위 제한Time-bound restrictions on the use of privileged credentials
  • 자격 증명 한 번 사용One-time-use credentials
  • 만료 된의 모니터링 및 보고 수행 되는 활동 및 권한 자동 제거 활동을 완료 하거나 시간을 할당 하는 경우 권한 부여 워크플로 생성Workflow-generated granting of privilege with monitoring and reporting of activities performed and automatic removal of privilege when activities are completed or allotted time has expired
  • 필요에 따라 자격 증명 모음에서 검색할 자격 증명을 허용 하는 대체 하는 애플리케이션 프로그래밍 인터페이스 (Api)로 스크립트에 사용자 이름 및 암호와 같은 하드 코딩 자격 증명Replacement of hard-coded credentials such as user names and passwords in scripts with application programming interfaces (APIs) that allow credentials to be retrieved from vaults as needed
  • 서비스 계정 자격 증명의 자동 관리Automatic management of service account credentials

권한 있는 계정을 관리 하 특권된 계정 만들기Creating Unprivileged Accounts to Manage Privileged Accounts

권한 있는 계정 관리의 과제 중 하나는, 기본적으로 권한 있는 및 보호 된 계정을 관리할 수 있는 계정 및 그룹은 권한이 있는 계정을 보호 합니다.One of the challenges in managing privileged accounts is that, by default, the accounts that can manage privileged and protected accounts and groups are privileged and protected accounts. Active Directory 설치에 대 한 적절 한 RBAC 및 PIM 솔루션을 구현 하는 경우 솔루션 일시적 으로만 및 필요한 경우 그룹을 채우는 디렉터리에 가장 권한이 있는 그룹의 구성원을 효과적으로 내용을 수 있도록 하는 방법을 포함 될 수 있습니다.If you implement appropriate RBAC and PIM solutions for your Active Directory installation, the solutions may include approaches that allow you to effectively depopulate the membership of the most privileged groups in the directory, populating the groups only temporarily and when needed.

하지만 네이티브 RBAC 및 PIM을 구현 하면 필요할 때 Active Directory에 권한이 없는 유일한 함수 채우기 및 권한이 해체에 그룹화 하는 계정을 만드는 고려해 야 합니다.If you implement native RBAC and PIM, however, you should consider creating accounts that have no privilege and with the only function of populating and depopulating privileged groups in Active Directory when needed. 부록 i: Active Directory의 보호 된 계정 및 그룹에 대해서는 만들기 관리 계정을 이 목적을 위해 계정을 만드는 데 사용할 수 있는 단계별 지침을 제공 합니다.Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory provides step-by-step instructions that you can use to create accounts for this purpose.

강력한 인증 제어 구현Implementing Robust Authentication Controls

법률 번호 6: 사용자가 암호를 추측 하려고 할 것입니다.Law Number Six: There really is someone out there trying to guess your passwords. - 보안 관리의 10 가지 불변 법 - 10 Immutable Laws of Security Administration

해시를 전달 및 기타 자격 증명 도난 공격 Windows 운영 체제에 한정 되지 않는 하거나 새로운 않습니다.Pass-the-hash and other credential theft attacks are not specific to Windows operating systems, nor are they new. 1997 년의 첫 번째 해시를 전달 공격을 만들었습니다.The first pass-the-hash attack was created in 1997. 그러나 지금까지 이러한 공격 필수 사용자 지정 된 도구의 성공에 hit-or-miss 된와 필수 공격자가 상대적으로 높은 수준의 기술을 포함할 수 있습니다.Historically, however, these attacks required customized tools, were hit-or-miss in their success, and required attackers to have a relatively high degree of skill. 최근 몇 년 동안 수와 자격 증명 도난 공격의 성공에 매우 길어집니다 자격 증명을 고유 하 게 추출 하는 도구를 무료로 사용할 수 있는, 사용 하기 쉬운 도입이 되었습니다.The introduction of freely available, easy-to-use tooling that natively extracts credentials has resulted in an exponential increase in the number and success of credential theft attacks in recent years. 그러나 자격 증명 도난 공격은 유일한 메커니즘은 자격 증명이 대상으로 하 고 손상 있지는 않습니다.However, credential theft attacks are by no means the only mechanisms by which credentials are targeted and compromised.

자격 증명 도난 공격 으로부터 보호 하는 컨트롤을 구현 해야 하지만, 공격자가 대상으로 가장 가능성이 있는 환경에서 계정을 식별 해야 고 해당 계정에 대 한 강력한 인증 제어를 구현 해야 합니다.Although you should implement controls to help protect you against credential theft attacks, you should also identify the accounts in your environment that are most likely to be targeted by attackers, and implement robust authentication controls for those accounts. 가장 권한이 있는 계정 사용자 이름 및 암호와 같은 단일 요소 인증을 사용 하는 경우 (둘 다를 경우 "알아보았으며,"는 것은 한 가지 인증 요소), 이러한 계정 약한 보호 됩니다.If your most privileged accounts are using single factor authentication such as user names and passwords (both are "something you know," which is one authentication factor), those accounts are weakly protected. 공격자가 필요로 하는 모든 것은 사용자 이름 및 계정에 연결 된 암호에 대 한 정보를 알고 있으며, 해시 전달 공격은 필요 하지 않습니다. 공격자는 단일 요소 자격 증명을 허용 하는 시스템에 대해 사용자로 인증할 수 있습니다.All that an attacker needs is knowledge of the user name and knowledge of the password associated with the account, and pass-the-hash attacks are not required the attacker can authenticate as the user to any systems that accept single factor credentials.

Multi-factor authentication을 구현 해도 해시 통과 공격 으로부터 사용자를 보호 하지는 않지만 보호 된 시스템과 함께 multi-factor authentication을 구현 하는 것은 가능 합니다.Although implementing multi-factor authentication does not protect you against pass-the-hash attacks, implementing multi-factor authentication in combination with protected systems can. 보호 된 시스템을 구현 하는 방법에 대 한 자세한 정보가 제공 됩니다 보안을 유지 관리 호스트 구현, 인증 옵션은 다음 섹션에서 설명 합니다.More information about implementing protected systems is provided in Implementing Secure Administrative Hosts, and authentication options are discussed in the following sections.

일반 인증 제어General Authentication Controls

스마트 카드와 같은 multi-factor authentication을 아직 구현 하지 않은 경우에는이 작업을 수행 하는 것이 좋습니다.If you have not already implemented multi-factor authentication such as smart cards, consider doing so. 스마트 카드 액세스 되거나 사용자가 적절 한 핀, 암호 또는 생체 인식 식별자 스마트 카드를 제시 하지 않은 경우 사용 되는 사용자의 프라이빗 키를 방지 합니다.퍼블릭-프라이빗 키 쌍의 프라이빗 키의 보호 하드웨어 적용을 구현 합니다.Smart cards implement hardware-enforced protection of private keys in a public-private key pair, preventing a user's private key from being accessed or used unless the user presents the proper PIN, passcode, or biometric identifier to the smart card. PIN 또는 암호를 다시 사용 하는 공격자가 공격에 노출 된 컴퓨터에서 키 입력으로 거 하 여 사용자의 PIN 또는 암호를 가로채는 경우에 카드 주변에 없는 수도 있어야 합니다.Even if a user's PIN or passcode is intercepted by a keystroke logger on a compromised computer, for an attacker to reuse the PIN or passcode, the card must also be physically present.

스마트 카드는 길고 복잡 한 암호가 입증 된 사용자의 저항 때문에 구현 하기 어려운 경우에는 사용자가 구현할 수 있습니다 비교적 단순 Pin 또는 암호 무차별 암호 대입 또는 레인 보우 테이블 공격에 취약 되 고 자격 증명 없이 메커니즘을 제공 합니다.In cases in which long, complex passwords have proven difficult to implement because of user resistance, smart cards provide a mechanism by which users may implement relatively simple PINs or passcodes without the credentials being susceptible to brute force or rainbow table attacks. 스마트 카드 Pin 자격 증명 해시에 스마트 카드에 사용 된 인증 하는 컴퓨터에서 보호 하는 LSASS 메모리에 계속 저장 될 수 있지만 Active Directory 또는 로컬 SAM 데이터베이스를 저장 되지 않습니다.Smart card PINs are not stored in Active Directory or in local SAM databases, although credential hashes may still be stored in LSASS protected memory on computers on which smart cards have been used for authentication.

VIP 계정에 대 한 추가 제어Additional Controls for VIP Accounts

스마트 카드 또는 기타 인증서 기반 인증 메커니즘을 구현 하는 또 다른 이점은 VIP 사용자에 액세스할 수 있는 중요 한 데이터를 보호 하는 인증 메커니즘 보증을 활용할 수 있습니다.Another benefit of implementing smart cards or other certificate-based authentication mechanisms is the ability to leverage Authentication Mechanism Assurance to protect sensitive data that is accessible to VIP users. 인증 메커니즘 보증 기능 수준을 Windows Server 2012 또는 Windows Server 2008 r 2에 설정 되어 있는 도메인에서 제공 됩니다.Authentication Mechanism Assurance is available in domains in which the functional level is set to Windows Server 2012 or Windows Server 2008 R2. 사용 하는 경우 인증서 기반 로그온 메서드를 사용 하 여 로그온 하는 동안 사용자의 자격 증명이 인증 하는 경우 인증 메커니즘 보증 사용자의 Kerberos 토큰에는 관리자가 지정 된 글로벌 그룹 구성원을 추가 합니다.When it is enabled, Authentication Mechanism Assurance adds an administrator-designated global group membership to a user's Kerberos token when the user's credentials are authenticated during logon using a certificate-based logon method.

이렇게 하면 리소스 관리자가 파일, 폴더, 프린터, 사용자가 로그온 인증서 기반 메서드를 사용 하는 인증서의 형식 외에도 사용 하 여 로그온 여부에 따라 등의 리소스에 대 한 액세스를 제어할 수 있습니다.This makes it possible for resource administrators to control access to resources, such as files, folders, and printers, based on whether the user logs on using a certificate-based logon method, in addition to the type of certificate used. 예를 들어 사용자가 스마트 카드를 사용 하 여 로그온 할 때 네트워크에 있는 리소스에 대 한 사용자의 액세스로 지정할 수 있습니다 다른 어떤 액세스에서는 사용자가 스마트 카드를 사용 하지 않는 경우 (즉, 로그온 할 때 사용자는 사용자 이름 및 암호를 입력 하 여).For example, when a user logs on by using a smart card, the user's access to resources on the network can be specified as different from what the access is when the user does not use a smart card (that is, when the user logs on by entering a user name and password). 인증 메커니즘 보증 하는 방법에 대 한 자세한 내용은 참조는 Windows Server 2008 R2 단계별 가이드에서 AD DS에 대 한 인증 메커니즘 보증합니다.For more information about Authentication Mechanism Assurance, see the Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide.

권한 있는 계정 인증 구성Configuring Privileged Account Authentication

모든 관리 계정에 대 한 Active Directory를 통해는 대화형 로그온에 스마트 카드 필요 특성 및 변경 (최소한)에 대 한 감사 특성에 계정 관리 사용자 개체 (예: cn, 이름, sAMAccountName, userPrincipalName, 및 userAccountControl) 계정에 대 한 탭 합니다.In Active Directory for all administrative accounts, enable the Require smart card for interactive logon attribute, and audit for changes to (at a minimum), any of the attributes on the Account tab for the account (for example, cn, name, sAMAccountName, userPrincipalName, and userAccountControl) administrative user objects.

계정에 대 한 대화형 로그온에 스마트 카드 필요 를 설정 하는 경우 계정 암호를 120 문자 임의 값으로 다시 설정 하 고 대화형 로그온을 위해 스마트 카드를 요구 하지만, 계정에 대 한 암호를 변경할 수 있는 권한이 있는 사용자가 특성을 덮어쓸 수 있으며,이 계정은 사용자 이름과 암호만 사용 하 여 비 대화형 로그온을 설정 하는 데 사용할 수 있습니다.Although setting the Require smart card for interactive logon on accounts resets the account's password to a 120-character random value and requires smart cards for interactive logons, the attribute can still be overwritten by users with permissions that allow them to change passwords on the accounts, and the accounts can then be used to establish non-interactive logons with only user name and password.

다른 경우에서의 구성에 따라 계정을 Active Directory 인증서 서비스 (AD CS) 또는 제 3 자 PKI, 이름 UPN (사용자 계정)의 Active Directory 및 인증서 설정에 대 한 특성 관리 또는 VIP 계정을 여기에서 설명한 대로 특정 종류의 공격 대상이 될 수 있습니다.In other cases, depending on the configuration of accounts in Active Directory and certificate settings in Active Directory Certificate Services (AD CS) or a third-party PKI, User Principal Name (UPN) attributes for administrative or VIP accounts can be targeted for a specific kind of attack, as described here.

인증서 스푸핑 UPN 가로채기UPN Hijacking for Certificate Spoofing

퍼블릭 키 인프라 (Pki)에 대 한 공격에 대 한 자세한 설명은이 문서의 범위 밖에 없지만, 퍼블릭 및 퍼블릭 Pki에 대 한 공격 2008 이후 기하급수적으로 증가 했습니다.Although a thorough discussion of attacks against public key infrastructures (PKIs) is outside the scope of this document, attacks against public and private PKIs have increased exponentially since 2008. 공용 Pki의 침해는 되었습니다 광범위 하 게 당하기 전에 있지만 조직의 내부 PKI에 대 한 공격이 훨씬 더 많이 아마도.Breaches of public PKIs have been broadly publicized, but attacks against an organization's internal PKI are perhaps even more prolific. 이러한 한 가지 공격 공격자가 감지 하기가 어려울 수 있는 방식으로 다른 계정의 자격 증명을 스푸핑할 수 있도록 Active Directory와 인증서를 활용 합니다.One such attack leverages Active Directory and certificates to allow an attacker to spoof the credentials of other accounts in a manner that can be difficult to detect.

도메인에 가입 된 시스템에 인증을 위해 표시 되는 인증서 주체 또는 인증서의 주체 대체 이름 (SAN) 특성의 내용은 Active Directory에서 사용자 개체에 인증서 매핑 사용 됩니다.When a certificate is presented for authentication to a domain-joined system, the contents of the Subject or the Subject Alternative Name (SAN) attribute in the certificate are used to map the certificate to a user object in Active Directory. 인증서 및 생성 방법의 종류에 따라 인증서의 주체 특성 일반적으로 포함 되어 사용자의 CN (일반 이름), 다음 스크린 샷에 표시 된 것 처럼 합니다.Depending on the type of certificate and how it is constructed, the Subject attribute in a certificate typically contains a user's common name (CN), as shown in the following screenshot.

최소 권한 관리자 모델

기본적으로 Active Directory 계정의 이름에 연결 하 여 사용자의 CN를 생성 + "" + 마지막 이름입니다.By default, Active Directory constructs a user's CN by concatenating the account's first name + " "+ last name. 그러나 Active Directory의 사용자 개체의 CN 구성 요소 필요 하거나, 고유 하지 고 이전 스크린샷의 아래쪽 창에 표시 된 대로 디렉터리에서 개체의 전체 경로 계정의 고유 이름 (DN) 변경 사용자 계정을 디렉터리에 다른 위치로 이동 합니다.However, CN components of user objects in Active Directory are not required or guaranteed to be unique, and moving a user account to a different location in the directory changes the account's distinguished name (DN), which is the full path to the object in the directory, as shown in the bottom pane of the previous screenshot.

인증서 주체 이름이 정적 이거나 고유 아닐, 때문에 Active Directory에서 사용자 개체를 찾을 주체 대체 이름의 내용은 자주 사용 됩니다.Because certificate subject names are not guaranteed to be static or unique, the contents of the Subject Alternative Name are often used to locate the user object in Active Directory. (Active Directory는 Ca를 통합 하는 데 사용) 엔터프라이즈 인증 기관에서 사용자에 게 발급 된 인증서의 SAN 특성 일반적으로 사용자의 UPN 또는 전자 메일 주소를 포함 합니다.The SAN attribute for certificates issued to users from enterprise certification authorities (Active Directory integrated CAs) typically contains the user's UPN or email address. 고유 하 게 AD DS 포리스트에서 upn이 보장 되며 때문에는 UPN 하 여 사용자 개체를 찾기는 일반적으로 인증 프로세스에 포함 된 인증서 없이 인증의 일부로 수행 됩니다.Because UPNs are guaranteed to be unique in an AD DS forest, locating a user object by UPN is commonly performed as part of authentication, with or without certificates involved in the authentication process.

사기성 인증서를 가져올 때 공격자가 인증 인증서의 SAN 특성에서이 도구 사용을 활용할 수 있습니다.The use of UPNs in SAN attributes in authentication certificates can be leveraged by attackers to obtain fraudulent certificates. 공격자가 읽고 Upn 사용자 개체에 쓸 수 있는 계정을 손상 공격 다음과 같이 구현 됩니다.If an attacker has compromised an account that has the ability to read and write UPNs on user objects, the attack is implemented as follows:

UPN 특성 (예: VIP 사용자)의 사용자 개체를 다른 값으로 일시적으로 변경 됩니다.The UPN attribute on a user object (such as a VIP user) is temporarily changed to a different value. 아니지만 일반적으로 앞에서 설명한 이유 때문에 필요한 SAM 계정 이름 특성 및 CN이 이번에 변경할 수도 있습니다.The SAM account name attribute and CN can also be changed at this time, although this is usually not necessary for the reasons described earlier.

대상 계정에 UPN 특성 변경 되었을 때 유효 하지 않은, 사용 가능한 사용자 계정이 나 새로 만든된 사용자 계정의 UPN 특성 원래 대상 계정에 할당 된 값으로 변경 됩니다.When the UPN attribute on the target account has been changed, a stale, enabled user account or a freshly created user account's UPN attribute is changed to the value that was originally assigned to the target account. 오래 된, 사용 가능한 사용자 계정이 계정 비활성화 되어 있지 않지만 오랜 시간 동안 로그온 하지 않았습니다.Stale, enabled user accounts are accounts that have not logged on for long periods of time, but have not been disabled. 다음과 같은 이유로 "어둡다에서 숨기기" 하려고 하는 경우 공격자가 된 대상으로 합니다.They are targeted by attackers who intend to "hide in plain sight" for the following reasons:

  1. 계정이 활성화 되어 있지만 최근에 사용 되지 않은, 때문에 계정을 사용 하 여 어렵습니다 트리거 경고 방식으로 사용할 수 없는 사용자 계정을 사용할 수 있게 될 수 있습니다.Because the account is enabled, but hasn't been used recently, using the account is unlikely to trigger alerts the way that enabling a disabled user account might.
  2. 기존 계정을 사용 하 여 관리 담당자가 발견 않을 수 있는 새 사용자 계정 만드는 필요 하지 않습니다.Use of an existing account doesn't require the creation of a new user account that might be noticed by administrative staff.
  3. 오래 된 사용자 계정에는 여전히 사용할 수는 일반적으로 다양 한 보안 그룹의 구성원 및 액세스를 단순화 하 고 "혼합"는 기존 사용자 집단을 네트워크의 리소스에 액세스 권한이 부여 됩니다.Stale user accounts that are still enabled are usually members of various security groups and are granted access to resources on the network, simplifying access and "blending in" to an existing user population.

대상 UPN 이제에 구성 된 사용자 계정 Active Directory 인증서 서비스에서 하나 이상의 인증서를 요청 하기 위해 사용 됩니다.The user account on which the target UPN has now been configured is used to request one or more certificates from Active Directory Certificate Services.

공격자의 계정에 대 한 인증서를 얻은 경우 "new" 계정 및 대상 계정에 upn이 원래 값으로 반환 됩니다.When certificates have been obtained for the attacker's account, the UPNs on the "new" account and the target account are returned to their original values.

공격자가 사용자가 해당 계정이 일시적으로 수정 된 VIP 사용자 인 경우와 인증 리소스 및 애플리케이션을 표시할 수 있는 하나 이상의 인증서 설정 되었습니다.The attacker now has one or more certificates that can be presented for authentication to resources and applications as if the user is the VIP user whose account was temporarily modified. 이 공격 메커니즘 권한 및 변경 특성에 대 한 특히 변경에 대 한 AD DS에 VIP 계정에서 모니터링 해야 하는 이유를 설명 하기 위해 제공 됩니다 모든는 인증서와 PKI 대상으로 지정할 수 공격자가 하는 방법에 대 한 자세한 내용은이 문서의 범위를 벗어난 되어도 계정 (예: 계정에 대 한 탭 cn, 이름, sAMAccountName, userPrincipalName, 및 userAccountControl).Although a full discussion of all of the ways in which certificates and PKI can be targeted by attackers is outside the scope of this document, this attack mechanism is provided to illustrate why you should monitor privileged and VIP accounts in AD DS for changes, particularly for changes to any of the attributes on the Account tab for the account (for example, cn, name, sAMAccountName, userPrincipalName, and userAccountControl). 계정을 모니터링 하는 것 외에도 작은으로 계정을 관리자에 게 최대한의 집합을 수정할 수 있는 사람을 제한 해야 합니다.In addition to monitoring the accounts, you should restrict who can modify the accounts to as small a set of administrative users as possible. 마찬가지로, 관리자가 사용자의 계정은 보호 고 허가 되지 않은 변경에 대 한 모니터링 해야 합니다.Likewise, the accounts of administrative users should be protected and monitored for unauthorized changes.