보안 관리 호스트 구현Implementing Secure Administrative Hosts

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

보안 관리 호스트는 권한 있는 계정에서 Active Directory 또는 도메인 컨트롤러, 도메인에 가입 된 시스템 및 도메인에 가입 된 시스템에서 실행 되는 응용 프로그램에서 관리 작업을 수행할 수 있는 보안 플랫폼을 만들기 위해 특별히 구성 된 워크스테이션 또는 서버입니다.Secure administrative hosts are workstations or servers that have been configured specifically for the purposes of creating secure platforms from which privileged accounts can perform administrative tasks in Active Directory or on domain controllers, domain-joined systems, and applications running on domain-joined systems. 이 경우 "권한 있는 계정"은 Active Directory에서 가장 권한 있는 그룹의 멤버 이지만 관리 작업을 수행할 수 있도록 위임 된 권한 및 사용 권한이 있는 모든 계정에 대해 사용 되는 계정 뿐만 아니라In this case, "privileged accounts" refers not only to accounts that are members of the most privileged groups in Active Directory, but to any accounts that have been delegated rights and permissions that allow administrative tasks to be performed.

이러한 계정은 도메인의 대부분의 사용자에 대 한 암호를 다시 설정 하는 기능, DNS 레코드 및 영역을 관리 하는 데 사용 되는 계정 또는 구성 관리에 사용 되는 계정을 사용할 수 있는 지원 센터 계정일 수 있습니다.These accounts may be Help Desk accounts that have the ability to reset passwords for most of the users in a domain, accounts that are used to administer DNS records and zones, or accounts that are used for configuration management. 보안 관리 호스트는 관리 기능 전용 이며 전자 메일 응용 프로그램, 웹 브라우저 또는 생산성 소프트웨어 (예: Microsoft Office)와 같은 소프트웨어를 실행 하지 않습니다.Secure administrative hosts are dedicated to administrative functionality, and they do not run software such as email applications, web browsers, or productivity software such as Microsoft Office.

"가장 권한 있는" 계정 및 그룹은 적절 하 게 보호 해야 하는 것이 좋지만 표준 사용자 계정에 대 한 권한이 부여 된 계정 및 그룹을 보호 해야 하는 것은 제거 되지 않습니다.Although the "most privileged" accounts and groups should accordingly be the most stringently protected, this does not eliminate the need to protect any accounts and groups to which privileges above those of standard user accounts have been granted.

보안 관리 호스트는 관리 작업에만 사용 되는 전용 워크스테이션, 원격 데스크톱 게이트웨이 서버 역할을 실행 하는 구성원 서버, 대상 호스트의 관리를 수행 하기 위해 연결 하는 구성원 서버 또는 Hyper-v 역할을 실행 하는 서버를 비롯 하 여 관리 작업에 사용할 각 IT 사용자에 게 고유한 가상 컴퓨터를 제공 합니다.A secure administrative host can be a dedicated workstation that is used only for administrative tasks, a member server that runs the Remote Desktop Gateway server role and to which IT users connect to perform administration of destination hosts, or a server that runs the Hyper-V role and provides a unique virtual machine for each IT user to use for their administrative tasks. 대부분의 환경에서는 세 가지 방법의 조합을 모두 구현할 수 있습니다.In many environments, combinations of all three approaches may be implemented.

보안 관리 호스트를 구현 하려면 조직의 규모, 관리 사례, 위험 성향 지 및 예산과 일치 하는 계획 및 구성이 필요 합니다.Implementing secure administrative hosts requires planning and configuration that is consistent with your organization's size, administrative practices, risk appetite, and budget. 보안 관리 호스트를 구현 하기 위한 고려 사항 및 옵션은 조직에 적합 한 관리 전략을 개발 하는 데 사용할 수 있도록 여기에 제공 됩니다.Considerations and options for implementing secure administrative hosts are provided here for you to use in developing an administrative strategy suitable for your organization.

보안 관리 호스트를 만들기 위한 원칙Principles for Creating Secure Administrative Hosts

공격 으로부터 시스템을 효과적으로 보호 하기 위해 몇 가지 일반적인 원칙을 염두에 두어야 합니다.To effectively secure systems against attacks, a few general principles should be kept in mind:

  1. 트러스트 되지 않은 호스트 (즉, 도메인 컨트롤러와 같은 보안 서버)는 트러스트 되지 않은 호스트 (즉, 관리 하는 시스템과 동일한 수준으로 보안이 설정 되지 않은 워크스테이션)에서 관리 하면 안 됩니다.You should never administer a trusted system (that is, a secure server such as a domain controller) from a less-trusted host (that is, a workstation that is not secured to the same degree as the systems it manages).

  2. 권한 있는 활동을 수행할 때 단일 인증 요인을 사용 하면 안 됩니다. 즉, 사용자 이름 및 암호 조합은 단일 요소 (사용자가 알고 있는 것)만 표시 되기 때문에 허용 되는 인증으로 간주 되어서는 안 됩니다.You should not rely on a single authentication factor when performing privileged activities; that is, user name and password combinations should not be considered acceptable authentication because only a single factor (something you know) is represented. 자격 증명을 생성 하 고 캐시 하거나 관리 시나리오에서 저장 하는 위치를 고려해 야 합니다.You should consider where credentials are generated and cached or stored in administrative scenarios.

  3. 현재 위협 환경에서 대부분의 공격은 맬웨어 및 악의적인 해킹을 활용 하지만 보안 관리 호스트를 설계 하 고 구현할 때 물리적 보안을 생략 하지 마십시오.Although most attacks in the current threat landscape leverage malware and malicious hacking, do not omit physical security when designing and implementing secure administrative hosts.

계정 구성Account Configuration

현재 조직에서 스마트 카드를 사용 하지 않더라도 권한 있는 계정 및 보안 관리 호스트에 대 한 구현을 고려해 야 합니다.Even if your organization does not currently use smart cards, you should consider implementing them for privileged accounts and secure administrative hosts. 관리 호스트를 포함 하는 Ou에 연결 된 GPO에서 다음 설정을 수정 하 여 모든 계정에 대해 스마트 카드 로그온을 요구 하도록 관리 호스트를 구성 해야 합니다.Administrative hosts should be configured to require smart card logon for all accounts by modifying the following setting in a GPO that is linked to the OUs containing administrative hosts:

Computer Configuration\Policies\Windows logon logon Options\Interactive logon: 스마트 카드 필요Computer Configuration\Policies\Windows Settings\Local Policies\Security Options\Interactive logon: Require smart card

이 설정을 사용 하려면 Active Directory의 개별 계정 구성에 관계 없이 모든 대화형 로그온이 스마트 카드를 사용 해야 합니다.This setting will require all interactive logons to use a smart card, regardless of the configuration on an individual account in Active Directory.

또한에서 구성할 수 있는 권한 있는 계정의 로그온만 허용 하도록 보안 관리 호스트를 구성 해야 합니다.You should also configure secure administrative hosts to permit logons only by authorized accounts, which can be configured in:

Computer Configuration\Policies\Windows에 대 한 보안 정책 \ 보안 정책 \ 로컬 정책 \ 보안 정책Computer Configuration\Policies\Windows Settings\Local Policies\Security Settings\Local Policies\User Rights Assignment

이렇게 하면 보안 관리 호스트의 인증 된 사용자 에게만 대화형 (및 해당 하는 원격 데스크톱 서비스) 로그온 권한이 부여 됩니다.This grants interactive (and, where appropriate, Remote Desktop Services) logon rights only to authorized users of the secure administrative host.

물리적 보안Physical Security

관리 호스트를 신뢰할 수 있는 것으로 간주 하려면 관리 하는 시스템과 동일한 수준으로 구성 하 고 보호 해야 합니다.For administrative hosts to be considered trustworthy, they must be configured and protected to the same degree as the systems they manage. 도메인 컨트롤러를 공격 으로부터 보호 하기 위해 제공 되는 대부분의 권장 사항은 도메인 컨트롤러 및 AD DS 데이터베이스를 관리 하는 데 사용 되는 호스트에도 적용 됩니다.Most of the recommendations provided in Securing Domain Controllers Against Attack are also applicable to the hosts that are used to administer domain controllers and the AD DS database. 대부분의 환경에서 보안 관리 시스템을 구현 하는 문제 중 하나는 물리적 보안을 구현 하는 것이 더 어려울 수 있습니다. 이러한 컴퓨터는 관리 사용자 데스크톱과 같은 데이터 센터에서 호스트 되는 서버 만큼 안전 하지 않은 영역에 있는 경우가 많기 때문입니다.One of the challenges of implementing secure administrative systems in most environments is that physical security can be more difficult to implement because these computers often reside in areas that are not as secure as servers hosted in datacenters, such as administrative users' desktops.

물리적 보안에는 관리 호스트에 대 한 물리적 액세스 제어가 포함 됩니다.Physical security includes controlling physical access to administrative hosts. 소규모 조직에서는 사용 하지 않을 때 사무실 이나 책상 서랍에서 잠기는 전용 관리 워크스테이션을 유지 관리 하는 것을 의미할 수 있습니다.In a small organization, this may mean that you maintain a dedicated administrative workstation that is kept locked in an office or a desk drawer when not in use. 또는 도메인 컨트롤러에 대 한 Active Directory 관리를 수행 해야 하는 경우 도메인 컨트롤러에 직접 로그온 하는 것을 의미할 수 있습니다.Or it may mean that when you need to perform administration of Active Directory or your domain controllers, you log on to the domain controller directly.

중간 규모의 조직에서는 사무실의 안전한 위치에 있는 보안 관리 "점프 서버"를 구현 하는 것을 고려할 수 있으며 Active Directory 또는 도메인 컨트롤러의 관리가 필요할 때 사용 됩니다.In medium-sized organizations, you may consider implementing secure administrative "jump servers" that are located in a secured location in an office and are used when management of Active Directory or domain controllers is required. 또한 점프 서버를 사용 하거나 사용 하지 않는 경우에는 안전한 위치에 잠겨 있는 관리 워크스테이션을 구현할 수 있습니다.You may also implement administrative workstations that are locked in secure locations when not in use, with or without jump servers.

대기업에서는 Active Directory에 대해 엄격 하 게 제어 되는 액세스를 제공 하는 데이터 센터에 있는 점프 서버를 배포할 수 있습니다. 도메인 컨트롤러 및 파일, 인쇄 또는 응용 프로그램 서버입니다.In large organizations, you can deploy datacenter-housed jump servers that provide strictly controlled access to Active Directory; domain controllers; and file, print, or application servers. 점프 서버 아키텍처의 구현은 많은 환경에서 보안 워크스테이션과 서버를 조합 하 여 포함할 가능성이 높습니다.Implementation of a jump server architecture is most likely to include a combination of secure workstations and servers in large environments.

조직의 규모와 관리 호스트의 설계에 관계 없이 물리적 컴퓨터를 무단 액세스 또는 도난 으로부터 보호 해야 하며, BitLocker 드라이브 암호화를 사용 하 여 관리 호스트의 드라이브를 암호화 하 고 보호 해야 합니다.Regardless of the size of your organization and the design of your administrative hosts, you should secure physical computers against unauthorized access or theft, and should use BitLocker Drive Encryption to encrypt and protect the drives on administrative hosts. 관리 호스트에서 BitLocker를 구현 하 여 호스트를 도난당 하거나 해당 디스크를 제거 하더라도 권한 없는 사용자가 드라이브의 데이터에 액세스할 수 없도록 할 수 있습니다.By implementing BitLocker on administrative hosts, even if a host is stolen or its disks are removed, you can ensure that the data on the drive is inaccessible to unauthorized users.

운영 체제 버전 및 구성Operating System Versions and Configuration

서버 또는 워크스테이션에 대 한 모든 관리 호스트는이 문서의 앞부분에서 설명한 이유에 대해 조직에서 사용 중인 최신 운영 체제를 실행 해야 합니다.All administrative hosts, whether servers or workstations, should run the newest operating system in use in your organization for the reasons described earlier in this document. 관리 직원은 현재 운영 체제를 실행 하 여 새로운 보안 기능, 전체 공급 업체 지원 및 운영 체제에 도입 된 추가 기능을 활용할 수 있습니다.By running current operating systems, your administrative staff benefits from new security features, full vendor support, and additional functionality introduced in the operating system. 또한 관리 호스트에 먼저 배포 하 여 새 운영 체제를 평가 하는 경우에는 제공 되는 새로운 기능, 설정 및 관리 메커니즘을 숙지 해야 하며, 이후에 운영 체제의 광범위 한 배포를 계획 하는 데 활용할 수 있습니다.Moreover, when you are evaluating a new operating system, by deploying it first to administrative hosts, you will need to familiarize yourself with the new features, settings and management mechanisms it offers, which can subsequently be leveraged in planning broader deployment of the operating system. 그런 다음 조직에서 가장 정교한 사용자는 새로운 운영 체제에 대해 잘 알고 있으며이를 지원 하기에 가장 적합 한 사용자 이기도 합니다.By then, the most sophisticated users in your organization will also be the users who are familiar with the new operating system and best positioned to support it.

Microsoft 보안 구성 마법사Microsoft Security Configuration Wizard

관리 호스트 전략의 일부로 점프 서버를 구현 하는 경우 기본 제공 보안 구성 마법사를 사용 하 여 서비스, 레지스트리, 감사 및 방화벽 설정을 구성 하 여 서버의 공격 노출 영역을 줄여야 합니다.If you implement jump servers as part of your administrative host strategy, you should use the built-in Security Configuration Wizard to configure service, registry, audit, and firewall settings to reduce the server's attack surface. 보안 구성 마법사 구성 설정을 수집 하 고 구성 하면 모든 점프 서버에서 일관 된 기준 구성을 적용 하는 데 사용 되는 GPO로 설정을 변환할 수 있습니다.When the Security Configuration Wizard configuration settings have been collected and configured, the settings can be converted to a GPO that is used to enforce a consistent baseline configuration on all jump servers. GPO를 추가로 편집 하 여 점프 서버와 관련 된 보안 설정을 구현할 수 있으며 모든 설정을 Microsoft 보안 규정 준수 관리자에서 추출한 추가 기준 설정과 결합할 수 있습니다.You can further edit the GPO to implement security settings specific to jump servers, and can combine all of the settings with additional baseline settings extracted from the Microsoft Security Compliance Manager.

Microsoft Security Compliance ManagerMicrosoft Security Compliance Manager

Microsoft 보안 규정 준수 관리자 는 운영 체제 버전 및 역할 구성에 따라 microsoft에서 권장 하는 보안 구성을 통합 하 고 도메인 컨트롤러에 대 한 기본 보안 설정을 만들고 구성 하는 데 사용할 수 있는 단일 도구 및 UI로 수집 하는 무료로 사용할 수 있는 도구입니다.The Microsoft Security Compliance Manager is a freely available tool that integrates security configurations that are recommended by Microsoft, based on operating system version and role configuration, and collects them in a single tool and UI that can be used to create and configure baseline security settings for domain controllers. Microsoft 보안 준수 관리자 템플릿을 보안 구성 마법사 설정과 함께 사용 하 여 이동 서버가 Active Directory 있는 Ou에 배포 된 Gpo에 의해 배포 되 고 적용 되는 점프 서버에 대 한 포괄적인 구성 기준을 생성할 수 있습니다.Microsoft Security Compliance Manager templates can be combined with Security Configuration Wizard settings to produce comprehensive configuration baselines for jump servers that are deployed and enforced by GPOs deployed at the OUs in which jump servers are located in Active Directory.

참고

이 문서를 작성할 당시에는 Microsoft Security 준수 관리자에 게 점프 서버 또는 다른 보안 관리 호스트에 대 한 설정이 포함 되어 있지 않지만 SCM (보안 준수 관리자)은 관리 호스트에 대 한 초기 기준을 만드는 데 사용 될 수 있습니다.As of this writing, the Microsoft Security Compliance Manager does not include settings specific to jump servers or other secure administrative hosts, but Security Compliance Manager (SCM) can still be used to create initial baselines for your administrative hosts. 그러나 호스트를 적절히 보호 하려면 매우 안전한 워크스테이션과 서버에 적절 한 추가 보안 설정을 적용 해야 합니다.To properly secure the hosts, however, you should apply additional security settings appropriate to highly secured workstations and servers.

AppLockerAppLocker

관리 호스트 및 가상 컴퓨터는 AppLocker 또는 타사 응용 프로그램 제한 소프트웨어를 통해 스크립트, 도구 및 응용 프로그램을 사용 하 여 구성 해야 합니다.Administrative hosts and virtual machines should be configured with script, tool, and application s via AppLocker or a third-party application restriction software. 보안 설정을 준수 하지 않는 모든 관리 응용 프로그램이 나 유틸리티는 보안 개발 및 관리 관행을 준수 하는 도구로 업그레이드 하거나 교체 해야 합니다.Any administrative applications or utilities that do not adhere to secure settings should be upgraded or replaced with tooling that adheres to secure development and administrative practices. 관리 호스트에 새 도구 또는 추가 도구가 필요한 경우 응용 프로그램 및 유틸리티를 철저히 테스트 해야 하며, 도구가 관리 호스트에 배포 하는 데 적합 한 경우 시스템에 추가할 수 있습니다.When new or additional tooling is needed on an administrative host, applications and utilities should be thoroughly tested, and if the tooling is suitable for deployment on administrative hosts, it can be added to the systems' s.

RDP 제한RDP Restrictions

특정 구성이 관리 시스템의 아키텍처에 따라 달라 지지만 권한 있는 사용자 및 시스템에서 도메인 컨트롤러 및 기타 관리 되는 시스템에 대 한 액세스를 제어 하기 위해 원격 데스크톱 게이트웨이 (RD 게이트웨이) 점프 서버를 사용 하는 것과 같이 관리 되는 시스템에 대 한 원격 데스크톱 프로토콜 (RDP) 연결을 설정 하는 데 사용할 수 있는 계정 및 컴퓨터에 대 한 제한을 포함 해야 합니다.Although the specific configuration will vary depending on the architecture of your administrative systems, you should include restrictions on which accounts and computers can be used to establish Remote Desktop Protocol (RDP) connections to managed systems, such as using Remote Desktop Gateway (RD Gateway) jump servers to control access to domain controllers and other managed systems from authorized users and systems.

권한 있는 사용자가 대화형 로그온을 허용 해야 하며, 서버 액세스에 필요 하지 않은 다른 로그온 유형도 제거 하거나 차단 해야 합니다.You should allow interactive logons by authorized users and should remove or even block other logon types that are not needed for server access.

패치 및 구성 관리Patch and Configuration Management

소규모 조직에서는 WSUS (Windows 업데이트 또는 Windows Server Update Services )와 같은 제품을 사용 하 여 Windows 시스템에 대 한 업데이트 배포를 관리할 수 있지만, 규모가 큰 조직은 Microsoft 엔드포인트 Configuration Manager와 같은 엔터프라이즈 패치 및 구성 관리 소프트웨어를 구현할 수 있습니다.Smaller organizations may rely on offerings such as Windows Update or Windows Server Update Services (WSUS) to manage deployment of updates to Windows systems, while larger organizations may implement enterprise patch and configuration management software such as Microsoft Endpoint Configuration Manager. 일반 서버 및 워크스테이션 채우기에 업데이트를 배포 하는 데 사용 하는 메커니즘에 관계 없이 도메인 컨트롤러, 인증 기관 및 관리 호스트와 같은 매우 안전한 시스템에 대해 별도의 배포를 고려해 야 합니다.Regardless of the mechanisms you use to deploy updates to your general server and workstation population, you should consider separate deployments for highly secure systems such as domain controllers, certification authorities, and administrative hosts. 이러한 시스템을 일반 관리 인프라에서 분리 하 여 관리 소프트웨어 또는 서비스 계정이 손상 되 면 인프라에서 가장 안전한 시스템으로 손상을 쉽게 확장할 수 없습니다.By segregating these systems from the general management infrastructure, if your management software or service accounts are compromised, the compromise cannot be easily extended to the most secure systems in your infrastructure.

보안 시스템에 대 한 수동 업데이트 프로세스를 구현 해서는 안 되지만 보안 시스템을 업데이트 하기 위한 별도의 인프라를 구성 해야 합니다.Although you should not implement manual update processes for secure systems, you should configure a separate infrastructure for updating secure systems. 매우 큰 조직의 경우에도이 인프라는 일반적으로 전용 WSUS 서버 및 보안 시스템에 대 한 Gpo를 통해 구현할 수 있습니다.Even in very large organizations, this infrastructure can usually be implemented via dedicated WSUS servers and GPOs for secured systems.

인터넷 액세스 차단Blocking Internet Access

관리 호스트는 인터넷에 액세스 하는 것을 허용 하지 않으며 조직의 인트라넷을 검색할 수도 없습니다.Administrative hosts should not be permitted to access the Internet, nor should they be able to browse an organization's intranet. 웹 브라우저 및 유사한 응용 프로그램은 관리 호스트에서 허용 되지 않아야 합니다.Web browsers and similar applications should not be permitted on administrative hosts. 보안 호스트의 경계 방화벽 설정, WFAS 구성 및 "블랙홀" 프록시 구성의 조합을 통해 보안 호스트에 대 한 인터넷 액세스를 차단할 수 있습니다.You can block Internet access for secure hosts via a combination of perimeter firewall settings, WFAS configuration, and "black hole" proxy configuration on secure hosts. 응용 프로그램 allowslist를 사용 하 여 관리 호스트에서 웹 브라우저를 사용 하지 않도록 할 수도 있습니다.You can also use application allowslist to prevent web browsers from being used on administrative hosts.

가상화Virtualization

가능 하면 가상 컴퓨터를 관리 호스트로 구현 하는 것이 좋습니다.Where possible, consider implementing virtual machines as administrative hosts. 가상화를 사용 하면 중앙에서 저장 및 관리 되는 사용자별 관리 시스템을 만들 수 있으며, 사용 하지 않을 때 쉽게 종료 하 여 관리 시스템에서 자격 증명을 활성 상태로 유지할 수 있습니다.Using virtualization, you can create per-user administrative systems that are centrally stored and managed, and which can be easily shut down when not in use, ensuring that credentials are not left active on the administrative systems. 또한 각 사용 후 가상 관리 호스트를 초기 스냅숏으로 다시 설정 하 여 가상 컴퓨터의 초기 상태가 유지 되도록 할 수 있습니다.You can also require that virtual administrative hosts are reset to an initial snapshot after each use, ensuring that the virtual machines remain pristine. 관리 호스트의 가상화 옵션에 대 한 자세한 내용은 다음 섹션에서 제공 합니다.More information about options for virtualization of administrative hosts is provided in the following section.

보안 관리 호스트를 구현 하는 샘플 방법Sample Approaches to Implementing Secure Administrative Hosts

관리 호스트 인프라를 디자인 하 고 배포 하는 방법에 관계 없이이 항목의 앞부분에 나오는 "보안 관리 호스트를 만들기 위한 원칙"에 제공 된 지침을 염두에 두어야 합니다.Regardless of how you design and deploy your administrative host infrastructure, you should keep in mind the guidelines provided in "Principles for Creating Secure Administrative Hosts" earlier in this topic. 여기에서 설명 하는 각 방법은 IT 직원이 사용 하는 "관리" 및 "생산성" 시스템을 분리 하는 방법에 대 한 일반적인 정보를 제공 합니다.Each of the approaches described here provides general information about how you can separate "administrative" and "productivity" systems used by your IT staff. 생산성 시스템은 IT 관리자가 전자 메일을 확인 하 고 인터넷을 탐색 하 고 Microsoft Office 같은 일반 생산성 소프트웨어를 사용 하는 데 사용 하는 컴퓨터입니다.Productivity systems are computers that IT administrators employ to check email, browse the Internet, and to use general productivity software such as Microsoft Office. 관리 시스템은 IT 환경의 일상적인 관리를 위해 강화 되 고 전용으로 사용 되는 컴퓨터입니다.Administrative systems are computers that are hardened and dedicated to use for day-to-day administration of an IT environment.

보안 관리 호스트를 구현 하는 가장 간단한 방법은 IT 직원에 게 관리 작업을 수행할 수 있는 안전한 워크스테이션을 제공 하는 것입니다.The simplest way to implement secure administrative hosts is to provide your IT staff with secured workstations from which they can perform administrative tasks. 워크스테이션 전용 구현에서는 각 관리 워크스테이션을 사용 하 여 서버 및 기타 인프라를 관리 하는 관리 도구 및 RDP 연결을 시작 합니다.In a workstation-only implementation, each administrative workstation is used to launch management tools and RDP connections to manage servers and other infrastructure. 워크스테이션 전용 구현은 소규모 조직에서 효과적일 수 있습니다. 그러나이 항목의 뒷부분에 나오는 "안전한 관리 워크스테이션 및 점프 서버 구현"의 설명에 따라 전용 관리 서버 및 워크스테이션을 사용 하는 관리 호스트에 대 한 분산 디자인을 사용 하면 보다 복잡 한 인프라를 사용할 수 있습니다.Workstation-only implementations can be effective in smaller organizations, although larger, more complex infrastructures may benefit from a distributed design for administrative hosts in which dedicated administrative servers and workstations are used, as described in "Implementing Secure Administrative Workstations and Jump Servers" later in this topic.

별도의 물리적 워크스테이션 구현Implementing Separate Physical Workstations

관리 호스트를 구현할 수 있는 한 가지 방법은 각 IT 사용자에 게 두 워크스테이션을 발급 하는 것입니다.One way that you can implement administrative hosts is to issue each IT user two workstations. 한 워크스테이션은 전자 메일을 확인 하 고 생산성 응용 프로그램을 사용 하는 것과 같은 작업을 수행 하는 "일반" 사용자 계정에 사용 되며, 두 번째 워크스테이션은 엄격 하 게 관리 기능을 전담 합니다.One workstation is used with a "regular" user account to perform activities such as checking email and using productivity applications, while the second workstation is dedicated strictly to administrative functions.

생산성 워크스테이션의 경우 권한 있는 계정을 사용 하 여 보안 되지 않은 컴퓨터에 로그온 하는 대신 IT 직원에 게 일반 사용자 계정을 지정할 수 있습니다.For the productivity workstation, the IT staff can be given regular user accounts rather than using privileged accounts to log on to unsecured computers. 관리 워크스테이션은 보안이 엄격 제어 된 구성으로 구성 해야 하며, IT 직원은 다른 계정을 사용 하 여 관리 워크스테이션에 로그온 해야 합니다.The administrative workstation should be configured with a stringently controlled configuration and the IT staff should use a different account to log on to the administrative workstation.

스마트 카드를 구현한 경우 스마트 카드 로그온을 요구 하도록 관리 워크스테이션을 구성 해야 하며, IT 직원에 게는 관리 사용을 위해 별도의 계정을 지정 해야 합니다. 또한 대화형 로그온을 위해 스마트 카드를 요구 하도록 구성 되어 있습니다.If you have implemented smart cards, administrative workstations should be configured to require smart card logons, and IT staff should be given separate accounts for administrative use, also configured to require smart cards for interactive logon. 이전에 설명한 대로 관리 호스트를 강화 하 고, 지정 된 IT 사용자만 관리 워크스테이션에 로컬로 로그온 할 수 있도록 해야 합니다.The administrative host should be hardened as previously described, and only designated IT users should be allowed to log on locally to the administrative workstation.

장점Pros

별도의 물리적 시스템을 구현 하 여 각 컴퓨터가 해당 역할에 맞게 적절히 구성 되 고 사용자가 실수로 관리 시스템을 위험에 노출 시킬 수 없도록 할 수 있습니다.By implementing separate physical systems, you can ensure that each computer is configured appropriately for its role and that IT users cannot inadvertently expose administrative systems to risk.

단점Cons

  • 별도의 물리적 컴퓨터를 구현 하면 하드웨어 비용이 증가 합니다.Implementing separate physical computers increases hardware costs.

  • 원격 시스템을 관리 하는 데 사용 되는 자격 증명을 사용 하 여 물리적 컴퓨터에 로그온 하면 메모리에 자격 증명이 캐시 됩니다.Logging on to a physical computer with credentials that are used to administer remote systems caches the credentials in memory.

  • 관리 워크스테이션이 안전 하 게 저장 되지 않는 경우에는 물리적 하드웨어 키로 거 또는 기타 물리적 공격과 같은 메커니즘을 통해 손상 될 가능성이 있습니다.If administrative workstations are not stored securely, they may be vulnerable to compromise via mechanisms such as physical hardware key loggers or other physical attacks.

가상화 된 생산성 워크스테이션을 사용 하 여 안전한 물리적 워크스테이션 구현Implementing a Secure Physical Workstation with a Virtualized Productivity Workstation

이 방법에서는 IT 사용자에 게 일상적인 관리 기능을 수행할 수 있는 보안 관리 워크스테이션이 제공 됩니다. 여기에는 원격 서버 관리 도구 (RSAT) 또는 해당 범위 내에서 서버에 대 한 RDP 연결을 사용 합니다.In this approach, IT users are given a secured administrative workstation from which they can perform day-to-day administrative functions, using Remote Server Administration Tools (RSAT) or RDP connections to servers within their scope of responsibility. IT 사용자는 생산성 작업을 수행 해야 할 때 RDP를 통해 가상 머신으로 실행 되는 원격 생산성 워크스테이션에 연결할 수 있습니다.When IT users need to perform productivity tasks, they can connect via RDP to a remote productivity workstation running as a virtual machine. 각 워크스테이션에 별도의 자격 증명을 사용 해야 하며 스마트 카드와 같은 컨트롤을 구현 해야 합니다.Separate credentials should be used for each workstation, and controls such as smart cards should be implemented.

장점Pros

  • 관리 워크스테이션 및 생산성 워크스테이션은 분리 되어 있습니다.Administrative workstations and productivity workstations are separated.

  • 보안 워크스테이션을 사용 하 여 생산성 워크스테이션에 연결 하는 IT 직원은 별도의 자격 증명과 스마트 카드를 사용할 수 있으며, 권한 있는 자격 증명은 보안 수준이 낮은 컴퓨터에 보관 되지 않습니다.IT staff using secure workstations to connect to productivity workstations can use separate credentials and smart cards, and privileged credentials are not deposited on the less-secure computer.

단점Cons

  • 솔루션을 구현 하려면 디자인 및 구현 작업과 강력한 가상화 옵션이 필요 합니다.Implementing the solution requires design and implementation work and robust virtualization options.

  • 물리적 워크스테이션이 안전 하 게 저장 되지 않는 경우 하드웨어 또는 운영 체제를 손상 시키고 통신 가로채기를 취약 하 게 만드는 물리적 공격에 취약할 수 있습니다.If the physical workstations are not stored securely, they may be vulnerable to physical attacks that compromise the hardware or the operating system and make them susceptible to communications interception.

별도의 "생산성" 및 "관리" Virtual Machines 연결을 사용 하 여 단일 보안 워크스테이션 구현Implementing a Single Secure Workstation with Connections to Separate "Productivity" and "Administrative" Virtual Machines

이 방법에서는 앞에서 설명한 것 처럼 잠긴 단일 물리적 워크스테이션 및 IT 사용자에 게 권한 있는 액세스 권한이 없는 사용자를 발급할 수 있습니다.In this approach, you can issue IT users a single physical workstation that is locked down as previously described, and on which IT users do not have privileged access. 전용 서버에서 호스트 되는 가상 컴퓨터에 대 한 원격 데스크톱 서비스 연결을 제공 하 여 IT 직원에 게 메일 및 기타 생산성 응용 프로그램을 실행 하는 하나의 가상 컴퓨터와 사용자의 전용 관리 호스트로 구성 된 두 번째 가상 컴퓨터를 제공할 수 있습니다.You can provide Remote Desktop Services connections to virtual machines hosted on dedicated servers, providing IT staff with one virtual machine that runs email and other productivity applications, and a second virtual machine that is configured as the user's dedicated administrative host.

물리적 컴퓨터에 로그온 하는 데 사용 되는 계정이 아닌 별도의 계정을 사용 하 여 스마트 카드 또는 가상 컴퓨터에 대 한 다른 다단계 로그온이 필요 합니다.You should require smart card or other multifactor logon for the virtual machines, using separate accounts other than the account that is used to log on to the physical computer. IT 사용자가 물리적 컴퓨터에 로그온 한 후에는 해당 사용자의 생산성 스마트 카드를 사용 하 여 원격 생산성 컴퓨터에 연결 하 고 별도의 계정 및 스마트 카드를 사용 하 여 원격 관리 컴퓨터에 연결할 수 있습니다.After an IT user logs on to a physical computer, they can use their productivity smart card to connect to their remote productivity computer and a separate account and smart card to connect to their remote administrative computer.

장점Pros

  • IT 사용자는 단일 물리적 워크스테이션을 사용할 수 있습니다.IT users can use a single physical workstation.

  • 가상 호스트에 대해 별도의 계정을 요구 하 고 가상 컴퓨터에 대 한 원격 데스크톱 서비스 연결을 사용 하 여 로컬 컴퓨터의 메모리에 해당 사용자의 자격 증명을 캐시 하지 않습니다.By requiring separate accounts for the virtual hosts and using Remote Desktop Services connections to the virtual machines, IT users' credentials are not cached in memory on the local computer.

  • 실제 호스트는 관리 호스트와 동일한 수준으로 보안을 설정 하 여 로컬 컴퓨터의 손상 가능성을 줄일 수 있습니다.The physical host can be secured to the same degree as administrative hosts, reducing the likelihood of compromise of the local computer.

  • IT 사용자의 생산성 가상 컴퓨터 또는 관리 가상 컴퓨터가 손상 되었을 수 있는 경우 가상 컴퓨터를 "알려진 양호" 상태로 쉽게 다시 설정할 수 있습니다.In cases in which an IT user's productivity virtual machine or their administrative virtual machine may have been compromised, the virtual machine can easily be reset to a "known good" state.

  • 물리적 컴퓨터가 손상 되 면 메모리에 권한 있는 자격 증명이 캐시 되지 않고 스마트 카드를 사용 하 여 키 입력으로 인 한 자격 증명의 손상을 방지할 수 있습니다.If the physical computer is compromised, no privileged credentials will be cached in memory, and the use of smart cards can prevent compromise of credentials by keystroke loggers.

단점Cons

  • 솔루션을 구현 하려면 디자인 및 구현 작업과 강력한 가상화 옵션이 필요 합니다.Implementing the solution requires design and implementation work and robust virtualization options.

  • 물리적 워크스테이션이 안전 하 게 저장 되지 않는 경우 하드웨어 또는 운영 체제를 손상 시키고 통신 가로채기를 취약 하 게 만드는 물리적 공격에 취약할 수 있습니다.If the physical workstations are not stored securely, they may be vulnerable to physical attacks that compromise the hardware or the operating system and make them susceptible to communications interception.

보안 관리 워크스테이션 및 점프 서버 구현Implementing Secure Administrative Workstations and Jump Servers

관리 워크스테이션의 보안을 강화 하거나 함께 사용 하는 대신 보안 점프 서버를 구현할 수 있으며 관리자가 RDP 및 스마트 카드를 사용 하 여 점프 서버에 연결 하 여 관리 작업을 수행할 수 있습니다.As an alternative to secure administrative workstations, or in combination with them, you can implement secure jump servers, and administrative users can connect to the jump servers using RDP and smart cards to perform administrative tasks.

점프 서버와 해당 서버에서 관리 되는 대상 서버에 대 한 연결에 대 한 제한을 구현할 수 있도록 하려면 원격 데스크톱 게이트웨이 역할을 실행 하도록 점프 서버를 구성 해야 합니다.Jump servers should be configured to run the Remote Desktop Gateway role to allow you to implement restrictions on connections to the jump server and to destination servers that will be managed from it. 또한 가능한 경우 Hyper-v 역할을 설치 하 고 관리자가 점프 서버에서 작업에 사용할 개인 가상 데스크톱 또는 다른 사용자별 가상 컴퓨터를 만들어야 합니다.If possible, you should also install the Hyper-V role and create Personal Virtual Desktops or other per-user virtual machines for administrative users to use for their tasks on the jump servers.

점프 서버에서 관리자 사용자 단위 가상 컴퓨터를 제공 하면 관리 워크스테이션에 대 한 물리적 보안을 제공 하 고 관리자가 사용 하지 않을 때 가상 컴퓨터를 다시 설정 하거나 종료할 수 있습니다.By giving the administrative users per-user virtual machines on the jump server, you provide physical security for the administrative workstations, and administrative users can reset or shut down their virtual machines when not in use. 동일한 관리 호스트에 Hyper-v 역할 및 원격 데스크톱 게이트웨이 역할을 설치 하지 않으려는 경우 별도의 컴퓨터에 설치할 수 있습니다.If you prefer not to install the Hyper-V role and the Remote Desktop Gateway role on the same administrative host, you can install them on separate computers.

가능 하면 원격 관리 도구를 사용 하 여 서버를 관리 해야 합니다.Wherever possible, remote administration tools should be used to manage servers. 원격 서버 관리 도구 (RSAT) 기능은 사용자의 가상 컴퓨터 (또는 관리에 대 한 사용자별 가상 컴퓨터를 구현 하지 않는 경우에는 점프 서버)에 설치 해야 하며, 관리 직원은 RDP를 통해 가상 컴퓨터에 연결 하 여 관리 작업을 수행 해야 합니다.The Remote Server Administration Tools (RSAT) feature should be installed on the users' virtual machines (or the jump server if you are not implementing per-user virtual machines for administration), and administrative staff should connect via RDP to their virtual machines to perform administrative tasks.

관리자가 RDP를 통해 대상 서버에 연결 하 여 직접 관리 해야 하는 경우에는 적절 한 사용자 및 컴퓨터가 대상 서버에 대 한 연결을 설정 하는 데 사용 되는 경우에만 연결을 허용 하도록 RD 게이트웨이 구성 해야 합니다.In cases when an administrative user must connect via RDP to a destination server to manage it directly, RD Gateway should be configured to allow the connection to be made only if the appropriate user and computer are used to establish the connection to the destination server. 일반적으로 사용 되는 워크스테이션 및 서버를 사용 하지 않는 구성원 서버와 같이 지정 된 관리 시스템이 아닌 시스템에서는 RSAT (또는 이와 유사한) 도구를 실행 하는 것이 금지 되어야 합니다.Execution of RSAT (or similar) tools should be prohibited on systems that are not designated management systems, such as general-use workstations and member servers that are not jump servers.

장점Pros

  • 점프 서버를 만들면 네트워크에서 특정 서버를 "영역" (비슷한 구성, 연결 및 보안 요구 사항을 가진 시스템 컬렉션)에 매핑하고, 보안 관리 호스트에서 지정 된 "영역" 서버에 연결 하는 관리 담당자가 각 영역의 관리를 달성할 수 있도록 요구할 수 있습니다.Creating jump servers allows you to map specific servers to "zones" (collections of systems with similar configuration, connection, and security requirements) in your network and to require that the administration of each zone is achieved by administrative staff connecting from secure administrative hosts to a designated "zone" server.

  • 점프 서버를 영역에 매핑하면 연결 속성 및 구성 요구 사항에 대 한 세부적인 컨트롤을 구현 하 고 권한이 없는 시스템에서 연결 시도를 쉽게 식별할 수 있습니다.By mapping jump servers to zones, you can implement granular controls for connection properties and configuration requirements, and can easily identify attempts to connect from unauthorized systems.

  • 점프 서버에서 관리자 별 가상 컴퓨터를 구현 하 여 관리 작업이 완료 되 면 종료 및 가상 컴퓨터를 알려진 정리 상태로 다시 설정 합니다.By implementing per-administrator virtual machines on jump servers, you enforce shutdown and resetting of the virtual machines to a known clean state when administrative tasks are completed. 관리 작업이 완료 될 때 가상 컴퓨터의 종료 (또는 다시 시작)를 적용 하면 공격자가 가상 컴퓨터를 대상으로 지정할 수 없으며 메모리 캐시 자격 증명은 다시 부팅 후에도 유지 되지 않으므로 자격 증명 도난 공격을 받을 수 없습니다.By enforcing shutdown (or restart) of the virtual machines when administrative tasks are completed, the virtual machines cannot be targeted by attackers, nor are credential theft attacks feasible because memory-cached credentials do not persist beyond a reboot.

단점Cons

  • 전용 서버는 물리적 또는 가상의 점프 서버에 필요 합니다.Dedicated servers are required for jump servers, whether physical or virtual.

  • 지정 된 점프 서버와 관리 워크스테이션을 구현 하려면 환경에 구성 된 모든 보안 영역에 매핑되는 신중한 계획 및 구성이 필요 합니다.Implementing designated jump servers and administrative workstations requires careful planning and configuration that maps to any security zones configured in the environment.