로컬 계정

적용 대상

  • Windows 10
  • WindowsServer 2019
  • WindowsServer 2016

IT 전문가를 위한 이 참조 항목에서는 구성원 또는 독립 실행형 서버에서 이러한 기본 제공 계정을 관리하는 방법을 포함하여 서버의 기본 로컬 사용자 계정에 대해 설명합니다.

로컬 사용자 계정

로컬 사용자 계정은 서버에 로컬로 저장됩니다. 이러한 계정에는 특정 서버에 대한 권한 및 사용 권한을 할당할 수 있지만 해당 서버에서만 할당할 수 있습니다. 로컬 사용자 계정은 서비스 또는 사용자에 대한 독립 실행형 또는 구성원 서버의 리소스 액세스를 보호하고 관리하는 데 사용되는 보안 주체입니다.

이 항목에서는 다음을 설명합니다.

보안 주체에 대한 자세한 내용은 보안 주체 를 참조하세요.

기본 로컬 사용자 계정

기본 로컬 사용자 계정은 기본 제공 계정으로, 계정을 설치할 때 자동으로 Windows.

설치 Windows 로컬 사용자 계정은 제거하거나 삭제할 수 없습니다. 또한 기본 로컬 사용자 계정은 네트워크 리소스에 대한 액세스를 제공하지 않습니다.

기본 로컬 사용자 계정은 계정에 할당된 권한 및 사용 권한에 따라 로컬 서버의 리소스에 대한 액세스를 관리하는 데 사용됩니다. 기본 로컬 사용자 계정과 만든 로컬 사용자 계정은 Users 폴더에 있습니다. Users 폴더는 로컬 컴퓨터 관리 MMC(Microsoft Management Console)의 로컬 사용자 및 그룹 폴더에 있습니다. 컴퓨터 관리는 단일 로컬 또는 원격 컴퓨터를 관리하는 데 사용할 수 있는 관리 도구 모음입니다. 자세한 내용은 이 항목의 뒤부분에 있는 로컬 계정을 관리하는 방법을 참조하세요.

기본 로컬 사용자 계정은 다음 섹션에 설명되어 있습니다.

관리자 계정

기본 로컬 관리자 계정은 시스템 관리자의 사용자 계정입니다. 모든 컴퓨터에는 관리자 계정(SID S-1-5-도메인-500, 표시 이름 관리자)이 있습니다. 관리자 계정은 설치 중에 만들어진 Windows 계정입니다.

관리자 계정에는 로컬 컴퓨터의 파일, 폴더, 서비스 및 기타 리소스에 대한 모든 권한이 있습니다. 관리자 계정은 다른 로컬 사용자를 만들고, 사용자 권한을 할당하고, 권한을 할당할 수 있습니다. 관리자 계정은 사용자 권한 및 사용 권한을 변경하기만 하여 로컬 리소스를 제어할 수 있습니다.

기본 관리자 계정은 삭제하거나 잠글 수 없지만 이름을 변경하거나 사용하지 않도록 설정할 수 있습니다.

이 Windows 10 Windows Server 2016 Windows 기본 제공 관리자 계정을 사용하지 않도록 설정하고 Administrators 그룹의 구성원인 다른 로컬 계정을 만듭니다. Administrators 그룹의 구성원은 관리자 권한으로 실행 옵션을 사용하지 않고 관리자 권한으로 앱을 실행할 수 있습니다. 빠른 사용자 전환은 Runas 또는 다른 사용자 권한 상승을 사용하는 것보다 더 안전합니다.

계정 그룹 구성원

기본적으로 관리자 계정은 서버에서 Administrators 그룹의 구성원으로 설치됩니다. 로컬 서버의 Administrators 그룹 구성원이 해당 컴퓨터에 대한 모든 권한을 가지기 때문에 Administrators 그룹의 사용자 수를 제한하는 것이 가장 좋습니다.

Administrators 그룹에서는 관리자 계정을 삭제하거나 제거할 수 없지만 이름을 변경할 수는 있습니다.

보안 고려 사항

관리자 계정은 여러 버전의 Windows 운영 체제에 있는 것으로 알려져 있기 때문에 악의적인 사용자가 서버 또는 클라이언트 컴퓨터에 액세스하기 어렵게 만들 수 있는 경우 관리자 계정을 사용하지 않도록 설정하는 것이 가장 좋습니다.

관리자 계정의 이름을 변경하면 됩니다. 그러나 이름을 변경한 관리자 계정은 악의적인 사용자가 검색할 수 있는 동일한 자동으로 할당된 SID(보안 식별자)를 계속 사용하게 됩니다. 사용자 계정의 이름을 변경하거나 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Disable or activate a local user accountRename a local user account을 참조하십시오.

보안 모범 사례로 로컬(관리자가 아닌) 계정을 사용하여 로그인한 다음 관리자 권한으로 실행을 사용하여 표준 사용자 계정보다 높은 수준의 권한이 필요한 작업을 수행합니다. 완전히 필요한 경우를 위해 관리자 계정을 사용하여 컴퓨터에 로그인하지 않습니다. 자세한 내용은 관리 자격 증명을 사용하여 프로그램 실행을 참조하세요.

반면, Windows 운영 체제에서 관리자 권한이 있는 로컬 사용자 계정이 있는 사용자는 클라이언트 컴퓨터의 시스템 관리자로 간주됩니다. 설치하는 동안 만들어진 첫 번째 로컬 사용자 계정은 로컬 Administrators 그룹에 배치됩니다. 그러나 여러 사용자가 로컬 관리자로 실행될 경우 IT 직원은 이러한 사용자 또는 해당 클라이언트 컴퓨터를 제어할 수 없습니다.

이 경우 그룹 정책을 사용하여 모든 서버 또는 클라이언트 컴퓨터에서 로컬 Administrators 그룹 사용을 자동으로 제어할 수 있는 보안 설정을 사용하도록 설정할 수 있습니다. 그룹 정책에 대한 자세한 내용은 그룹 정책 개요 를 참조하세요.

참고
이 항목의 시작부에 있는 적용 항목 **** 목록에 지정된 버전에서는 빈 암호가 허용되지 않습니다.

중요
관리자 계정을 사용하지 않도록 설정한 경우에도 안전 모드를 사용하여 컴퓨터에 액세스할 수 있습니다. 복구 콘솔 또는 안전 모드에서는 관리자 계정이 자동으로 사용하도록 설정됩니다. 정상 작업을 다시 시작하면 사용하지 않도록 설정됩니다.

게스트 계정

게스트 계정은 설치 시 기본적으로 사용하지 않도록 설정됩니다. 게스트 계정을 사용하면 컴퓨터에 계정이 없는 사용자가 제한된 사용자 권한으로 로컬 서버 또는 클라이언트 컴퓨터에 일시적으로 로그인할 수 있습니다. 기본적으로 게스트 계정에는 빈 암호가 있습니다. 게스트 계정은 익명 액세스를 제공할 수 있기 때문에 보안상 위험합니다. 따라서 게스트 계정을 사용하지 않도록 설정하는 것이 좋습니다(완전히 필요한 경우).

계정 그룹 구성원

기본적으로 게스트 계정은 사용자가 서버에 로그인할 수 있도록 하는 기본 게스트 그룹(SID S-1-5-32-546)의 유일한 구성원입니다. 경우에 따라 Administrators 그룹의 구성원인 관리자는 하나 이상의 컴퓨터에서 게스트 계정으로 사용자를 설정할 수 있습니다.

보안 고려 사항

게스트 계정을 사용하도록 설정하는 경우 제한된 권한 및 사용 권한만 부여합니다. 보안상의 이유로 게스트 계정은 네트워크를 통해 사용되지 말고 다른 컴퓨터에서 액세스할 수 있도록 설정하면 안 됩니다.

또한 게스트 계정의 게스트 사용자는 이벤트 로그를 볼 수 없습니다. 게스트 계정을 사용하도록 설정한 후 게스트 계정을 자주 모니터링하여 다른 사용자가 이전 사용자가 의도하지 않은 서비스 및 기타 리소스(예: 이전 사용자가 사용할 수 없는 리소스)를 사용할 수 없는지 모니터링하는 것이 가장 좋은 예입니다.

HelpAssistant 계정(원격 지원 세션과 함께 설치)

HelpAssistant 계정은 원격 지원 세션을 실행할 때 사용하도록 설정된 기본 로컬 계정입니다. 원격 지원 요청이 보류 중인 경우 이 계정은 자동으로 사용하지 않도록 설정됩니다.

HelpAssistant는 원격 지원 세션을 설정하는 데 사용되는 기본 계정입니다. 원격 지원 세션은 Windows 운영 체제를 실행하는 다른 컴퓨터에 연결하는 데 사용되어 초대를 통해 시작됩니다. 요청된 원격 지원을 위해 사용자는 전자 메일 또는 파일로 컴퓨터로부터 지원을 제공할 수 있는 사용자에게 초대를 전송합니다. 원격 지원 세션에 대한 사용자의 초대가 수락되면 기본 HelpAssistant 계정이 자동으로 만들어지며, 이 계정은 컴퓨터에 대한 제한된 액세스를 제공하는 사용자에게 부여됩니다. HelpAssistant 계정은 원격 데스크톱 도움말 세션 관리자 서비스에서 관리합니다.

보안 고려 사항

기본 HelpAssistant 계정에 포함된 SID는 다음과 같습니다.

  • SID: S-1-5- < domain > -13, display name Terminal Server User. 이 그룹에는 원격 데스크톱 서비스를 사용하도록 설정된 서버에 로그인하는 모든 사용자가 포함됩니다. Windows Server 2008에서는 원격 데스크톱 서비스를 터미널 서비스라고 합니다.

  • SID: S-1-5- < domain > -14, display name Remote Interactive Logon. 이 그룹에는 원격 데스크톱 연결을 사용하여 컴퓨터에 연결하는 모든 사용자가 포함됩니다. 이 그룹은 대화형 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함되어 있습니다.

Windows Server 운영 체제의 경우 원격 지원은 기본적으로 설치되지 않은 선택적 구성 요소입니다. 원격 지원을 설치해야 사용할 수 있습니다.

HelpAssistant 계정 특성에 대한 자세한 내용은 다음 표를 참조하세요.

HelpAssistant 계정 특성

특성

Well-Known SID/RID

S-1-5- < 도메인 > -13(터미널 서버 사용자), S-1-5- < 도메인 > -14(원격 대화형 로그온)

유형

사용자

기본 컨테이너

CN=Users, DC= < domain > , DC=

기본 구성원

없음

기본 구성원

도메인 게스트

게스트

ADMINSDHOLDER에 의해 보호되는가요?

아니오

금고 컨테이너에서 이동할 수 있나요?

이동할 수 있지만 권장되지는 않습니다.

금고 관리자에게 이 그룹의 관리를 위임할 수 있나요?

아니오

DefaultAccount

DSMA(기본 시스템 관리 계정)라고도 하는 DefaultAccount는 Windows 10 버전 1607 및 Windows Server 2016. DSMA는 잘 알려진 사용자 계정 유형입니다. 이 계정은 다중 사용자 인식 또는 사용자에 무관한 프로세스를 실행하기 위해 사용할 수 있는 사용자 중립 계정입니다. DSMA는 데스크톱 SKUS(전체 Windows SKUS)와 데스크톱이 있는 WS 2016에서 기본적으로 사용하지 않도록 설정됩니다.

DSMA에는 잘 알려진 RID 503이 있습니다. 따라서 DSMA의 SID(보안 식별자)에는 S-1-5-21- -503 형식으로 잘 알려진 SID가 있습니다. <ComputerIdentifier>

DSMA는 잘 알려진 SID가 S-1-5-32-581인잘 알려진 그룹 System Managed Accounts 그룹의 구성원입니다.

DSMA 별칭은 계정 자체가 만들어지기 전에 오프라인 준비 중에 리소스에 대한 액세스 권한을 부여할 수 있습니다. 계정 및 그룹은 SAM(보안 계정 관리자) 내에서 첫 번째 컴퓨터 부팅 중에 만들어집니다.

DefaultAccount를 Windows 방법

사용 권한 관점에서 DefaultAccount는 표준 사용자 계정입니다. DefaultAccount는 다중 사용자 매니페스트 앱(MUMA 앱)을 실행하기 위해 필요합니다. MUMA 앱은 모든 시간을 실행하고 사용자가 로그인하고 디바이스에서 로그인하는 데 반응합니다. 앱이 Windows 컨텍스트에서 실행되고 사용자가 로그인할 때 종료되는 데스크톱과 달리 MUMA 앱은 DSMA를 사용하여 실행됩니다.

MUMA 앱은 Xbox와 같은 공유 세션 SKUS에서 작동합니다. 예를 들어 Xbox 셸은 MUMA 앱입니다. 현재 Xbox는 자동으로 게스트 계정으로 로그인하고 모든 앱이 이 컨텍스트에서 실행됩니다. 모든 앱은 다중 사용자를 인식하고 사용자 관리자가 발생한 이벤트에 응답합니다. 앱은 게스트 계정으로 실행됩니다.

마찬가지로 전화 추가 권한으로 자동 로그인하는 "DefApps" 계정도 Windows 사용자 계정과 비슷합니다. 브로커, 일부 서비스 및 앱은 이 계정으로 실행됩니다.

수렴형 사용자 모델에서는 다중 사용자 인식 앱 및 다중 사용자 인식 브로커가 사용자의 컨텍스트와 다른 컨텍스트에서 실행해야 합니다. 이 목적을 위해 시스템은 DSMA를 만듭니다.

도메인 컨트롤러에서 DefaultAccount를 생성하는 방법

도메인을 실행한 도메인 컨트롤러를 Windows Server 2016 도메인의 모든 도메인 컨트롤러에 DefaultAccount가 존재합니다. 이전 버전의 Windows Server를 실행한 도메인 컨트롤러를 사용하여 도메인을 만든 경우 PDC Emulator 역할을 실행되는 도메인 컨트롤러로 전송한 후에 DefaultAccount가 Windows Server 2016. 그러면 DefaultAccount가 도메인의 다른 모든 도메인 컨트롤러로 복제됩니다.

권장 사항(DSMA) 관리에 대한 규칙

계정이 사용하지 않도록 설정되어 있는 기본 구성은 변경하지 않는 것이 좋습니다. 계정이 사용되지 않도록 설정되어 있는 경우 보안 위험이 없습니다. 기본 구성을 변경하면 이 계정을 사용하게 될 향후 시나리오가 방해될 수 있습니다.

기본 로컬 시스템 계정

시스템

시스템 계정은 운영 체제 및 운영 체제에서 실행되는 서비스에서 Windows. Windows 설치하는 동안처럼 내부적으로 로그인하는 기능이 필요한 여러 서비스 및 프로세스가 Windows 있습니다. 시스템 계정은 해당 목적을 위해 설계되어 Windows 시스템 계정의 사용자 권한을 관리합니다. 이 계정은 사용자 관리자에 표시하지 않는 내부 계정으로, 그룹에 추가할 수 없습니다.

반면 시스템 계정은 보안 메뉴의 사용 권한 부분에 있는 파일 관리자의 **** NTFS 파일 시스템 볼륨에 표시됩니다. 기본적으로 SYSTEM 계정에는 NTFS 볼륨의 모든 파일에 대한 모든 권한이 부여됩니다. 여기서 시스템 계정에는 관리자 계정과 동일한 기능 권한 및 사용 권한이 있습니다.

참고
Administrators 그룹 파일 권한을 계정에 부여하기 위해 시스템 계정에 암시적으로 권한을 부여하지는 않습니다. 시스템 계정의 사용 권한을 파일에서 제거할 수 있지만 제거하지 않는 것이 좋습니다.

네트워크 서비스

NETWORK SERVICE 계정은 SCM(서비스 제어 관리자)에서 사용하는 미리 정의한 로컬 계정입니다. NETWORK SERVICE 계정의 컨텍스트에서 실행되는 서비스는 컴퓨터의 자격 증명을 원격 서버에 제공합니다. 자세한 내용은 NetworkService 계정 을 참조하세요.

로컬 서비스

LOCAL SERVICE 계정은 서비스 제어 관리자가 사용하는 미리 정의한 로컬 계정입니다. 로컬 컴퓨터에 대한 최소 권한이 있으며 네트워크에 익명 자격 증명을 제공합니다. 자세한 내용은 LocalService 계정 을 참조하세요.

로컬 사용자 계정을 관리하는 방법

기본 로컬 사용자 계정과 만든 로컬 사용자 계정은 Users 폴더에 있습니다. Users 폴더는 로컬 사용자 및 그룹에 있습니다. 로컬 사용자 계정을 만들고 관리하는 데 대한 자세한 내용은 Manage Local Users를 참조하십시오.

로컬 사용자 및 그룹을 사용하여 로컬 서버와 해당 서버에 대한 권한 및 사용 권한을 할당하여 로컬 사용자 및 그룹이 특정 작업을 수행할 수 있는 기능을 제한할 수 있습니다. 사용자에게 파일 및 폴더 백업 또는 서버 종료와 같은 특정 작업을 수행할 수 있는 권한을 사용자에게 승인합니다. 액세스 권한은 일반적으로 파일, 폴더 또는 프린터와 연결된 개체에 연결된 규칙입니다. 서버의 개체에 대한 액세스 권한을 부여할 수 있는 사용자를 제어하고 어떤 방식으로 액세스할 수 있도록 하는지 제어합니다.

도메인 컨트롤러에서는 로컬 사용자 및 그룹을 사용할 수 없습니다. 그러나 도메인 컨트롤러에서 로컬 사용자 및 그룹을 사용하여 네트워크의 도메인 컨트롤러가 아닌 원격 컴퓨터를 대상으로 할 수 있습니다.

참고
Active Directory 사용자 및 컴퓨터를 사용하여 Active Directory에서 사용자 및 그룹을 관리할 수 있습니다.

또한 USER를 사용하여 로컬 사용자를 관리하고 NET.EXE LOCALGROUP을 NET.EXE 다양한 PowerShell cmdlet 및 기타 스크립팅 기술을 사용하여 로컬 그룹을 관리할 수도 있습니다.

관리 권한으로 로컬 계정 제한 및 보호

관리자는 한 컴퓨터의 로컬 계정에서 관리 권한이 있는 다른 컴퓨터에서 인증하는 데 악의적인 사용자가 훔친 암호 또는 암호 해시와 같은 훔친 자격 증명을 사용하지 못하게 방지할 수 있습니다. 이를 "측면 이동"이라고도 합니다.

가장 간단한 방법은 인터넷 검색, 전자 메일 보내기 또는 워드 프로세서 사용과 같은 작업에 관리자 계정을 사용하는 대신 표준 사용자 계정으로 컴퓨터에 로그인하는 것입니다. 예를 들어 새 프로그램을 설치하거나 다른 사용자에게 영향을 주는 설정을 변경하는 등 관리 작업을 수행하려는 경우 관리자 계정으로 전환할 필요가 없습니다. 다음 섹션에 설명된 바와 같이 UAC(사용자 계정 컨트롤)를 사용하여 작업을 수행하기 전에 사용 권한 또는 관리자 암호를 묻는 메시지를 표시하도록 할 수 있습니다.

관리 권한으로 사용자 계정을 제한하고 보호하는 데 사용할 수 있는 다른 방법은 다음과 같습니다.

  • 원격 액세스에 대한 로컬 계정 제한을 적용합니다.

  • 모든 로컬 관리자 계정에 대한 네트워크 로그온을 거부합니다.

  • 관리 권한을 사용하여 로컬 계정에 대해 고유한 암호를 만들 수 있습니다.

이러한 각 방법은 다음 섹션에 설명되어 있습니다.

참고
모든 관리 로컬 계정을 사용하지 않도록 설정한 경우 이러한 방식이 적용되지 않습니다.

원격 액세스에 대한 로컬 계정 제한 적용

UAC(사용자 계정 컨트롤 Windows)는 Windows Server 2008 및 Windows Vista에서 사용 중이던 응용 프로그램의 보안 기능으로, 적용 **** 항목 목록이 참조하는 운영 체제입니다. UAC를 사용하면 프로그램에서 관리자 수준 권한이 필요한 변경을 할 때 알려 컴퓨터를 계속 제어할 수 있습니다. UAC는 사용자 계정의 권한 수준을 조정하여 작동합니다. 기본적으로 UAC는 응용 프로그램이 컴퓨터를 변경하려고 할 때 사용자에게 알리도록 설정되지만 UAC가 사용자에게 알리는 자주 변경할 수 있습니다.

UAC를 사용하면 권한 상승이라고도 하는 모든 권한이 요청 및 승인될 때까지 관리 권한이 있는 계정을 표준 사용자 비관리 계정으로 취급할 수 있습니다. 예를 들어 관리자가 비관리자 사용자 세션 중에 자격 증명을 입력하여 사용자를 전환하거나 로그아웃하거나 실행 명령을 사용하지 않고도 가끔씩 관리 작업을 수행할 있습니다.

또한 UAC를 사용하려면 관리자의 사용자 세션에서도 해당 응용 프로그램을 실행할 수 있는 권한이 부여되기 전에 관리자가 시스템 전체를 변경하는 응용 프로그램을 특별히 승인하도록 요구할 수 있습니다.

예를 들어 로컬 계정이 네트워크 로그온을 사용하여 원격 컴퓨터에서 로그인할 때(예: USE를 사용하여) UAC의 기본 NET.EXE 표시됩니다. 이 경우 권한 상승을 요청하거나 받을 수 있는 권한은 없지만 관리 권한은 없는 표준 사용자 토큰이 발급됩니다. 따라서 네트워크 로그온을 사용하여 로그인하는 로컬 계정은 C$, ADMIN$등의 관리 공유에 액세스하거나 원격 관리 작업을 수행할 수 없습니다.

UAC에 대한 자세한 내용은 사용자 계정 컨트롤 을 참조하세요.

다음 표에는 원격 액세스에 대한 로컬 계정 제한을 적용하는 데 사용되는 그룹 정책 및 레지스트리 설정이 표시됩니다.

아니요.

설정

자세한 설명

정책 위치

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션

1

정책 이름

사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행

정책 설정

Enabled

2

정책 위치

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션

정책 이름

사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행

정책 설정

Enabled

3

레지스트리 키

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

레지스트리 값 이름

LocalAccountTokenFilterPolicy

레지스트리 값 유형

DWORD

레지스트리 값 데이터

0

참고

또한 보안 템플릿의 사용자 지정 ADMX를 사용하여 LocalAccountTokenFilterPolicy에 대한 기본값을 적용할 수도 있습니다.

원격 액세스에 대해 로컬 계정 제한을 적용하려면

  1. GPMC(그룹 정책 관리 콘솔)를 시작하십시오.

  2. 콘솔 트리에서 < 포리스트\도메인\ 도메인을 확장한 다음 그룹 정책 개체를 확장합니다. 여기서 forest는 포리스트의 이름이고 > < ** > domain은 **** GPO(그룹 ** 정책 개체)를 설정할 도메인의 이름입니다.

  3. 콘솔 트리에서 그룹 정책 개체 및 새로 추가를마우스 오른쪽 단추로 > 클릭합니다.

    로컬 계정 1.

  4. GPO 대화 상자에 < gpo_name를 입력하고 확인을 입력합니다. 여기서 > > **** gpo_name 새 GPO의 이름이 됩니다. GPO 이름은 GPO가 로컬 관리자 권한을 다른 컴퓨터로 넘기지 못하도록 제한하는 데 사용됩니다.

    로컬 계정 2.

  5. 세부 정보 창에서 < gpo_name를 마우스 오른쪽 단추로 > > 클릭합니다.

    로컬 계정 3.

  6. 다음을 수행하여 UAC를 사용하도록 설정하고 UAC 제한이 기본 관리자 계정에 적용되는지 확인합니다.

    1. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\및 보안 > 옵션으로 이동합니다.

    2. 사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행 사용 > 확인 을 두 번 > 클릭합니다.

    3. 사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드 사용 확인을 > 두 번 > 클릭합니다.

  7. 다음을 수행하여 로컬 계정 제한이 네트워크 인터페이스에 적용되는지 확인합니다.

    1. 컴퓨터 구성\기본 설정 및 Windows 설정 및 > 레지스트리로 이동합니다.

    2. 레지스트리 및 레지스트리 항목을 마우스 오른쪽 > **** > 단추로 클릭합니다.

      로컬 계정 4.

    3. 레지스트리 속성 대화 상자의 일반 탭에서 작업 상자의 설정을 바꾸기로 변경합니다. ****

    4. Hive 상자가 HKEY_LOCAL_MACHINE.

    5. (...)를 클릭하고**** **** > **** 소프트웨어\Microsoft\Windows\CurrentVersion\Policies\System의키 경로 선택 위치로 이동하십시오.

    6. 이름 영역에 LocalAccountTokenFilterPolicy를 입력합니다.

    7. 유형 상자의 드롭다운 목록에서 REG_DWORD 값을 변경합니다.

    8. 데이터 상자에서 값이 0으로설정되어 있도록 합니다.

    9. 이 구성을 확인하고 확인 > 을 클릭합니다.

      로컬 계정 5.

  8. 다음을 수행하여 GPO를 첫 번째 Workstations OU(조직 구성 단위)에 연결합니다.

    1. < 포리스트 > \도메인\ < 도메인 > \OU 경로로 이동합니다.

    2. Workstations OU를 마우스 오른쪽 단추로 클릭하고 > 기존 GPO를 연결합니다.

      로컬 계정 6.

    3. 방금 만든 GPO를 선택하고 확인 > 을 선택합니다.

  9. 첫 번째 OU의 작업소에서 엔터프라이즈 응용 프로그램의 기능을 테스트하고 새 정책으로 인해 발생할 수 있는 문제를 해결합니다.

  10. 다른 모든 OUS에 대한 링크를 만들 수 있습니다.

  11. 서버를 포함하는 다른 모든 US에 대한 링크를 만들 수 있습니다.

모든 로컬 관리자 계정에 대한 네트워크 로그온 거부

로컬 계정을 거부하면 네트워크 로그온을 수행하는 기능을 거부하면 로컬 계정 암호 해시가 악의적인 공격에서 다시 사용되지 않도록 방지할 수 있습니다. 이 절차는 손상된 운영 체제에서 도난당한 로컬 계정의 자격 증명을 사용하여 동일한 자격 증명을 사용하는 추가 컴퓨터를 손상시킬 수 있도록 하여 측면 이동을 방지하는 데 도움이 됩니다.

참고
이 절차를 수행하려면 먼저 기본 사용자 이름 "Administrator"가 아닌 로컬 기본 관리자 계정의 이름과 로컬 Administrators 그룹의 구성원인 다른 계정을 식별해야 합니다.

다음 표에는 모든 로컬 관리자 계정의 네트워크 로그온을 거부하는 데 사용되는 그룹 정책 설정이 표시됩니다.

아니요.

설정

자세한 설명

정책 위치

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당

1

정책 이름

네트워크에서 이 컴퓨터 액세스 거부

정책 설정

로컬 계정 및 Administrators 그룹의 구성원

2

정책 위치

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당

정책 이름

원격 데스크톱 서비스를 통한 로그온 거부

정책 설정

로컬 계정 및 Administrators 그룹의 구성원

모든 로컬 관리자 계정에 대한 네트워크 로그온을 거부하려면

  1. GPMC(그룹 정책 관리 콘솔)를 시작하십시오.

  2. 콘솔 트리에서 < 포리스트\도메인\ 도메인을 확장한 다음 그룹 정책 개체 를 확장합니다. 여기서 forest는 포리스트의 이름이고 > < ** > domain은 **** GPO(그룹 ** 정책 개체)를 설정하려는 도메인의 이름입니다.

  3. 콘솔 트리에서 그룹 정책 개체 및 새로 추가를마우스 오른쪽 단추로 > 클릭합니다.

  4. GPO 대화 상자에 < gpo_name를 입력하고 확인을 클릭합니다. 여기서 > > **** gpo_name 는 로컬 관리 계정이 컴퓨터에 대화형으로 로그인하지 못하도록 제한하는 데 사용되는 새 GPO의 이름입니다.

    로컬 계정 7.

  5. 세부 정보 창에서 < gpo_name를 마우스 오른쪽 단추로 > > 클릭합니다.

    로컬 계정 8.

  6. 다음과 같이 관리 로컬 계정에 대한 네트워크 로그온을 거부하도록 사용자 권한을 구성합니다.

    1. 컴퓨터 구성\Windows 설정\Security 설정\및 사용자 권한 > 할당으로 이동합니다.

    2. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 두 번 클릭합니다.

    3. 사용자 또는 그룹 추가를 클릭하고로컬 계정 및 Administrators 그룹의 구성원 을 입력하고확인 > 을 입력합니다.

  7. 다음과 같이 관리 로컬 계정에 대한 원격 데스크톱(원격 대화형) 로그온을 거부하도록 사용자 권한을 구성합니다.

    1. 컴퓨터 구성\정책\Windows 설정 및 로컬 정책으로 이동한 다음 사용자 권한 할당 을 클릭합니다.

    2. 원격 데스크톱 서비스를 통한 로그온 거부를 두 번 클릭합니다.

    3. 사용자 또는 그룹 추가를 클릭하고로컬 계정 및 Administrators 그룹의 구성원 을 입력하고확인 > 을 입력합니다.

  8. 다음과 같이 GPO를 첫 번째 Workstations OU에 연결합니다.

    1. < 포리스트 > \도메인\ < 도메인 > \OU 경로로 이동합니다.

    2. Workstations OU를 마우스 오른쪽 단추로 클릭하고 > 기존 GPO를 연결합니다.

    3. 방금 만든 GPO를 선택하고 확인 > 을 선택합니다.

  9. 첫 번째 OU의 작업소에서 엔터프라이즈 응용 프로그램의 기능을 테스트하고 새 정책으로 인해 발생할 수 있는 문제를 해결합니다.

  10. 다른 모든 OUS에 대한 링크를 만들 수 있습니다.

  11. 서버를 포함하는 다른 모든 US에 대한 링크를 만들 수 있습니다.

    참고
    기본 관리자 계정의 사용자 이름이 다른 경우 별도의 GPO를 만들어야 할 수 있습니다.

관리 권한을 사용하여 로컬 계정에 대한 고유한 암호 만들기

암호는 개별 계정당 고유해야 합니다. 개별 사용자 계정의 경우 일반적으로 이 동작이 일반적이지만 대부분의 엔터프라이즈는 기본 관리자 계정과 같은 일반 로컬 계정에 대해 동일한 암호를 습니다. 이는 운영 체제 배포 중에 로컬 계정에 동일한 암호를 사용하는 경우도 발생합니다.

동일하게 유지하기 위해 변경되지 않은 암호 또는 변경된 암호를 동일하게 유지하면 조직에 심각한 위험이 있습니다. 암호를 임의로 설정하면 로컬 계정에 대해 다른 암호를 사용하여 "통과 해시" 공격을 완화하여 악의적인 사용자가 해당 계정의 암호 해시를 사용하여 다른 컴퓨터를 손상시킬 수 없습니다.

암호는 다음을 통해 임의로 정할 수 있습니다.

  • 이 작업을 수행하기 위한 엔터프라이즈 도구 구매 및 구현 이러한 도구를 일반적으로 "권한 있는 암호 관리" 도구라고 합니다.

  • 이 작업을 수행하기 위해 로컬 관리자 암호 솔루션(LAPS)을 구성합니다.

  • 로컬 계정 암호를 임의로 지정하는 사용자 지정 스크립트 또는 솔루션을 만들고 구현합니다.

참고 항목

다음 리소스에서는 로컬 계정과 관련된 기술에 대한 추가 정보를 제공합니다.