MSRC ppDocument 템플릿

Microsoft 보안 공지 3062591

이제 LAPS(Local Administrator Password Solution)가 사용 가능합니다.

게시된 날짜: 2015년 5월 1일

버전: 1.0

요약

Microsoft는 도메인의 모든 컴퓨터에서 동일한 암호를 가진 공동 로컬 계정 사용 문제에 대한 솔루션이 제공되는 LAPS(Local Administrator Password Solution)를 제공하고 있습니다. LAPS는 도메인의 모든 컴퓨터에서 공동 로컬 관리자 계정에 대한 임의의 다른 암호를 설정하여 이 문제를 해결합니다. 이 솔루션을 사용하는 도메인 관리자는 기술 지원팀 관리자 등 암호를 읽을 권한이 있는 사용자를 결정할 수 있습니다.

공격자가 손상된 동일한 로컬 계정 자격 증명을 사용하여 로컬 사용자/관리자에서 도메인/엔터프라이즈 관리자로 권한을 상승하는 경우 이러한 자격 증명으로 인해 권한 상승이 허용될 수 있습니다. 도메인 액세스 없이 로그온이 필요한 경우 로컬 관리자 자격 증명이 필요합니다. 대규모 환경에서는 암호 관리가 복잡해질 수 있으므로, 부적절한 보안 방식으로 이어질 수 있으며, 이러한 환경은 PtH(Pass-the-Hash) 자격 증명 재생 공격 위험을 크게 늘립니다.

LAPS는 암호 관리를 간소화하면서, 고객이 사이버 공격을 막는 권장 방어 수단을 구현하도록 도움을 줍니다. 특히 이 솔루션은 고객이 컴퓨터에서 동일한 관리자 로컬 계정 및 암호 조합을 사용하는 경우 발생하는 측면 에스컬레이션 위험을 완화시킵니다.

권장 사항. 암호가 각각의 관리 컴퓨터에서 고유하며, 임의로 생성되고, Active Directory 인프라에서 중앙에 저장되도록 LAPS를 설치하여 도메인 가입 컴퓨터의 로컬 관리자 계정 암호를 자동으로 관리하십시오.

LAPS는 Active Directory에서 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 컴퓨터의 해당 Active Directory 개체의 기밀 특성에 저장합니다. 컴퓨터는 Active Directory에서 고유한 암호 데이터를 업데이트하도록 허용되며, 도메인 관리자는 워크스테이션 기술 지원팀 관리자 등 권한이 부여된 사용자나 그룹에 읽기 권한을 부여할 수 있습니다.

이 솔루션은 Active Directory 인프라를 기반으로 하며 다른 지원 기술을 필요로 하지 않습니다. LAPS는 사용자가 모든 관리 작업을 수행하기 위해 관리 컴퓨터에 설치하는 CSE(그룹 정책 클라이언트 쪽 확장)를 사용합니다. 이 솔루션의 관리 도구는 간편한 구성과 관리를 제공합니다.

자세한 정보는 다음을 참조하십시오.

• Microsoft 기술 자료 문서 3062591
• Microsoft 다운로드 센터

공지 FAQ

이 공지의 범위는 어떻게 됩니까?
Active Directory 도메인에 가입된 컴퓨터. 각 조직의 도메인 관리자는 기술 지원팀 관리자 등 암호를 읽고 재설정할 권한이 있는 사용자를 결정합니다.

다른 암호 관리자 대신 LAPS를 사용하는 이유는 무엇입니까?
일반적으로 다른 암호 관리자를 사용하려면 추가 하드웨어, 타사 제품 신뢰 또는 암호의 Excel 스프레드시트 관리 등 기타 안전하지 않은 방식 이용이 필요합니다.

LAPS는 이름이 “administrator”가 아닌 로컬 관리자 계정을 관리할 수 있습니까?
예.

암호를 저장하고 관리하는 데 LAPS를 사용하는 장점은 무엇입니까?
LAPS는 다음을 위한 간소화된 접근 방식을 제공합니다.

• 주기적으로 로컬 관리자 암호를 무작위로 설정하여 로컬 비밀 및 암호를 수정하기 전에 Active Directory에 대한 암호 업데이트가 성공하도록 보장합니다.
• 기존 Active Directory 인프라에서 암호를 중앙에 저장합니다.
• Active Directory ACL(액세스 제어 목록) 권한을 통해 액세스를 제어합니다.
• 기본적으로 Kerberos 버전 5 프로토콜 및 AES(Advanced Encryption Standard) 암호를 사용하는 암호화를 통해 컴퓨터에서 Active Directory로 암호화된 암호를 전송합니다.

LAPS 고객 지원은 Microsoft 프리미어 지원 서비스를 통해 제공됩니다.

LAPS는 어떻게 작동합니까?
LAPS 솔루션의 핵심은 다음 작업을 수행하는 GPO 클라이언트 쪽 확장(CSE)이며 GPO 업데이트 중에 다음 동작을 적용할 수 있습니다.

1. 로컬 관리자 계정 암호가 만료되었는지 확인합니다.
2. 이전 암호가 만료되었거나 만료되기 전에 변경해야 하는 경우 새 암호를 생성합니다.
3. 암호 정책과 비교하여 새 암호의 유효성을 검사합니다.
4. Active Directory에 암호를 보고하고, Active Directory에서 컴퓨터 계정과 기밀 특성을 사용하여 이 암호를 저장합니다.
5. Active Directory에 암호의 다음 만료 시간을 보고하고, Active Directory에서 컴퓨터 계정과 특성을 사용하여 이 암호를 저장합니다.
6. 관리자 계정의 암호를 변경합니다.

그러면 읽을 수 있게 허용된 사용자가 Active Directory에서 암호를 읽을 수 있습니다. 적합한 사용자는 컴퓨터에 대한 암호 변경을 요청할 수 있습니다.

LAPS의 기능은 무엇입니까?
LAPS에는 다음 기능이 포함됩니다.

다음을 위한 기능을 제공하는 보안:

• 관리 컴퓨터에서 자동으로 변경되는 암호를 임의로 생성합니다.
• 동일한 로컬 계정 암호에 의존하는 PtH 공격으로부터 효과적으로 보호합니다.
• Kerberos 버전 5 프로토콜을 사용하는 암호화를 통해 전송 중에 암호 보호를 적용합니다.
• ACL(액세스 제어 목록)을 사용하여 Active Directory에서 암호를 보호하고 자세한 보안 모델을 쉽게 구현합니다.

다음을 위한 기능을 제공하는 관리 효율성:

• 기간, 복잡성 및 길이를 포함한 암호 매개 변수를 구성합니다.
• 컴퓨터별 기준으로 암호 재설정을 강제 적용합니다.
• Active Directory에서 ACL과 통합된 보안 모델을 사용합니다.
• 선택하는 Active Directory 관리 도구를 사용합니다. Windows PowerShell 등 사용자 지정 도구가 제공됩니다.
• 컴퓨터 계정 삭제를 방지합니다.
• 최소 공간으로 쉽게 솔루션을 구현합니다.

솔루션 요구 사항은 무엇입니까?
LAPS에는 다음 요구 사항이 포함됩니다.

Active Directory:

• Windows Server 2003 SP1(서비스 팩 1) 이상.

관리 컴퓨터:

• Windows Server 2003 SP2 이상 또는 Windows Server 2003 x64 Edition SP2 이상.

  참고 Itanium 기반 컴퓨터는 지원되지 않습니다.

관리 도구:

• .NET Framework 4.0
• Windows PowerShell 2.0 이상

기타 정보

MAPP(Microsoft Active Protections Program)

고객을 위한 보안을 강화하기 위해 Microsoft는 각각의 월별 보안 업데이트를 배포하기 전에 주요 보안 소프트웨어 제공업체에 취약성 정보를 제공합니다. 보안 소프트웨어 제공업체는 이 취약성 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침입 방지 시스템 등 자사의 보안 소프트웨어나 장치를 통해 업데이트된 보호 기능을 고객에게 제공할 수 있습니다. 보안 소프트웨어 제공업체가 활성 보호 기능을 제공하는지 확인하려면 Microsoft MAPP(Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 참조하십시오.

피드백

• Microsoft 도움말 및 지원 양식, 고객 서비스 문의처를 작성하여 피드백을 보낼 수 있습니다.

지원

• 기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터에서 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
• 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 자세한 내용은 국가별 지원 웹 사이트를 참조하십시오.
• Microsoft TechNet 보안은 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

고지 사항

이 공지에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성과 특정 목적에 대한 적합성의 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

수정 내역

• V1.0(2015년 5월 1일: 공지가 게시되었습니다.

2015-05-01 11:07Z-07:00에 페이지가 생성되었습니다.