Table of contents
TOC
콘텐츠의 테이블 축소
콘텐츠의 테이블 확장

최소 권한 관리 모델을 구현합니다.

Bill Mathers|마지막 업데이트: 2017-04-14
|
1 기고자

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

다음은 관리자 계정 보안 계획 가이드, 1999 년 4 월 1 일에 처음 게시 합니다.

"보안 관련 된 가장 교육 과정와 설명서 최소 권한의 원칙 구현 논의 하면서 조직 거의 따릅니다. 원칙 간단 하 고 크게 올바르게 적용의 영향을 하면 보안을 강화 하 고 여 위험 감소 합니다. 원칙 모든 사용자에 게는 현재 작업 하 고 아무 것도 많은 완료 하는 데 필요한 절대 최소 권한이 있는 사용자 계정으로 로그온 해야 합니다. 그렇게 공격 다른 중 악성 코드 방지를 제공 합니다. 이 원칙은 컴퓨터와 컴퓨터의 사용자에 게 적용 됩니다.
"이이 원칙 에서도 완벽 하 게 작동 하는 요인 중 하나 내부 조사 하 강제로 것입니다. 예를 들어 사용자나 컴퓨터 정말 필요한 액세스 권한을 확인 하 고 구현 하 해야 합니다. 많은 조직에서이 작업 처음 것 처럼 보일 수와 같은 많은 향상 시킵니다. 그러나 네트워크 환경 성공적으로 보호를 위해 중요 단계입니다.
"부여 해야 도메인 관리자가 모든 사용자 최소 권한의 개념 아래에서 자신의 도메인 사용 권한. 예를 들어 관리자 권한이 있는 계정에 로그인을 실수로 바이러스 프로그램을 실행 하는 경우 바이러스는 전체 도메인와 로컬 컴퓨터에 대 한 관리 합니다. 관리자 권한 없는 (일상적인) 계정으로 로그온 대신 했을 경우 손상 바이러스의 범위만 것 로컬 컴퓨터 로컬 컴퓨터 사용자로 실행 되기 때문입니다.
"다른 등의 도메인 수준 관리자 권한이 부여 계정 해야 하지 더 높은 다른 숲 속의 권한 숲은 보안 관계 되어 있는 경우에 합니다. 이 방법은 침입자 관리 되는 하나의 숲 손상 광범위 하 게 손상을 방지할 수 있습니다. 조직 정기적으로 감사 해야 권한이 상승에 로부터 보호 하는 네트워크. "

다음에서는 Microsoft Windows 보안 리소스 키트, 처음에 게시 된 2005:

"항상는 최소한의 작업을 수행 하는 데 필요한 권한 부여 측면에서 보안 생각 하면 됩니다. 너무 많은 권한이 있는 응용 프로그램을 손상 해야, 공격자 무엇 될 때 응용 프로그램에서 가능한 권한은 최소화 했다면 이상 공격 확장 수 있습니다. 예를 들어, 결과 알지 못하는 사이 바이러스를 시작 하는 메일 첨부 파일을 여는 네트워크 관리자를 검사 합니다. 관리자가 도메인 관리자 계정을 사용 하 여 로그온, 바이러스 도메인에 있는 모든 컴퓨터에서 관리자 권한이 있는 됩니다 및 따라서 거의 모든 데이터 네트워크에 대 한 액세스를 무제한 합니다. 관리자가 로그온 로컬 관리자 계정을 사용 하 여 바이러스 로컬 컴퓨터에서 관리자 권한이 있는 및 따라서 키 스트로크 로깅 소프트웨어 등의 악성 소프트웨어를 컴퓨터에 설치 하 고 컴퓨터의 모든 데이터에 액세스할 수 있게 됩니다. 관리자는 일반 사용자 계정을 사용 하 여 로그온, 바이러스는 관리자 데이터에만 액세스할 및 악성 소프트웨어를 설치할 수 없습니다. 여기에서 메일을 읽을 수는 데 필요한 이상 권한을 사용 하 여 손상의 잠재적 범위는 느려집니다. "

권한 문제

위의 인용에 설명 된 원칙을 변경 하지 않은 하지만 Active Directory를 설치 하려면 평가 따라 거의 예외 발견 되지 권리와 보다 훨씬 더 강력 일상적인 작업을 수행 하는 데 필요한 사용 권한을 부여 된 계정 과도 하 게 번호입니다. 환경의 크기 raw 수가 과도 하 게 권한이 부여 된 계정에 영향을 있지만 수백 또는 수천 대규모 설치 해야 하는 동안 proportionmidsized 디렉터리 하지 가장 많이 권한이 있는 그룹에 계정의 닫힙니다 없을 수 있습니다. 시스템에 침투의 기술 및 무기를 정교에 관계 없이 몇 가지 예외를 제외 공격자 최소 저항감 경로 일반적으로 따릅니다. 이러한 복잡해 집니다의 도구와 방법은 경우 방어로 간단 메커니즘 실패 하거나 차단 합니다.

그러나 많지만에서 최소 저항감 경로 광범위 한 및 전체 권한이 있는 계정 많이 것으로 입증 되었습니다. 광범위 한 권한이 권리와 예를 들어 큰 망라 환경-에서 특정 활동을 수행 하는 계정을 사용할 수 있는 권한을 인 기술 지원 서비스 담당자 수 있습니다 권한이 많은 사용자 계정에 암호를 재설정할 수 있도록 하는 합니다.

전체 권한이 인구의 좁은 부분이 적용 되는 강력한 권한이, 복구 그러한 제공 엔지니어가 관리자 권한 서버에 수행할 수 있도록 합니다. 다양 한 권한이 없으며 깊은 권한 반드시 위험한 이지만 도메인의 여러 계정을 광범위 한 및 깊은 권한을 부여 영구적으로 손상 계정 중 하나로 신속 하 게 사용할 수를 다시 구성 침입자 목적을 환경을 또는 인프라 부분의 큰 삭제 하는 데 합니다.

고 공격에는 많은 환경을 수행 하는 도구 자유롭게 사용할 수 있으며 사용 하기 쉬운-, 때문에 종류 도용의 공격 자격 증명 해시를 통과 공격 됩니다. 그러나 해시를 통과 공격 실제 문제를 됩니다. 문제의 다음 두 가지는 다음과 같습니다.

  1. 공격자 한 대의 컴퓨터에 대 한 전체 권한이 획득 한 다음 해당 권한 있는 다른 컴퓨터에 광범위 하 게 하는 일반적으로 쉽습니다.

  2. 여러 컴퓨팅 장소 너무 많은 영구 권한 높은 수준의 계정을 일반적으로 합니다.

해시를 pass 공격 제거 하는 경우에 공격자 다른 전략 하지 서로 다른 방법을 사용 하면 됩니다. 자격 증명 도용의 설비 포함 된 맬웨어 효과 얻습니다 아니라 기록, 키 입력 하는 맬웨어를 공장 또는 활용 하는 다른 방법이 강력한 환경에서 자격 증명을 캡처할 수에 관계 없이 될 수 있습니다. 라는 전략 관계 없이 대상 동일 하 게 유지: 광범위 한 및 전체 권한이 있는 계정 합니다.

과도 하 게 권한을 부여만에서 찾을 수 없는 Active Directory 손상 된 환경에서 합니다. 조직에서 꼭 필요한 것 보다 더 많은 권한을 부여를 개발 하는 경우 일반적으로 다음 섹션에서 설명 했 듯이 인프라 전체의 있습니다.

Active Directory에

이 Active Directory에 일반적 EA, DA 및 모음 그룹 계정 과도 하 게 숫자가 찾을 수 있습니다. 가장 일반적으로 조직의 EA 그룹 적은 구성원이 포함 되어 DA 그룹 일반적으로 보너스 EA 그룹에 있는 사용자의 번호를 포함 하 고 관리자가 그룹 결합 된 그룹 수많은 보다 구성원이 일반적으로 포함 됩니다. 관리자는 어떤 식으로든 이유 때문에 종종 이것이 "권한" DAs 또는 EAs 보다 덜 합니다. 권한 및 각이 그룹에 허용 된 권한 다 동안은 효과적으로 간주할 수 동일 하 게 강력한 그룹 자신 다른 두 소속 하나 소속 할 수 있으므로 합니다.

구성원 서버의

지역 및 도메인 계정 소수의에서 중첩 된 그룹 수십에 이르기까지 멤버십 발견 다양 한 환경에서 구성원 서버에서 로컬 관리자가 그룹의 회원, 검색 시 그 수백 표시, 서버에는 로컬 관리자 권한으로 계정의 수천 확장 합니다. 대부분의 경우 도메인 그룹 큰 등록 된 회원 서버 로컬 관리자가 그룹 도메인에 있는 그룹 구성원 수정할 수 있는 모든 사용자의 모든 시스템에 있는 그룹에 되었습니다에서 중첩 된 로컬 관리자가 그룹 관리 제어 얻을 수 있다는 사실을를 고려 하지 않고에 중첩 된 합니다.

워크스테이션

하지만 워크스테이션 많은 환경에서 구성원 서버를 수행 하는 것 보다 훨씬 더 적은 수의 로컬 관리자가 그룹 구성원은 일반적으로 사용자의 개인용 컴퓨터에 로컬 관리자가 그룹의 회원을 부여 됩니다. 이 오류가 발생 하면 UAC를 사용 하는 경우, 해당 사용자가 높은 위험 워크스테이션 무결성을 제공 합니다.

중요

신중 하 게 고려해 야 여부와 사용자가 자신의 워크스테이션의 관리자 권한이 필요 그럴 경우 더 나은 방법을 관리자가 그룹의 회원은 컴퓨터에 별도 로컬 계정을 만들 수 있습니다. 상승 필요한 경우 상승에 대 한 해당 로컬 계정의 자격 증명을 제공할 수 있습니다 있지만 로컬 계정을 이므로 다른 컴퓨터를 손상 시키거나 도메인 리소스에 액세스 사용할 수 없습니다. 모든 로컬 계정을와 마찬가지로 있지만 권한 있는 로컬 계정의 자격 증명 해야 고유 합니다. 로컬 계정 여러 워크스테이션 같은 자격 증명을 만들 해시를 통과 공격에 컴퓨터 제공 합니다.

응용 프로그램에서

대상 인 조직의 지식 공격에 계정 응용 프로그램 내에서 강력한 권한이 부여 된 데이터의 exfiltration 수 있도록 대상 수 있습니다. 중요 한 데이터에 액세스할 수 있는 계정 수 권한이 없는 높은 도메인 또는 운영 체제, 응용 프로그램의 구성 조작할 수 있는 계정에 있지만 응용 프로그램이 정보에 액세스할 수 있는 위험을 제공 합니다.

데이터 저장소

지식 문서 및 기타 파일 형식에 대 한 액세스를 찾는 공격자가 계정 대상으로 지정할 수 다른 대상으로는 파일에 액세스 제어 저장소, 직접 액세스 파일 또는 그룹 또는 파일에 액세스할 수 있는 역할 된 계정에 있습니다. 예를 들어, 파일 서버 계약 문서를 저장 하는 데 사용 되는 경우 Active Directory 그룹을 사용 하 여 문서 권한이 부여 됩니다 그룹 구성원을 수정할 수 있는 공격자 수 있는 그룹에 손상 된 계정을 추가 하 고 계약 문서에 액세스 합니다. SharePoint 등의 응용 프로그램에서 문서에 대 한 액세스를 제공 하는 경우에 공격자 앞에서 설명한 대로 응용 프로그램을 지정할 수 있습니다.

권한 줄이기

더 큰 및 복잡 한은 환경 더욱 어렵게 관리 하 고 보호 됩니다. 소형 조직에서 검토 하 고 축소 권한 비교적 제안을 하지만 각 추가 서버, 워크스테이션, 사용자 계정 및 조직에서 사용 중인 응용 프로그램 보호 해야 하는 다른 개체를 추가 합니다. 보안 조직의의 모든 측면 수 있으므로 어렵거나도 제대로 집중는 IT 인프라 된 권한 만들 위험 계정에서 먼저 노력 워크스테이션과 회원 서버에서 권한 있는 로컬 계정 및 계정과 Active Directory에 그룹 특권 기본 제공 되는 일반적으로 합니다.

워크스테이션과 회원 서버에서 로컬 관리자 계정 보안

이 문서에서는 이전에 설명 된 대로 Active Directory, 보안, 디렉터리에 대 한 대부분 공격 개별 호스트 공격으로 시작 합니다. 로컬 그룹 구성원 시스템을 보호 하기 위한 지침 전체를 제공할 수 없는 하지만 다음 권장 워크스테이션과 회원 서버에서 로컬 관리자 계정을 보호 하는 데 도움이 데 사용할 수 있습니다.

로컬 관리자 계정 보안

일반 지원에서 현재 Windows의 모든 버전에서 로컬 관리자 계정은 계정을 해시를 pass 및 기타 자격 증명 도용의 공격에 사용할 수 없게는 기본적으로 사용할 수 없습니다. 그러나 이전 운영 체제에 포함 된 도메인의 또는 있는 로컬 관리자 계정을 사용 하도록 설정에서 이러한 계정은 사용할 수 앞에서 설명한 대로 워크스테이션과 회원 서버에 손상 전파 됩니다. 이러한 이유로 다음과 같은 컨트롤은 도메인에 가입 시스템에 모든 로컬 관리자 계정에 대 한 것이 좋습니다.

이러한 컨트롤을 구현에 대 한 자세한 내용은에 제공 된 부록 h: 로컬 관리자 계정 보안 및 그룹합니다. 그러나 이러한 설정의 구현 하기 전에 로컬 관리자 계정을 사용 되었는지 확인 하지 현재 환경에서 서비스 컴퓨터에서 실행 하거나는 해당이 계정을 사용 하지 마십시오 다른 작업을 수행 합니다. 이러한 설정을 생산 환경에서 구현 하기 전에 철저 하 게 테스트 합니다.

로컬 관리자 계정에 대 한 컨트롤

기본 제공 관리자 계정을 구성원 서버의 서비스 계정으로 사용 해야 않으며 이러한 사용할지 로컬 컴퓨터에 로그온 할 때 (계정이 사용 되지 않는 경우에 허용 안전 모드에서 제외). 여기에 설명 된 설정 구현 각 컴퓨터 로컬 관리자 계정을 보호 컨트롤은 반전 처음 하지 않으면 사용 가능한 되지 않도록 방지 하는 합니다. 이러한 컨트롤을 구현 관리자 계정을 변경에 대 한 모니터링를 줄일 수 있습니다 크게 공격 성공 가능성 해당 대상 로컬 관리자 계정을 합니다.

도메인 가입 시스템 관리자 계정 제한 Gpo 구성

다음 사용자 권리를 관리자 계정을 만들고 서버로 워크스테이션과 구성원 Ou 각 도메인에 연결 하는 하나 이상의 Gpo에서 추가 컴퓨터 구성 보안 로컬 Settings\User 권한 할당:

  • 네트워크에서이 컴퓨터에 대 한 액세스 거부

  • 로그온 일괄 작업으로 거부

  • 로그온 서비스 거부

  • 로그 통한 거부 원격 데스크톱 서비스

이러한 사용자 권한을 하려면 관리자 계정을 추가 하면 여부 추가 하는 로컬 관리자 계정 또는 도메인의 관리자 계정 방식으로 계정 이름을 지정 하는 지정 합니다. 예를 들어, 거부 이러한 NWTRADERS 도메인 관리자 계정을 추가 하려면 권한, 계정으로 입력 NWTRADERS\Administrator, NWTRADERS 도메인에 대 한 관리자 계정에 검색 또는 합니다. 로컬 관리자 계정을 제한 하도록 입력 관리자 사용자 권한의 설정에서 이러한는 그룹 정책 개체 편집기 합니다.

참고

로컬 관리자 계정 이름 변경 된 경우에도 정책이 적용 됩니다.

이러한 설정을 실수로으로 또는 악의적으로 사용 하는 경우에 다른 컴퓨터에 연결 하는 컴퓨터의 관리자 계정의 사용 수 없는 했는지 확인 합니다. 이 하려고 하면 이렇게 컴퓨터의 로컬 관리자 계정을 장애 복구 시나리오에서 사용할 수 있으므로 로컬 로그온 로컬 관리자 계정을 사용 하 여 완전히 비활성화할 수 없습니다.

해야 구성원 서버 또는 워크스테이션 될에서 분리 도메인 다른 로컬 계정 부여 관리자 권한이 없는 안전 모드로 컴퓨터 부팅할 수 관리자 계정을 사용할 수 및 계정에는 영향을 컴퓨터에 대 한 복구를 사용할 수 있습니다. 수리 완료 되 면 관리자 계정은 다시 않도록 합니다.

그룹 Active Directory에 및 로컬 권한이 있는 계정 보안

*법률 번호 6: 컴퓨터도 안전 관리자가 신뢰할 수 있습니다. * - 10 변경할 수 없는 법률 보안 (버전 2.0)

여기에 제공 된 정보에 대 한 보안 최고 권한 기본 계정과 Active Directory에 그룹 되는 지침을 제공 하는 데 사용 됩니다. 자세한 단계별 지침에도 제공 됩니다 Active Directory에 부록 d: 보안 기본 제공 관리자 계정, 부록 e: 보안 Enterprise 관리자 그룹 Active Directory에, 부록 f: 보안 도메인 관리자 그룹 Active Directory에Active Directory에 부록 g: 보안 관리자가 그룹합니다.

이러한 설정의 구현 하기 전에 모든 설정 귀하의 환경에 대 한 적절 한 되는지 확인 하는 완전히 테스트도 해야 합니다. 모든 조직이 이러한 설정을 구현할 수 있습니다.

Active Directory에 기본 제공 관리자 계정 보안

각 도메인 Active Directory에 관리자 계정 만들기 도메인의의 일환으로 만들어집니다. 기본적으로는이 계정을 도메인 관리자 및는 도메인의 관리자가 그룹의 회원 도메인이 및는 포리스트 루트 도메인, 계정을 Enterprise 관리자 그룹의 회원 이기도 합니다. 도메인의 로컬 관리자 계정 사용 하 여 초기 빌드 활동 및 복구 장애 시나리오에 대해서만 예약 해야 합니다. 다른 계정을 사용할 수 있는 영향을 복구 하는 기본 제공 된 관리자 계정 사용할 수 있도록 하려면 관리자 계정을 도메인 숲에 기본 멤버 자격 하지 변경 해야 합니다. 대신, 각 도메인 숲에서 관리자 계정을 보호 하기 위한 지침을 따라 해야 합니다. 이러한 컨트롤을 구현에 대 한 자세한 내용은에 제공 된 Active Directory에 부록 d: 보안 기본 제공 관리자 계정합니다.

기본 제공 관리자 계정에 대 한 컨트롤

여기에 설명 된 설정 구현 하는 목표는 여러 가지 컨트롤이 취소 됩니다 하지 않으면 사용 가능한 되지 않도록 방지 각 도메인 관리자 계정 (그룹이)입니다. 하 여 이러한 컨트롤을 구현 변경에 대 한 관리자 계정 모니터링를 활용 하는 도메인의 관리자 계정으로 크게의 공격을 가능성을 줄일 수 있습니다. 관리자 계정에 숲 속의 각 도메인에 대 한 다음 설정을 구성 해야 합니다.

계정에서 "계정/소문자를 구분 하 고 위임 수 없습니다" 플래그를 사용 하도록 설정

기본적으로 모든 계정이 Active Directory에 위임 수 있습니다. 컴퓨터 또는 컴퓨터에가 인증 된 계정에 대 한 자격 증명을 제공 하는 서비스 또는 계정 대신 하 여 서비스를 얻을 수 있는 다른 컴퓨터에 서비스 위임 수 있게 합니다. 사용 하면는 계정은 중요 한 위임 수 없는 특성 도메인 기반 계정의 계정의 자격 증명 다른 컴퓨터 또는 다른 시스템에 계정 자격 증명을 사용 하 여 위임을 활용 하는 공격 제한 하는 네트워크의 서비스를 제공 수 없습니다.

"스마트 카드 로그온 해야 합니다"는 계정에 플래그를 사용 하도록 설정

사용 하면는 스마트 카드 로그온 해야 합니다는 특성 계정을, Windows 120 문자 임의의 값 계정 암호 다시 설정 합니다. 제공 된 관리자 계정에서이 플래그를 설정 하 여 계정에 대 한 암호 길고 복잡해 뿐만 아니라 하지만 사용자에 게 알 수 없는 확인 합니다. 스마트 카드 계정에 대 한이 특성을 사용 하기 전에 만드는 기술적 필요는 없습니다 하지만 가능한 경우 구성 계정 제한 하기 전에 각 관리자 계정에 대해 스마트 카드 만들어야 및 스마트 카드 안전한 위치에 저장 합니다.

설정에서 스마트 카드 로그온 해야 합니다는 플래그 계정 암호 다시 설정, 알려진 값 계정을 설정 하 고는 계정 이름 및 리소스에 액세스 하는 새 암호를 사용 하 여 네트워크에에서 계정 암호를 재설정할 수 있는 권한이 있는 사용자 막지는지 않습니다. 이 때문에 계정 추가 다음과 같은 컨트롤 구현 해야 합니다.

계정 사용 안 함

관리자 계정을 이미 비활성화 하지 않으면 비활성화 계정의 속성의 구성을 완료 했으면 합니다. 따라서 계정의을 처음 사용할 수 없는 경우 용도로 사용할 수 없습니다. 장애가에서 계정을 설정 하지 않고를 수행할 수 있는 복구 시나리오의 복구는 AD DS 환경 도메인 컨트롤러 안전 모드로 부팅, 로컬로 (로컬 로그온에서 차단 되지)는 기본 제공 된 관리자 계정에 로그인 한 필요한 경우 도메인의 관리자 계정을 사용 하도록 설정 합니다.

도메인 가입 시스템에서 관리자 계정을 도메인의 제한에 Gpo 구성

도메인에서 관리자 계정을 사용 하지 않도록 설정 하면 계정을 효과적으로 사용할 수 없게, 있지만 계정을 실수로으로 또는 악의적으로 사용 하는 경우 계정에 추가 제한 사항이 구현 해야 합니다. 이러한 컨트롤 수 결국 관리자 계정으로 되돌릴 수 있지만 목표 공격자의 진행률 슬로 컨트롤을 만드는 데 되며 제한 계정이 손상 줄 수 있습니다.

다음 사용자 권리를 각 도메인 관리자 계정을 만들고 서버로 워크스테이션과 구성원 Ou 각 도메인에 연결 하는 하나 이상의 Gpo에서 추가 컴퓨터 구성 보안 로컬 Settings\User 권한 할당:

  • 네트워크에서이 컴퓨터에 대 한 액세스 거부

  • 로그온 일괄 작업으로 거부

  • 로그온 서비스 거부

  • 로그 통한 거부 원격 데스크톱 서비스

참고

이 설정에 로컬 관리자 계정을 추가 하면 도메인 관리자 계정 또는 로컬 관리자 계정을 구성 하 고 있는지 여부를 지정 해야 합니다. 예를 들어, 거부 이러한 NWTRADERS 도메인 로컬 관리자 계정을 추가 하려면 권한, 계정으로 입력 하거나 해야 NWTRADERS\Administrator, 로컬 관리자 계정을 NWTRADERS 도메인에 대 한를 찾거나 합니다. 입력 하는 경우 관리자 사용자 권한의 설정에서 이러한는 그룹 정책 개체 편집기, 로컬 관리자 계정을 GPO 적용 되는 각 컴퓨터에서 제한 됩니다.

관리자 계정 도메인 기반와 같은 방식으로 로컬 관리자 계정 워크스테이션과 회원 서버에 대 한 제한 하는 것이 좋습니다. 따라서 일반적으로에 추가 해야 각 도메인 숲에 대해 관리자 계정과 로컬 컴퓨터에 대해 관리자 계정 이러한 사용자 권한 설정 합니다. 다음 스크린샷 구성 이러한 사용자 권한을 로컬 관리자 계정 및 해당이 계정에 대 한 필요 하지 않습니다 로그온에서 공연을 하는 도메인의 관리자 계정을 차단 하는 예를 나타냅니다.

최소 영광 관리자 모델

구성 Gpo 도메인 컨트롤러에 관리자 계정이 제한 하려면

각 도메인 숲에서 기본 도메인 컨트롤러 정책이 나 방침 도메인 컨트롤러 하는 정책 수정 해야에서 다음과 같은 사용자 권한에 각 도메인 관리자 계정을 추가 하려면 컴퓨터 구성 보안 로컬 Settings\User 권한 할당:

  • 네트워크에서이 컴퓨터에 대 한 액세스 거부

  • 로그온 일괄 작업으로 거부

  • 로그온 서비스 거부

  • 로그 통한 거부 원격 데스크톱 서비스

참고

로컬 관리자 계정을 사용 하면 해당 계정에 로그온 할 수 로컬로 도메인 컨트롤러에 있지만 도메인 컨트롤러에 연결 하려면 사용할 수 없습니다 이러한 설정을 확인 됩니다. 이 계정을 사용 하도록 설정 및만 장애 복구 시나리오에서 사용 해야, 하기 때문에 것으로 예상 됩니다 하나 이상 도메인 컨트롤러에 물리적 액세스를 사용할 수 있는지 또는 다른 계정을 도메인 컨트롤러를 원격으로 액세스 권한이 있는 사용할 수 있습니다.

기본 제공 관리자 계정에 대 한 감사 구성

각 도메인 관리자 계정 보호를 비활성화 하면, 하는 경우 계정에 변경 내용을 모니터링할 감사 구성 해야 합니다. 사용자 또는 관리 담당 팀에 알림 보낼지 계정을 사용 하도록 설정 하거나, 암호를 다시 설정 하거나 계정에는 다른 수정 사항이, AD DS, 조직에서 사고 응답 팀 외에도 합니다.

관리자 도메인 관리, Enterprise 관리자 그룹 보안

엔터프라이즈 관리자 그룹 보안

보관 하는 엔터프라이즈 관리자 그룹은 포리스트 루트 도메인, 제공 앞에서 설명한 대로 보안 및 된 도메인의 로컬 관리자 계정의 제외 하 고 매일 사용자가 들어 Active Directory에 부록 d: 보안 기본 제공 관리자 계정합니다.

EA 액세스 요구 되는 경우 사용자 계정이 필요 EA 권한과 엔터프라이즈 관리자 그룹에 일시적으로 있어야 합니다. 사용자가 권한이 높은 계정을 사용 하는 있지만 자녀의 활동 감사 고 것이 좋습니다 변경을 수행 명의 사용자와 변경 관찰 다른 사용자 실수로 오용 또는 잘못 가능성 최소화 하 여 수행 해야 합니다. 작업을 완료 되 면 EA 그룹에서 계정은 제거 해야 합니다. 수동 절차 통해 달성 하 고 프로세스, 제 3 자 신원을/액세스 권한을된 관리 (PIM/PAM) 소프트웨어 또는 둘의 조합이 설명 합니다. 제공 Active Directory에 권한이 있는 그룹의 회원 제어를 사용할 수 있는 계정 만들기에 대 한 지침 매력적인 계정 자격 증명 도용의 에 제공 된 자세한 지침 및 부록 i: 관리 계정 만들기 보호 계정과 Active Directory에 있는 그룹에 대 한합니다.

기본적으로 각 도메인 숲에서 기본 제공 된 관리자가 그룹의 회원 엔터프라이즈의 관리자는 합니다. 엔터프라이즈 관리자 그룹 각 도메인의 관리자가 그룹에서 제거 때문에 부적절 한 수정 숲 장애 복구 시나리오 발생 했을 때 EA 권한이 필요할 수도 있습니다. 엔터프라이즈 관리자 그룹을 숲 속의 관리자가 그룹에서 제거 되었습니다, 각 도메인에 있는 관리자가 그룹에 추가 해야 하 고 다음과 같은 추가 컨트롤을 구현 합니다.

  • 앞에서 설명한 대로 엔터프라이즈 관리자 그룹을 제외 하 고 매일 사용자가 들어 있는 포리스트 루트 도메인의에 설명 된 관리자 계정으로 보안을 유지 해야 하는 Active Directory에 부록 d: 보안 기본 제공 관리자 계정합니다.

  • Ou 포함 된 각 도메인에 워크스테이션과 회원 서버에 연결 된 gpo, EA 그룹 다음 사용자 권한을에 추가 해야 합니다.

    • 네트워크에서이 컴퓨터에 대 한 액세스 거부

    • 로그온 일괄 작업으로 거부

    • 로그온 서비스 거부

    • 로컬 로그온 거부

    • 로그 통한 거부 원격 데스크톱 서비스 합니다.

이렇게 하면 EA 그룹의 회원 워크스테이션과 회원 서버에 로그온 하지 것입니다. 점프 서버 관리 도메인 컨트롤러 및 Active Directory를 사용 하는 경우 점프 서버가를 제한적 Gpo 연결 되지 않은에 있는지 확인 합니다.

  • 감사 속성 또는 EA 그룹의 회원 수정 되는 경우 알림을 보낼 구성 합니다. 이러한 경고 보낼지, 적어도 사용자 또는 Active Directory 관리 및 인시던트 응답 담당 팀에입니다. 프로세스와 알림 절차 그룹 합법적 인구 수행 하는 등의 EA 그룹 일시적으로 채우기 절차 정의할 수도 해야 합니다.

도메인 관리자 그룹 보안

엔터프라이즈 관리자 그룹 그대로 도메인 관리자 그룹 구성원에에서 빌드 또는 복구 경우에만 받아야 합니다. 없이 일상적인 사용자 계정에에서 있어야 도메인 로컬 관리자 계정 제외한 DA 그룹에 설명 된 대로 보안이 설정 된 경우 Active Directory에 부록 d: 보안 기본 제공 관리자 계정합니다.

DA 액세스 필요한 경우이 수준의 액세스 권한 않아도 계정 문제의 도메인에 대 한 DA 그룹에 일시적으로 있어야 합니다. 사용자가 권한이 높은 계정을 사용 하는 있지만 활동 감사 고 것이 좋습니다 변경을 수행 한 사용자와 변경 관측 다른 사용자의 잘못 또는 실수로 오용 가능성 최소화 하 여 수행 해야 합니다. 작업을 완료 되 면 도메인 관리자 그룹에서 계정은 제거 해야 합니다. 수동 절차 통해 달성 하 고 프로세스를 통해 제 3 자 신원을/액세스 권한을된 관리 (PIM/PAM) 소프트웨어 또는 둘의 조합이 설명 합니다. 제공 Active Directory에 권한이 있는 그룹의 회원 제어를 사용할 수 있는 계정 만들기에 대 한 지침 부록 i: 관리 계정 만들기 보호 계정과 Active Directory에 있는 그룹에 대 한합니다.

기본적으로 각 도메인의 모든 워크스테이션과 회원 서버에서 로컬 관리자가 그룹의 회원 도메인의 관리자는 합니다. 이 기본 중첩 지원과 장애 복구 옵션에 영향을 하기 때문에 수정할 수 없습니다. 도메인 관리자 그룹 로컬 관리자가 그룹 구성원 서버에서 제거 되었습니다, 관리자가 그룹 구성원 서버 및 워크스테이션 도메인에 연결 된 Gpo 제한 그룹 설정에서 각에 추가 해야 합니다. 자세히 설명 하는 일반 컨트롤을 부록 f: 보안 도메인 관리자 그룹 Active Directory에 구현 될 수도 있습니다.

각 도메인 숲에서 도메인 관리자 그룹 다음과 같습니다.

  1. 그에 설명 된 대로 보안 제공은 도메인에 대 한 기본 관리자 계정 제외 하 고 있는 DA 그룹의 모든 구성원 제거 Active Directory에 부록 d: 보안 기본 제공 관리자 계정합니다.

  2. Ou 포함 된 각 도메인에 워크스테이션과 회원 서버에 연결 된 gpo, DA 그룹 다음 사용자 권한을에 추가 해야 합니다.

    • 네트워크에서이 컴퓨터에 대 한 액세스 거부

    • 로그온 일괄 작업으로 거부

    • 로그온 서비스 거부

    • 로컬 로그온 거부

    • 로그 통한 거부 원격 데스크톱 서비스

    이렇게 하면 DA 그룹의 회원 워크스테이션과 회원 서버에 로그온 하지 것입니다. 점프 서버 관리 도메인 컨트롤러 및 Active Directory를 사용 하는 경우 점프 서버가를 제한적 Gpo 연결 되지 않은에 있는지 확인 합니다.

  3. 감사 속성 또는 DA 그룹의 회원 수정 되는 경우 알림을 보낼 구성 합니다. 이러한 경고 보낼지, 적어도 사용자 또는 담당 팀 AD DS 관리 및 인시던트 응답 합니다. 프로세스와 알림 절차 그룹 합법적 인구 수행 하는 등의 DA 그룹 일시적으로 채우기 절차 정의할 수도 해야 합니다.

관리자가 그룹 Active Directory에 고정

EA 및 DA 그룹 그대로 (모음) 관리자가 그룹의 회원 빌드 또는 복구 경우에만 받아야 합니다. 없이 일상적인 사용자 계정에에서 있어야 도메인 로컬 관리자 계정 제외한 관리자가 그룹에 설명 된 대로 보안이 설정 된 경우 Active Directory에 부록 d: 보안 기본 제공 관리자 계정합니다.

관리자 액세스 필요한 경우이 수준의 액세스 권한 필요 없이 계정에 도메인에 대 한 관리자가 그룹에 일시적으로 있어야 합니다. 사용자가 권한이 높은 계정을 사용 하는 있지만 활동 감사 하 고 해야, 실수로 오용 또는 잘못 가능성 최소화 하 변경을 수행 사용자 및 변경 사항을 관측 다른 사용자와에서 수행 합니다. 작업을 완료 되 면 계정은 관리자가 그룹에서 즉시 제거 해야 합니다. 수동 절차 통해 달성 하 고 프로세스를 통해 제 3 자 신원을/액세스 권한을된 관리 (PIM/PAM) 소프트웨어 또는 둘의 조합이 설명 합니다.

관리자는 기본적으로 대부분의 소유자는 AD DS 각 도메인의 개체 합니다. 이 그룹의 회원 소유권 또는 개체의 소유권을 가져오는 기능 필요한가 빌드와 장애 복구 환경에서 필요할 수 있습니다. 또한 DAs 및 EAs 다양 한 자녀의 권한 및 관리자가 그룹에서 자신의 기본 멤버 자격 않아서 사용 권한을 상속합니다. 기본 중첩 된 Active Directory에 권한이 있는 그룹 수정 해서는 안를 위한 그룹 하 고 각 도메인 관리자가 그룹에 설명 된 대로 확보 해야 Active Directory에 부록 g: 보안 관리자가 그룹, 일반적인 지침은 아래에 있습니다.

  1. 그에 설명 된 대로 보안 제공한 모든 구성원 로컬 관리자 계정 도메인을 제외 하 고 있는 관리자가 그룹에서 제거 Active Directory에 부록 d: 보안 기본 제공 관리자 계정합니다.

  2. 도메인의 관리자가 그룹의 회원은 회원 서버 또는 워크스테이션에 로그온 할 필요가 없습니다. 워크스테이션과 구성원 각 도메인의 Ou 서버에 연결 된 하나 이상의 gpo, 관리자가 그룹 다음 사용자 권한을에 추가 해야 합니다.

    • 네트워크에서이 컴퓨터에 대 한 액세스 거부

    • 로그온 일괄 작업으로 거부

    • 로그온 서비스 거부

    • 관리자가 그룹의 회원에서 로그인 하거나 (달라고 하지 않은 여러 컨트롤은 위반 먼저) 워크스테이션 구성원 서버에 연결 하는 데 사용 되 고 방지이, 여기서 자격 증명 수 캐시 되 고 있으므로 손상 합니다. 권한이 있는 계정에 로그온 권한이 적은 시스템 하기 위해 사용 하지 말아야 하 고 이러한 컨트롤을 적용 많은 공격 으로부터 보호를 제공 합니다.

  3. At OU 각 도메인 숲 속의 관리자가 그룹에서 다음 사용자 부여 해야 하는 도메인 컨트롤러 권한 (수행 하지 이미 있는 경우 이러한 권한에), 숲 전체 장애 복구 시나리오에 필요한 기능을 수행 하려면 관리자 그룹의 회원 하면 다음과 같습니다.

    • 네트워크에서이 컴퓨터에 액세스

    • 로컬 로그 허용

    • 로그 통한 허용 원격 데스크톱 서비스

  4. 감사 속성 또는 관리자가 그룹의 회원 수정 되는 경우 알림을 보낼 구성 합니다. 이러한 경고 보낼지를 최소한 담당 팀의 구성원을 AD DS 관리 합니다. 보안 팀의 구성원에 게 경고를 전송 해야 하 고 절차 관리자가 그룹의 회원 수정에 대 한 정의 해야 합니다. 특히,이 프로세스가 보안 팀 수정할 수 있으므로 경고를 보낼 때 예상 되는 하 고 알람을 발생 하지 않습니다 시킬 관리자가 그룹 때는 알림을 절차를 포함 해야 합니다. 또한, 보안 팀 관리자가 그룹 사용을 완료 하 고 그룹에서 사용 되는 계정을 제거 되었을 때 알릴 수 프로세스를 구현 합니다.

참고

Gpo 관리자가 그룹에서 제한을 구현 하는 경우 Windows는 컴퓨터의 도메인의 관리자가 그룹 뿐 아니라 로컬 관리자가 그룹의 회원 설정을 적용 합니다. 따라서 제한 관리자가 그룹에 구현 하는 경우 주의 사용 해야 합니다. 네트워크, 일괄 및 서비스 로그온 관리자가 그룹의 회원은 금지 때마다 것은 구현 하는 것이 좋습니다, 있지만 로컬 로그온 제한 하지 이나 통해 로그온 원격 데스크톱 서비스 합니다. 이러한 로그온 형식을 차단 합법적 로컬 관리자가 그룹의 회원 하 여 컴퓨터 관리를 차단할 수 있습니다. 기본 제공 로컬 또는 도메인 관리자가 그룹의 오용 뿐 아니라 도메인 관리자 계정 동안의 다음 스크린샷 구성 설정을 내장의 오용 차단 하는 로컬 표시 됩니다. 하는 통해 로그온 거부 원격 데스크톱 서비스 포함 하 여이 설정에는 로컬 컴퓨터의 관리자가 그룹의 회원 된 계정에 대 한 이러한 로그온 차단할 수도 있으므로 사용자 권한 관리자가 그룹 포함 되지 않습니다. 컨텍스트의이 섹션에 설명 된 권한이 있는 그룹에서 실행 하도록 구성 된 컴퓨터에서 서비스 이러한 설정을 구현 발생할 수 있습니다 서비스와 응용 프로그램에 실패 합니다. 따라서이 섹션에서 권장 하는 모든와 같이 완전히 테스트 해야 적용에 대 한 설정을 귀하의 환경에 합니다.

최소 영광 관리자 모델

Active Directory에 대 한 액세스 역할 기반 컨트롤 (RBAC)

일반적으로 액세스 역할 기반 컨트롤 (RBAC)는 메커니즘 비즈니스 규칙에 따라 리소스에 대 한 액세스를 제공 하 고 사용자에 게 그룹화입니다. 구현 RBAC에 대 한 Active Directory 경우 AD DS 구성원이 역할의 과도 하 게 권한을 부여 하지 않고 관리 일상적인 작업을 수행할 수 있도록 하려면 권한과에 위임 하는 업무를 만드는 과정입니다. Active Directory에 대 한 RBAC 디자인 하 고, 제 3 자 제품 또는 두 가지 조합을 구입 하 여 이미 소유 수 소프트웨어를 활용 하 여 기본 도구와 인터페이스를 통해 구현 수 있습니다. 이 섹션 Active Directory RBAC 구현에 대 한 단계별 지침 제공 하지는 않지만 대신에서 RBAC 구현 하는 방법을 선택할 고려해 야에 대해 설명에 AD DS 설치 합니다.

RBAC Active Directory에 대 한 기본 방법

간단한 RBAC 구현 역할 구현할 수 AD DS 그룹과 대리자 권한 및 지정된 범위 내에서 매일 관리 역할의 수행 하도록 허용 하는 그룹에 대 한 권한을 합니다.

경우에 따라 권한 및 작업 기능에 적절 한 권한이 부여 하 기존 보안 그룹 Active Directory에 사용할 수 있습니다. 예를 들어 특정 직원 IT 조직에서 관리 및 유지 관리 DNS 영역과 레코드에 대 한 책임 인 경우 이러한 업무에 위임 수 각 DNS 관리자에 대 한 계정을 만들고 Active Directory에 DNS 관리자 그룹을 추가 하기만. DNS 관리자 그룹 더 많이 권한이 있는 그룹 달리 권한이 몇 가지 강력한 Active directory 있지만이 그룹의 회원 DNS 관리할 수 있도록 하는 권한이 위임된 되었습니다.

그 외의 경우 보안 그룹을 만들고 위임에 대 한 권한 Active Directory 개체, 시스템 개체 파일 및 레지스트리 개체 그룹의 회원 수 있도록 지정 된 관리 작업을 수행 해야 합니다. 예를 들어, 잊어버린된 암호를 다시 설정에 대해 책임 지지 기술 지원 서비스 운영자 인 경우 연결 문제가 있는 사용자를 지원 및 응용 프로그램 설정을 문제를 해결 해야 지원 센터 사용자가 원격으로 사용자의 구성 설정을 보거나 수정 하는 사용자의 컴퓨터에 연결할 수 있는 권한이 있는 사용자 Active Directory 개체의 위임 설정 결합 합니다. 사용자 정의 각 역할을 확인 해야 합니다.

  1. 매일 하 고 있는 작업을 수행 덜 자주에서 어떤 작업 회원 역할의 수행 합니다.

  2. 시스템 및 응용 프로그램을 역할의 회원 권한 및 사용 권한을 부여 됩니다.

  3. 멤버십 역할에는 사용자에 게 부여 됩니다.

  4. 어떻게 관리 역할 등록 수행 됩니다.

많은 환경에서 수동으로 관리 Active Directory 환경에 대 한 액세스 역할 기반 제어를 만들어 어려운 구현 및 유지 관리 합니다. 역할 및 IT 인프라 관리에 대 한 책임 명확 하 게 정의 된 경우 관리할 수 있는 기본 RBAC 배포 만드는 데 사용 하 여 추가 도구를 활용 하 않도록 할 수 있습니다. 예를 들어, Forefront 신원을 관리자 (FIM) 귀하의 환경에 사용 중인 경우 FIM 생성 및 인구 관리 역할 지속적인 관리를 줄일 수 있는 자동화 사용할 수 있습니다. SCCM System Center Configuration Manager () 및 시스템 Center Operations Manager (SCOM)를 사용 하는 경우 특정 응용 프로그램 역할 위임 관리 및 모니터링 기능을 사용 하 여 수 있으며 구성의 일관성 및 시스템 도메인에 대해 감사도 적용할 수 있습니다. 구현는 공개 키 인프라 (PKI) 수 있는 한 실행 스마트 카드 환경을 관리 담당 IT 담당자에 게 필요 합니다. FIM 자격 증명 관리 (M FIM)를 사용 하 여 역할 및 자격 증명 관리 관리 담당자에 게 더 결합할 수 있습니다.

그 외의 경우 "을 기본" 기능을 제공 하는 제 3 자 RBAC 소프트웨어 배포 고려 하는 것에 대 한 것이 좋습니다 수도 있습니다. 상업적인 되어 있어 (COTS) 해결 방법에 대 한 Active Directory, Windows 및 비 Windows 디렉터리 및 운영 체제에 대 한 RBAC 수많은 업체에서 제공 됩니다. 기본 솔루션 및 제 3 자 제품 사이 선택할 때는 다음과 같은 요인 고려해 야 합니다.

  1. Budget: RBAC 소프트웨어 및 이미 소유 수 도구를 개발에 투자 하도록 하 여 솔루션을 배포 하는 데 필요한 소프트웨어 비용을 줄일 수 있습니다. 그러나 하 고 기본 RBAC 해결 방법을 배포 경험이 직원 않은 솔루션을 개발 하 컨설팅 리소스 해야 할 수 있습니다. 신중 하 게 여 budget 제한 된 경우에 특히 "을 기본" 솔루션을 배포 하는 비용이 예상된 비용 사용자 지정 개발한 해결 방법에 대 한 평가 해야 합니다.

  2. IT 환경의 구성: 하는 경우 귀하의 환경으로 이루어진 주로 Windows 시스템 하거나 경우 비 Windows 시스템 및 계정 관리에 대 한 Active Directory를 이미 활용 하 고, 사용자 정의 솔루션을 기본 제공 될 최적 해 요구 사항에 대 한 합니다. 인프라 Active Directory 관리 하지는 Windows를 실행 하지 않는 많은 시스템 있으면, Active Directory 환경 별도로 비 Windows 시스템의 관리에 대 한 옵션을 고려할 해야 할 수 있습니다.

  3. 솔루션에서 권한 모델: 위치 서비스 계정을 Active Directory에 매우 권한이 있는 그룹에 의존 하 여 제품 수 과도 하 게 권한 필요 하지 않은 제공 옵션 하지 않는 경우 Active Directory 정말 줄어들 하지는 RBAC 소프트웨어를 부여 공격 surfaceyou만 변경한 디렉터리에 가장 권한이 있는 그룹의 구성 합니다. 응용 프로그램 공급 업체 손상 되 고 악의적으로 사용 되는 계정의 가능성을 최소화 하는 계정 서비스에 대 한 컨트롤을 제공할 수, 하지 않으면 다른 옵션을 고려 하는 것이 좋습니다.

Id 권한 관리

Id 관리 (PIM) 특권, 권한이 있는 계정으로 관리 (PAM) 나 권한을된 자격 증명 관리 PCM ()은 건설, 디자인 및 관리 하는 방법 구현 권한 있는 인프라에 계정 라고도 합니다. 일반적으로 PIM 메커니즘은 계정 임시 권한을 부여 됩니다 하며 권한을 빌드 또는 휴식을 수행 하는 데 필요한 기능을 영구적으로 계정에 연결 된 권한 두면 보다는 문제를 해결 합니다. PIM 기능이 만들어질 수동으로 나 통해 구현 여부를 제 3 자 소프트웨어는 다음과 같은 기능 중 하나 이상을 배포 수행할 수 있습니다.

  • "저장소," 권한이 있는 계정에 대 한 암호 "체크 아웃" 및 초기 암호를 할당 다음 "체크 인" 때 작업이 완료 되 면 때 암호는 계정에 다시 다시 된 자격 증명 합니다.

  • 자격 증명 권한 있는 사용에 대 한 시간 바인딩된 제한

  • 자격 증명 한 번 사용

  • 모니터링 및 완료 또는 할당 시간 활동 했을 때 수행한 활동이 및 권한 자동 제거 보고 사용 권한을 부여 워크플로 생성 만료 됨

  • 자격 증명을 저장소 필요에 따라에서 검색할 수 있도록 사용자 이름 및 암호 (Api) 응용 프로그램 프로그래밍 인터페이스 된 스크립트에서 같은 자격 증명 코딩 하드 교체

  • 자동 관리 서비스 계정 자격 증명을

권한 없는 계정을 만들 권한이 있는 계정 관리

과제 권한이 있는 계정 관리 기능 중 하나를 권한 및 보호 계정을 관리할 수 있는 계정 기본적으로 이며 그룹 특권는 계정을 보호 하 고 있습니다. Active Directory 설치에 대 한 적절 한 RBAC 및 PIM 솔루션을 구현 하는 경우 해결 방법을 일시적으로 및 필요한 경우 그룹 채울 디렉터리에 가장 권한이 있는 그룹의 회원 효과적으로 내용을 수 있도록 하는 방법을 포함 될 수 있습니다.

그러나 기본적으로 RBAC 및 PIM 구현 하는 경우 필요 시 Active Directory에 권한이 없는 채우기 및 권한 내용을 비운 기능은으로 그룹화 되어 계정을 만드는 고려해 야 합니다. 부록 i: 만들기 관리 보호 계정과 Active Directory에 있는 그룹에 대 한 계정을 이 목적을 위해 계정을 만드는 데 사용할 수 있는 단계별 지침을 제공 합니다.

강력한 인증 제어 구현

*법률 번호 6: 정말 방법이 사람이 추측 암호 그 자리 시도 하세요. * - 10 변경할 수 없는 법률 보안 관리

해시를 pass 및 기타 자격 증명 도용의 공격은 특정 Windows 운영 체제에 하거나 새 않습니다. 첫 번째 단계-the 해시 공격 1997에서 만들었습니다. 하지만 과거에 이러한 공격 필수 사용자 지정 된 도구의 성공 여부에 hit-or-miss 된 하 고 공격자 기술의 비교적 뛰어난이 필요 합니다. 지 증가 하는 번호와 성공 자격 증명 도용의 공격의 최근 몇 년 동안에서 기본적으로 자격 증명을 추출 하 무료로 사용할 수 있는 사용 하기 쉬운 도구 도입이 되었습니다. 그러나 자격 증명 도용의 공격은만 메커니즘 자격 증명은 대상으로 지정 및 손상 것입니다.

자격 증명 도용의 공격 으로부터 보호 하는 컨트롤을 구현 해야 하지만 가장 공격자을 대상으로 지정할 수 있는 환경에서 계정을 확인 해야 고 해당 계정에 대 한 강력한 인증 컨트롤 구현 해야 합니다. 가장 권한이 있는 계정 사용자 이름 및 암호와 같은 단일 단계 인증을 사용 하는 경우 (에 모두 "것을 알고"는 인증 인수 한), 해당 계정을 보호 약한 됩니다. 사용자 이름 지식과 계정에 연결 된 암호를 알고 공격자 필요한 것은 및 해시를 통과 공격 requiredthe 공격자가 사용자에 게 일원 자격 증명을 승인 하는 모든 시스템으로 인증 수 되지 않습니다.

하지만 다단계 인증 구현 보호 하지는 않습니다 수 있는 시스템 보호와 함께에서 다단계 인증 구현 해시를 통과 공격 으로부터 합니다. 제공 되는 보호 시스템 구현에 대 한 자세한 내용은 보안을 유지 관리 호스트 구현, 옵션이 인증 다음 섹션에서 설명 하 고 있습니다.

일반 인증 컨트롤

스마트 카드 예: 다단계 인증 아직 구현 되지 있는 경우 이렇게 하는 것이 좋습니다. 스마트 카드 때문에 액세스 하거나 사용자 적절 한 PIN, 암호, 또는 생체 인식 식별자 스마트 카드를 표시 하지 않은 경우 사용 사용자의 개인 키 공개 개인 키 페어링 개인 키 하드웨어 적용 보호를 구현 합니다. 사용자의 PIN 또는 암호 키 입력 거 PIN 또는 암호를 다시 사용 하는 공격자가 손상 된 컴퓨터에 의해 차단 되는 경우에 카드 실제로 존재 있어야 합니다.

스마트 카드 복잡 하 고 긴 암호 사용자 저항감 있어서 구현 하기 어렵게 입증 되었습니다 하는 경우에는 사용자가 구현할 수 있습니다 비교적 핀 이나 암호 없이 무작위 또는 무지개 테이블 공격에 감염 되지 자격 증명 메커니즘을 제공 합니다. 스마트 카드 핀 자격 증명 해시 수 여전히에 스마트 카드에 사용 된 인증 컴퓨터에서 보호 된 LSASS 메모리에 저장할 수 있지만 지역 삼로 데이터베이스 또는 Active Directory에을 저장 되지 않습니다.

VIP 계정에 대 한 추가 컨트롤

스마트 카드 또는 다른 인증 인증서 기반 메커니즘 구현 하는 다른 장점은 인증 VIP 사용자가 액세스할 수 있는 중요 한 데이터를 보호 하기 위해 메커니즘 보증을 활용 하는 기능입니다. Windows Server 2008 R2 또는 Windows Server 2012 기능 수준을 설정 되어 있는 도메인 인증 메커니즘 보증을 사용할 수 있습니다. 활성화 되 면 사용자의 자격 증명 인증서 기반 로그온 방법을 사용 하 여 로그온 할 때 인증 된 경우 인증 메커니즘 보증 Kerberos 토큰 사용자의에 글로벌 그룹 관리자 지정 구성원을 추가 합니다.

이렇게 하면 리소스 관리자 파일, 폴더 및 사용자가 사용 되는 인증서 종류 뿐 아니라는 인증서 로그온 방법을 사용 하 여 로그온 있는지 여부에 따라 프린터 등 리소스에 대 한 액세스를 제어할 수 있습니다. 예를 들어, 사용자가 스마트 카드를 사용 하 여 로그온 할 때 사용자의 네트워크 리소스에 대 한 액세스로 지정할 수 있습니다 다른 사용자 스마트 카드를 사용 하지 않는 경우는 어떤의 액세스 로부터 (즉, 사용자가 로그온 할 때 사용자 이름 및 암호를 입력 하 여). 인증 메커니즘 보증에 대 한 자세한 내용은 참조는 인증 메커니즘 보증에 대 한 AD DS Windows Server 2008 r 2에서 Step-by-Step 가이드합니다.

권한 계정 인증 구성

사용 하도록 설정 관리 모든 계정에 대 한 Active Directory에는 스마트 카드 로그온 필요 특성과 최소한는, 변경에 대 한 감사에 있는 특성 중 하나는 계정 관리 사용자 개체 계정 (예: cn, 이름, sAMAccountName, 파티션에서, 및 userAccountControl)를 탭 합니다.

설정에서 스마트 카드 로그온 필요 계정에 120 문자 임의의 값 계정 암호 다시 설정 하 고 필요 수 있게 하는 계정에 암호를 변경 하려면 사용 권한이 있는 사용자가 스마트 카드 로그온 대화형에 특성도 덮어쓰여집니다 수와 계정의 사용자 이름 및 암호와 대화형 로그온 설정에 사용할 수 있습니다.

Active Directory 및 인증서 설정의 계정 구성에 따라 다른 경우에서 Active Directory 인증서 서비스 (AD CS) 또는 제 3 자 PKI 사용자 이름 UPN (계정) 특성을 관리 하거나 여기에 설명 된 대로 대 한 특정 종류의 공격을 VIP 계정 대상으로 지정할 수 있습니다.

인증서 위장에 대 한 UPN 가로채기

공격 (Pki) 공개 키 인프라에 대해 확실 한 토론은 되지만이 문서의 범위를 벗어나는, 공개 및 개인 Pki 공격은 2008 이후로 상당히 증가 했습니다. 조직 내부 PKI 공격은 훨씬 더 자주 아마도 있지만 공개 Pki 위반 있는 된 광범위 하 게 사실이 공개 되, 있습니다. 이러한 하나 공격 하 하기 어려운 문제 이므로 될 수 있는 방식에 다른 계정 자격 증명 수 있도록 Active Directory 및 인증서를 활용 합니다.

도메인 가입 시스템에는 인증을 위한 인증서 나타나면의 제목 또는 주체 대신 이름 (산) 특성 인증서에 내용은 인증서 Active directory에서 개체를 사용자에 매핑되며 하는 데 사용 됩니다. 인증서 하 고 구성 하는 방법을 유형에 따라 인증서에 주제 특성 일반적으로 사용자의 일반적인 이름이 포함 (CN) 다음 화면에 표시 된 대로 됩니다.

최소 영광 관리자 모델

기본적으로 Active Directory 이름은 계정을 연결 하 여 사용자의 CN를 생성 + "" + 성과 이름입니다. 그러나 사용자 Active Directory 개체의 CN 구성 요소 필요 하거나, 고유한 하지 고 이전 스크린샷 아래쪽 창에 표시 된 대로 전체 경로 디렉터리의 개체를는 계정 고유 이름을 (DN) 변경 사용자 계정 디렉터리의 다른 위치로 이동 합니다.

인증서 주제 이름 되지 않을 수도 정적 또는 고유한을 하기 때문에 대상 대체 이름의 내용은 Active Directory에 사용자 개체 찾습니다 자주 사용 됩니다. (Active Directory CAs 통합) 사용자에 게 엔터프라이즈 인증 기관에서 발급 된 인증서에 대 한 산 특성 일반적으로 사용자의 UPN 또는 메일 주소를 포함 합니다. Upn 항상에 고유 하 게 하는 것은 때문에 AD DS UPN 하 여 사용자 개체 찾기 숲은 일반적으로 인증 된 또는 인증서를 인증 프로세스에 참여 하지 않고의 일환으로 수행 됩니다.

사기 인증서를 얻는 공격자가 Upn 산 특성 인증 인증서의 사용을 활용할 수 있습니다. 공격자가 계정을 읽고 사용자 개체 Upn 쓸 수 있는 손상, 공격 다음과 같이 구현 됩니다.

(예: VIP 사용자) 사용자 개체 upn 다른 값을 일시적으로 변경 됩니다. 이 일반적으로 하지 앞에서 설명한 것 같은 이유로 필요한 삼로 계정 이름 특성과 CN 지금은 변경할 수도 있습니다.

대상 계정에 upn 변경 된 경우, 오래 된, 사용 가능한 사용자 계정이 나 갓 만든된 사용자 계정의 UPN 특성 원래 대상 계정에 할당 된 값으로 변경 됩니다. 오래 된, 사용 가능한 사용자 계정이 되는 오랜 시간 동안 로그온 하지는 않지만 해제 하지 않은 계정 합니다. 숨기지 "일반 광경의" 다음과 같은 이유로 침입자 대상으로 지정 됩니다.

  1. 계정을 사용 하지만 최근에 사용 되지 않았음을 하기 때문에 계정을 사용 하 여 어렵습니다 트리거 경고를 방식으로 돋보기를 사용할 수 없는 사용자 계정을 사용할 수 있게 될 수 있습니다.

  2. 기존 계정 사용 하는 관리 담당자가 발견 되지 않을 수 있는 새로운 사용자 계정 만들기가 필요 하지 않습니다.

  3. 오래 된 사용자 계정 계속 사용할 수 있는 다양 한 보안 그룹의 회원은 일반적으로 및 리소스에는 네트워크 액세스를 단순화 하 고 "혼합" 기존 사용자 들을 액세스 권한이 부여 됩니다.

사용자 계정에서 하나 이상의 인증서를 요청을 사용 하는 UPN 구성 되어 이제 대상에 Active Directory 인증서 서비스 합니다.

자신의 계정에 대 한 인증서를 받은 경우 "새"는 계정 및 대상 계정에서 Upn 원래 값을 반환 됩니다.

공격자가 사용자가 VIP 사용자 계정이 일시적으로 수정 하는 경우 인증 리소스와 응용 프로그램을 유지할 수 있는 하나 이상의 인증서 되었습니다. 모든는 인증서 및 PKI 수 있는 대상으로 공격자 하는 방법에 대 한 자세한 내용은이 문서의 범위를 벗어나는 이지만이 공격 메커니즘 권한 및 VIP 계정에서 모니터링 해야 하는 이유를 설명 하기 위해 제공 됩니다 AD DS 특히에 있는 특성 중 하나에 대 한 변경에 대 한 변경 내용에 대 한는 계정 (예: 계정에 대해 탭 cn, 이름, sAMAccountName, 파티션에서, 및 userAccountControl). 계정 모니터링, 뿐 아니라 작은으로 계정에 가능한 관리자가 사용자의 집합을 수정할 수 있는 사용자만 해야 합니다. 마찬가지로, 관리자가 사용자의 계정은 보호 되 고 무단으로 변경 모니터링할 해야 합니다.

© 2017 Microsoft