Table of contents
TOC
콘텐츠의 테이블 축소
콘텐츠의 테이블 확장

보호된 계정을 구성하는 방법

Corey Plett|마지막 업데이트: 2016-12-06
|
1 기고자

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

PtH(Pass-the-hash) 공격을 통해 공격자는 사용자 암호(또는 다른 자격 증명 파생물)의 기본 NTLM 해시를 사용하여 원격 서버 또는 서비스에서 인증을 받을 수 있습니다. Microsoft는 이전에 지침 게시 해시를 통과 공격 완화 합니다. Windows Server 2012 r 2에는 이러한 공격을 추가로 위험을 완화 하려면 새로운 기능이 있습니다. 자격 증명 도난 으로부터 보호 하는 데 다른 보안 기능에 대 한 자세한 내용은 참조 자격 증명 보호 및 관리. 이 항목에서는 다음과 같은 새로운 기능을 구성하는 방법에 대해 설명합니다.

Windows 8.1 및 Windows Server 2012 R2에는 자격 증명 도난을 방지하는 데 도움이 되는 추가 완화 기능이 기본 제공되며, 이러한 기능은 다음 항목에서 다룹니다.

보호된 사용자

보호된 사용자는 새 사용자 또는 기존 사용자를 추가할 수 있는 새로운 글로벌 보안 그룹입니다. Windows 8.1 장치 및 Windows Server 2012 R2 호스트는 자격 증명 도난 방지 보호를 제공 하는이 그룹의 멤버와 특수 한 동작이 있습니다. 그룹의 멤버에 대 한 Windows 8.1 장치 또는 Windows Server 2012 R2 호스트에 보호 된 사용자에 대 한 지원 되지 않는 자격 증명을 캐시 있을 하지 않습니다. 이 그룹의 구성원 Windows 8.1 이전 버전의 Windows 실행 하는 장치에 로그온 한 경우 추가 보호 없이 보유 합니다.

사용자는 로그인에 대 한 Windows 8.1 장치 그룹 보호 사용자의 구성원 및 Windows Server 2012 R2 호스트 수 더 이상 사용 합니다.

  • 기본 자격 증명 위임(CredSSP) - 일반 텍스트 자격 증명이 캐시되지 않으며, 이는 기본 자격 증명 위임 허용 정책을 사용하는 경우에도 마찬가지입니다.

  • Windows 다이제스트 - 일반 텍스트 자격 증명이 캐시되지 않으며, 이는 일반 텍스트 자격 증명을 사용하도록 설정한 경우에도 마찬가지입니다.

  • NTLM - NTOWF가 캐시되지 않습니다.

  • Kerberos 장기 키 - Kerberos TGT(Ticket-Granting Ticket)를 로그온 시 얻을 수 있으며, 자동으로 다시 얻을 수 없습니다.

  • 오프라인 로그온 - 캐시된 로그온 검증 도구가 생성되지 않습니다.

도메인 기능 수준이 Windows Server 2012 r 2 인 경우 그룹의 구성원은 더 이상 수: 없습니다

  • NTLM 인증을 사용한 인증

  • Kerberos 사전 인증에 DES(데이터 암호화 표준) 또는 RC4 암호 그룹 사용

  • 제한 없는 위임 또는 제한된 위임을 사용한 위임

  • 초기 4시간의 수명이 지난 후 사용자 티켓(TGT) 갱신

사용할 수 있는 사용자 그룹에 추가할 UI 도구 Active Directory 관리 센터 (ADAC) 또는 Active Directory 사용자 및 컴퓨터와 같은 명령줄 도구와 같은 Dsmod 그룹, 또는 Windows PowerShell추가 ADGroupMember cmdlet. 서비스 및 컴퓨터 계정은 보호된 사용자 그룹의 구성원이 될 수 없습니다. 암호 또는 인증서를 호스트에서 항상 사용할 수 있으므로, 이러한 계정의 구성원 자격에는 로컬 보호 기능이 제공되지 않습니다.

경고

인증 제한은 피할 수 있는 방법이 없습니다. 즉, Enterprise Admins 그룹 또는 Domain Admins 그룹과 같은 매우 강력한 권한의 그룹 구성원에게도 보호된 사용자 그룹의 다른 구성원과 동일한 제한이 적용됩니다. 이러한 그룹의 모든 구성원이 보호된 사용자 그룹에 추가된 경우 해당 계정이 모두 잠길 수 있습니다. 따라서 잠재적 영향을 철저히 테스트할 때까지 매우 강력한 권한의 계정을 보호된 사용자 그룹에 추가해서는 안 됩니다.

보호된 사용자 그룹의 구성원은 AES(고급 암호화 표준)와 함께 Kerberos를 사용하여 인증할 수 있어야 합니다. 이 방법에는 Active Directory의 계정에 대한 AES 키가 필요합니다. 기본 제공 관리자 없는 AES 키 암호가 변경 된 Windows Server 2008을 실행 하는 도메인 컨트롤러에 이상이 아닌 경우. 또한 이전 버전의 Windows Server를 실행하는 도메인 컨트롤러에서 암호가 변경된 계정은 모두 잠깁니다. 따라서 다음 모범 사례를 따라야 합니다.

  • 하지 않으면 도메인에서 테스트 하지 마십시오 모든 도메인 컨트롤러 실행 Windows Server 2008 이상.

  • 도메인이 생성되기 이전에 만들어진 모든 도메인 계정의 암호를 변경하세요. 그러지 않으면 이러한 계정을 인증할 수 없습니다.

  • 암호 변경 보호 사용자 계정을 추가 하기 전에 각 사용자에 대 한 그룹 또는 Windows Server 2008를 실행 하는 도메인 컨트롤러에서 최근에 변경 된 이상 암호 실행 되었음을 확인 합니다.

보호된 계정 사용을 위한 요구 사항

보호된 계정에는 다음과 같은 배포 요구 사항이 있습니다.

  • 호스트는 보호 된 사용자에 대 한 클라이언트 쪽 제한을 제공 하려면 Windows 8.1 또는 Windows Server 2012 r 2를 실행 해야 합니다. 사용자는 보호된 사용자 그룹의 구성원 계정으로만 로그온해야 합니다. 이 경우 여 보호 사용자 그룹을 만들 수 있습니다 주 도메인 컨트롤러 (PDC) 에뮬레이터 역할 전송 Windows Server 2012 r 2를 실행 하는 도메인 컨트롤러에 있습니다. 해당 그룹 개체를 다른 도메인 컨트롤러에 복제한 후 이전 버전의 Windows Server를 실행하는 도메인 컨트롤러에서 PDC 에뮬레이터 역할을 호스트할 수 있습니다.

  • NTLM 인증 사용을 제한 하는 것을 하는 보호 된 사용자에 대 한 도메인 컨트롤러 쪽 제한 및 기타 제약을 제공 하려면 도메인 기능 수준이 Windows Server 2012 r 2 이어야 합니다. 기능 수준에 대 한 자세한 내용은 참조 [기능 수준 이해 Active Directory 도메인 서비스 (AD DS)] (http://technet.microsoft.com/library/understanding-active-directory-functional-levels(v=WS.10.aspx.

보호된 사용자와 관련된 이벤트 문제 해결

이 섹션에서는 보호된 사용자와 관련된 이벤트 문제를 해결하는 데 도움이 되는 새로운 로그 및 보호된 사용자가 TGT(Ticket-Granting Ticket) 만료 또는 위임 문제를 해결하기 위한 변경 사항에 미치는 영향에 대해 알아봅니다.

보호된 사용자에 대한 새로운 로그

두 개의 새 작업 관리 로그 보호 사용자에 게 관련 이벤트는 문제를 해결 하기 위해 사용할 수 있는: 보호 사용자??? 클라이언트 로그 및 보호 사용자 오류??? 도메인 컨트롤러 로그입니다. 이러한 새 로그는 이벤트 뷰어에 있으며 기본적으로 사용되지 않습니다. 로그를 사용하려면 응용 프로그램 및 서비스 로그, Microsoft, Windows, 인증을 차례로 클릭하고 로그 이름을 클릭한 다음 작업을 클릭(또는 로그를 마우스 오른쪽 단추로 클릭)하고 로그 사용을 클릭합니다.

이러한 로그의 이벤트에 대 한 자세한 내용은 참조 인증 정책 및 인증 정책 사일로.

TGT 만료 문제 해결

일반적으로 도메인 컨트롤러는 다음 그룹 정책 관리 편집기 창에 표시된 대로 도메인 정책을 기반으로 TGT 수명 및 갱신을 설정합니다.

도메인 컨트롤러 TGT 수명 및 도메인 정책에 따라 갱신을 설정 하는 방법을 보여 주는 그룹 정책 관리 편집기 창의 스크린샷

보호된 사용자에 대해 다음 설정이 하드 코드됩니다.

  • 사용자 티켓 최대 수명: 240분

  • 사용자 티켓 갱신 최대 수명: 240분

위임 문제 해결

이전에는 Kerberos 위임을 사용하는 기술이 실패한 경우 클라이언트 계정을 검사하여 계정이 민감하여 위임할 수 없음이 설정되어 있는지 확인했습니다. 그러나 계정이 보호된 사용자의 구성원인 경우 ADAC(Active Directory 관리 센터)에 이 설정이 구성되어 있지 않을 수 있습니다. 따라서 위임 문제를 해결할 때 설정 및 그룹 구성원 자격을 확인해야 합니다.

확인 하는 위치를 보여 주는 스크린샷 * * 계정이 민감하여 위임할 수 없음 * * UI 요소

인증 시도 감사

보호된 사용자 그룹의 구성원에 대한 인증 시도를 명시적으로 감사하기 위해 보안 로그 감사 이벤트를 계속 명시적으로 수집하거나 새로운 작업 관리 로그에서 데이터를 수집할 수 있습니다. 이러한 이벤트에 대 한 자세한 내용은 참조 인증 정책 및 인증 정책 사일로

서비스 및 컴퓨터에 대한 DC 쪽 보호 제공

서비스 및 컴퓨터 계정은 보호된 사용자의 구성원일 수 없습니다. 이 섹션에서는 이러한 계정에 제공할 수 있는 도메인 컨트롤러 기반 보호에 대해 설명합니다.

  • NTLM 인증 거부: 통해 구성 가능한만 NTLM 블록 정책

  • Kerberos 사전 인증에서 표준 DES (데이터 암호화)를 거부: Windows Server 2012 R2 도메인 컨트롤러가 Kerberos와 함께 릴리스된 Windows의 모든 버전에는 또한 RC4 지원 하기 때문에 des 구성 되지 않으면 컴퓨터 계정에 대해 DES를 허용 하지 않습니다.

  • Kerberos 사전 인증에서 RC4 거부: 구성할 수 없습니다.

    참고

    수 있지만 지원 되는 암호화 유형을 구성을 변경, 대상 환경에서 테스트 하지 않고 컴퓨터 계정에 대 한 해당 설정을 변경 하는 좋지 않습니다.

  • 초기 4시간으로 사용자 티켓(TGT) 수명 제한: 인증 정책을 사용합니다.

  • 제약이 없는 또는 제한 위임 된 위임 거부: 제한 계정, Active Directory 관리 센터 (ADAC)를 열고는 계정이 민감하여 위임할 수 없음 확인란.

    계정 제한 하는 위치를 보여 주는 스크린샷

인증 정책

인증 정책은 인증 정책 개체를 포함하는 AD DS의 새 컨테이너입니다. 인증 정책에서는 계정에 대한 TGT 수명을 제한하거나 다른 클레임 관련 조건을 추가하는 등 자격 증명 도난에 대한 노출 완화에 도움이 되는 설정을 지정할 수 있습니다.

Windows Server 2012 동적 액세스 제어에는 조직 전체에서 파일 서버를 구성 하는 간편한 방법을 제공 하는 중앙 액세스 정책 이라는 Active Directory 포리스트 범위의 개체 클래스를 도입 했습니다. Windows Server 2012 r 2에서는 인증 정책 (objectClass Msds-authnpolicies) 이라는 새 개체 클래스를 Windows Server 2012 R2 도메인의 계정 클래스에 인증 구성을 적용할 사용할 수 있습니다. Active Directory 계정 클래스는 다음과 같습니다.

  • 사용자

  • 컴퓨터

  • 관리 서비스 계정 및 GMSA(그룹 관리 서비스 계정)

빠른 Kerberos 리프레셔

Kerberos 인증 프로토콜은 하위 프로토콜이라고도 하는 세 가지 유형의 교환 기능으로 구성됩니다.

세 가지 유형의 Kerberos 인증 프로토콜 교환, subprotocols 라고도 보여주는 스크린샷

  • AS(인증 서비스) 교환(KRB_AS_*)

  • TGS(Ticket-Granting Service) 교환(KRB_TGS_*)

  • 클라이언트/서버(AP) 교환(KRB_AP_ *)

AS 교환 위치 클라이언트가 사용 하는 계정의 암호 또는 개인 키를 허용 티켓 (TGT)을 요청 하는 사전 인증자를 만드는 경우 이 교환은 사용자 로그온 시 또는 서비스 티켓이 처음 필요할 때 발생합니다.

TGS 교환에서는 계정의 TGT 서비스 티켓을 요청 하는 인증자를 만드는 데 사용 되는 위치입니다. 이 교환은 인증된 연결이 필요할 때 발생합니다.

AP 교환은 응용 프로그램 프로토콜 내부의 데이터처럼 일반적으로 발생하며 인증 정책의 영향을 받지 않습니다.

자세한 내용은 [the Kerberos 버전 5 인증 프로토콜 작동 방법] (http://technet.microsoft.com/library/cc772815(v=WS.10.aspx.을 참조 하세요.

개요

인증 정책은 계정에 구성 가능한 제한을 적용할 수 있는 방법을 제공하고 서비스 및 컴퓨터 계정에 대한 제한을 제공하여 보호된 사용자를 보완합니다. 인증 정책은 AS 교환 또는 TGS 교환 중에 적용됩니다.

다음을 구성하여 초기 인증 또는 AS 교환을 제한할 수 있습니다.

  • TGT 수명

  • 사용자 로그온을 제한하는 액세스 제어 조건(AS 교환을 보내는 장치에서 이 조건을 충족해야 함)

사용자 로그온 제한 하는 TGT 수명 및 액세스 제어 조건을 구성 하 여 초기 인증을 제한 하는 방법을 보여 주는 스크린샷

다음을 구성하여 TGS(Ticket-Granting Service) 교환을 통한 서비스 티켓 요청을 제한할 수 있습니다.

  • TGS 교환을 보내는 장치 또는 클라이언트(사용자, 서비스, 컴퓨터)에서 충족해야 하는 액세스 제어 조건

인증 정책 사용을 위한 요구 사항

정책요구 사항
사용자 지정 TGT 수명 제공Windows Server 2012 R2 도메인 기능 수준 계정 도메인
사용자 로그온 제한-동적 액세스 제어 지원 Windows Server 2012 R2 도메인 기능 수준 계정 도메인
Windows 8, Windows 8.1, Windows Server 2012 또는 Windows Server 2012 R2 동적 액세스 제어 장치 지원
사용자 계정 및 보안 그룹을 기반으로 하는 서비스 티켓 발급 제한Windows Server 2012 R2 도메인 기능 수준 리소스 도메인
사용자 클레임이나 장치 계정, 보안 그룹 또는 클레임을 기반으로 하는 서비스 티켓 발급 제한동적 액세스 제어를 사용한 Windows Server 2012 R2 도메인 기능 수준 리소스 도메인 지원

특정 장치 및 호스트로 사용자 계정 제한

관리자 권한이 있는 중요한 계정은 보호된 사용자 그룹의 구성원이어야 합니다. 기본적으로 보호된 사용자 그룹의 구성원인 계정은 없습니다. 그룹에 계정을 추가하기 전에 도메인 컨트롤러 지원을 구성하고 감사 정책을 만들어 차단 문제가 발생하지 않도록 해야 합니다.

도메인 컨트롤러 지원 구성

사용자의 계정 도메인 (DFL) Windows Server 2012 R2 도메인 기능 수준에 있어야 합니다. 모든 도메인 컨트롤러가 Windows Server 2012 R2 수 있고 Active Directory 도메인 및 트러스트를 사용 하 여 는 DFL 발생 Windows Server 2012 r 2에 있습니다.

동적 액세스 제어 지원을 구성하려면

  1. 기본 도메인 컨트롤러 정책에서 사용을 클릭하여 컴퓨터 구성 | 관리 템플릿 | 시스템 | KDC에서 클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 KDC(키 배포 센터) 클라이언트 지원을 사용하도록 설정합니다.

    기본 도메인 컨트롤러 정책에서 * * 사용 * * 수 있도록 * * 클레임, 복합 인증 및 Kerberos armoring 키 배포 센터 (KDC) 클라이언트 지원을 * * 컴퓨터 구성에서 | 관리 템플릿 | 시스템 | KDC

  2. 옵션 아래의 드롭다운 목록에서 항상 클레임 제공을 선택합니다.

    참고

    Supported 사용자 클레임 기반 액세스 확인 비 클레임 인식 장치를 사용할 때 발생 하 고 클레임 인식 서비스에 연결할 호스트 클레임 하면 도메인에 Windows Server 2012 R2 DFL, Dc 항상 것 이므로 제공 하지만 구성할 수도 있습니다.

    아래 * * 옵션 * *, 드롭다운 목록 상자에서 선택 * * 항상 청구를 제공 합니다.

    경고

    구성 무방비 인증 요청이 실패 지 원하는 명시적으로 구성 하지 않은 Windows 8부터 운영 체제 또는 Windows 7 및 이전 운영 체제와 같은 Kerberos armoring 지원 하지 않는 모든 운영 체제에서 인증 오류가 발생 합니다.

ADAC를 사용하여 인증 정책에 대한 사용자 계정 감사 만들기

  1. ADAC(Active Directory 관리 센터)를 엽니다.

    Active Directory 관리 센터를 보여주는 스크린샷

    참고

    선택한 인증 노드는 Windows Server 2012 R2 DFL에는 도메인에 대 한 표시 합니다. 노드가 표시 되지 않는 경우 다시 시도 Windows Server 2012 R2 DFL에 있는 도메인에서 도메인 관리자 계정을 사용 하 여 합니다.

  2. 인증 정책을 클릭한 다음 새로 만들기를 클릭하여 새 정책을 만듭니다.

    Authentication Policies

    인증 정책은 표시 이름이 있어야 하며 기본적으로 적용됩니다.

  3. 감사 전용 정책을 만들려면 감사 정책 제한만을 클릭합니다.

    정책 제한을 감사만

    인증 정책은 Active Directory 계정 유형에 따라 적용됩니다. 각 유형에 대한 설정을 구성하여 세 가지 계정 유형 모두에 단일 정책을 적용할 수 있습니다. 계정 유형은 다음과 같습니다.

    • 사용자

    • 컴퓨터

    • 관리 서비스 계정 및 그룹 관리 서비스 계정

    KDC(키 배포 센터)에서 사용할 수 있는 새 보안 주체로 스키마를 확장한 경우 가장 가까운 파생된 계정 유형에서 새 계정 유형이 분류됩니다.

  4. 사용자 계정에 대한 TGT 수명을 구성하려면 사용자 계정에 대한 허용 티켓 수명을 지정하십시오. 확인란을 선택하고 시간(분)을 입력합니다.

    사용자 계정에 대해 허용 티켓 수명을 지정합니다

    예를 들어 최대 TGT 수명을 10시간으로 지정하려면 그림과 같이 600을 입력합니다. TGT 수명을 구성하지 않으면 계정이 Protected Users 그룹의 구성원인 경우 TGT 수명 및 갱신이 4시간으로 설정됩니다. 그렇지 않으면 기본 설정을 사용하는 도메인에 대한 다음 그룹 정책 관리 편집기 창에 표시된 것처럼 TGT 수명 및 갱신이 도메인 정책을 기반으로 설정됩니다.

    기본 설정 사용 하 여 도메인에 대 한 그룹 정책 관리 편집기 창

  5. 사용자 계정의 장치 선택을 제한하려면 편집을 클릭하여 장치에 필요한 조건을 정의합니다.

    장치를 선택 하려면 사용자 계정을 제한 하려면 클릭 * * 편집 * *

  6. 액세스 제어 조건 편집 창에서 조건 추가를 클릭합니다.

    액세스 제어 조건 편집

컴퓨터 계정 또는 그룹 조건 추가
  1. 컴퓨터 계정 또는 그룹을 구성하려면 드롭다운 목록에서 각 그룹의 구성원 드롭다운 목록 상자를 선택하고 모든 그룹의 구성원으로 변경합니다.

    컴퓨터 계정 또는 그룹을 구성 합니다.

    참고

    이 액세스 제어는 사용자가 로그온하는 장치 또는 호스트의 조건을 정의합니다. 액세스 제어 용어에서 장치 또는 호스트의 컴퓨터 계정은 사용자를 의미하기 때문에 옵션이 사용자뿐입니다.

  2. 항목 추가를 클릭합니다.

    항목을 추가

  3. 개체 유형을 변경하려면 개체 유형을 클릭합니다.

    개체 유형

  4. Active Directory에서 컴퓨터 개체를 선택하려면 컴퓨터를 클릭한 다음 확인을 클릭합니다.

    컴퓨터

  5. 사용자를 제한할 컴퓨터의 이름을 입력하고 이름 확인을 클릭합니다.

    이름을 확인을 클릭 합니다.

  6. 확인을 클릭하고 컴퓨터 계정에 대한 다른 모든 조건을 만듭니다.

    확인을 클릭 하 고 컴퓨터 계정에 대해 다른 조건을 만듭니다

  7. 작업을 마친 경우 확인을 클릭하면 해당 컴퓨터 계정에 대해 정의된 조건이 표시됩니다.

    완료 되 면 클릭 * * 확인 * *

컴퓨터 클레임 조건 추가
  1. 컴퓨터 클레임을 구성하려면 그룹 드롭다운에서 클레임을 선택합니다.

    클레임 컴퓨터를 구성 하려면 드롭다운 그룹을 클레임 선택

    포리스트에 이미 프로비전된 경우에만 클레임을 사용할 수 있습니다.

  2. 사용자 계정의 로그온을 제한하려는 OU의 이름을 입력합니다.

    사용자 계정의 로그온을 제한하려는 OU의 이름을 입력합니다.

  3. 작업을 마친 경우 확인을 클릭하면 상자에 정의된 조건이 표시됩니다.

    확인 클릭을 완료 하면

누락된 컴퓨터 클레임 문제 해결

클레임이 프로비전되어 있지만 사용할 수 없는 경우 컴퓨터 클래스에 대해서만 구성되었기 때문일 수 있습니다.

인증 조직 구성 단위 (ou 조직)에 따라 제한 하려는 이미 구성 된 컴퓨터의 하지만 가정해에 대해서만 컴퓨터 클래스.

에 컴퓨터의 인증 조직 구성 단위 (ou 조직)에 따라 제한 하는 방법을 보여 주는 스크린샷

사용자 로그온을 장치로 제한하는 데 사용할 수 있는 클레임에 대해 사용자 확인란을 선택합니다.

선택 확인 하 여 로그온 장치에 사용자를 제한 하는 방법을 보여 주는 스크린샷 * * 사용자 * * 확인란.

ADAC를 사용하여 인증 정책과 함께 사용자 계정 프로비전

  1. 사용자 계정에서 정책을 클릭합니다.

    * * 계정을 사용자 * * 클릭 * * 정책 * *

  2. 이 계정에 인증 정책을 할당합니다. 확인란을 선택합니다.

    선택은 * *이 계정 * * 확인란에 인증 정책 할당

  3. 그런 다음 사용자에게 적용할 인증 정책을 선택합니다.

    사용자에 게 적용할 인증 정책을 선택합니다

장치 및 호스트에서 동적 액세스 제어 지원 구성

DAC(동적 액세스 제어)를 구성하지 않고 TGT 수명을 구성할 수 있습니다. DAC는 AllowedToAuthenticateFrom 및 AllowedToAuthenticateTo를 확인하는 데에만 필요합니다.

그룹 정책 또는 로컬 그룹 정책 편집기를 사용하여 컴퓨터 구성 | 관리 템플릿 | 시스템 | Kerberos에서 클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 Kerberos 클라이언트 지원을 사용하도록 설정합니다.

그룹 정책 또는 로컬 그룹 정책 편집기를 사용 하는 방법을 보여주는 스크린샷 * * 클레임, 복합 인증 및 Kerberos armoring Kerberos 클라이언트 지원을 * *

인증 정책 문제 해결

인증 정책이 직접 할당된 계정 확인

인증 정책의 계정 섹션에 정책을 직접 적용한 계정이 표시됩니다.

계정 정책 적용 직접 표시 되는 인증 정책에서 계정 섹션의 스크린샷

인증 정책 실패를 사용 하 여??? 도메인 컨트롤러 관리 로그

인증 정책 오류??? 도메인 컨트롤러 아래에 관리 로그 응용 프로그램 및 서비스 로그 > Microsoft > Windows > 인증 인증 정책 오류 검색을 쉽게 하기 위해 생성 되었습니다. 이 로그는 기본적으로 사용되지 않습니다. 사용하려면 로그 이름을 마우스 오른쪽 단추로 클릭한 다음 로그 사용을 클릭합니다. 새 이벤트는 기존 Kerberos TGT 및 서비스 티켓 감사 이벤트와 내용이 매우 유사합니다. 이러한 이벤트에 대 한 자세한 내용은 참조 인증 정책 및 인증 정책 사일로.

Windows PowerShell을 사용하여 인증 정책 관리

다음 명령은 TestAuthenticationPolicy라는 인증 정책을 만듭니다. UserAllowedToAuthenticateFrom 매개 변수는 사용자가 someFile.txt 파일의 SDDL 문자열로 인증할 수 있는 장치를 지정합니다.

PS C:\> New-ADAuthenticationPolicy testAuthenticationPolicy -UserAllowedToAuthenticateFrom (Get-Acl .\someFile.txt).sddl  

다음 명령은 Filter 매개 변수에 지정된 필터와 일치하는 모든 인증 정책을 가져옵니다.

PS C:\> Get-ADAuthenticationPolicy -Filter "Name -like 'testADAuthenticationPolicy*'" -Server Server02.Contoso.com  

다음 명령은 지정된 인증 정책의 UserTGTLifetimeMins 속성 및 설명을 수정합니다.

PS C:\> Set-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1 -Description "Description" -UserTGTLifetimeMins 45  

다음 명령은 Identity 매개 변수에 지정된 인증 정책을 제거합니다.

PS C:\> Remove-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1  

다음 명령은 Get-ADAuthenticationPolicy cmdlet에서 Filter 매개 변수를 사용하여, 적용되지 않은 모든 인증 정책을 가져옵니다. 결과 집합은 Remove-ADAuthenticationPolicy cmdlet으로 파이프됩니다.

PS C:\> Get-ADAuthenticationPolicy -Filter 'Enforce -eq $false' | Remove-ADAuthenticationPolicy  

인증 정책 사일로

인증 정책 사일로는 사용자, 컴퓨터 및 서비스 계정에 대한 AD DS의 새 컨테이너(objectClass AuthNPolicySilos)로서, 중요한 계정을 보호하도록 도와줍니다. 모든 조직에서는 Enterprise Admins, Domain Admins 및 Schema Admins 그룹의 구성원(이러한 계정은 공격자가 포리스트의 모든 항목에 액세스하는 데 악용될 수 있기 때문)을 보호해야 하지만 다른 계정도 보호해야 할 수 있습니다.

일부 조직에서는 조직에 고유한 계정을 만들고 그룹 정책 설정을 적용하여 로컬 및 원격 대화형 로그온 및 관리 권한을 제한하는 방식으로 작업을 격리합니다. 인증 정책 사일로는 사용자, 컴퓨터 및 관리 서비스 계정 간의 관계를 정의하는 방법을 만들어 이러한 작업을 보완합니다. 계정은 하나의 사일로에만 속할 수 있습니다. 각 유형의 계정에 대한 인증 정책을 구성하여 다음을 제어할 수 있습니다.

  1. 갱신할 수 없는 TGT 수명

  2. TGT 반환에 대한 액세스 제어 조건(참고: Kerberos 아머링(armoring)이 필요하므로 시스템에 적용할 수 없음)

  3. 서비스 티켓 반환에 대한 액세스 제어 조건

또한 인증 정책 사일로의 계정에는 파일 서버와 같은 클레임 인식 리소스가 액세스를 제어하는 데 사용할 수 있는 사일로 클레임이 있습니다.

새 보안 설명자를 구성하여 다음을 기반으로 서비스 티켓 발급을 제어할 수 있습니다.

  • 사용자, 사용자의 보안 그룹 및/또는 사용자의 클레임

  • 장치, 장치의 보안 그룹 및/또는 장치의 클레임

리소스의 Dc로이 정보를 가져오는 동적 액세스 제어가 필요 합니다.

  • 사용자 클레임:

    • 동적 액세스 제어를 지원하는 Windows 8 이상의 클라이언트

    • 동적 액세스 제어 및 클레임을 지원하는 계정 도메인

  • 장치 및/또는 장치 보안 그룹:

    • 동적 액세스 제어를 지원하는 Windows 8 이상의 클라이언트

    • 복합 인증에 대해 구성된 리소스

  • 장치 클레임:

    • 동적 액세스 제어를 지원하는 Windows 8 이상의 클라이언트

    • 동적 액세스 제어 및 클레임을 지원하는 장치 도메인

    • 복합 인증에 대해 구성된 리소스

개별 계정 대신 인증 정책 사일로의 모든 구성원에 인증 정책을 적용하거나, 사일로 내의 여러 계정 유형에 별도의 인증 정책을 적용할 수 있습니다. 예를 들어 매우 강력한 권한의 사용자 계정에 하나의 인증 정책을 적용하고, 서비스 계정에 다른 정책을 적용할 수 있습니다. 인증 정책 사일로를 만들려면 먼저 인증 정책을 하나 이상 만들어야 합니다.

참고

인증 정책 사일로의 구성원에 인증 정책을 적용하거나, 사일로에 독립적으로 인증 정책을 적용하여 특정 계정 범위를 제한할 수 있습니다. 예를 들어 단일 계정 또는 소수의 계정을 보호하려는 경우 이러한 계정을 사일로에 추가하지 않고 해당 계정에 대한 정책을 설정할 수 있습니다.

Active Directory 관리 센터 또는 Windows PowerShell을 사용 하 여 인증 정책 사일로 만들 수 있습니다. 기본적으로 인증 정책 사일로 감사 사일로 정책 값은 지정 하는 WhatIf Windows PowerShell cmdlet에 대 한 매개 변수입니다. 이 경우에는 정책 사일로 제한이 적용되지 않지만, 제한이 적용되는 경우 오류 발생 여부를 나타내기 위해 감사가 생성됩니다.

Active Directory 관리 센터를 사용하여 인증 정책 사일로를 만들려면

  1. Active Directory 관리 센터를 열고 인증을 클릭한 다음 인증 정책 사일로를 마우스 오른쪽 단추로 클릭하고 새로 만들기, 인증 정책 사일로를 차례로 클릭합니다.

    열기 * * Active Directory 관리 센터 * *, 클릭 * * 인증 * * 마우스 오른쪽 단추로 클릭 * * 인증 정책 사일로 * *, 클릭 * * 새로 * * 및 클릭 * * 인증 정책 사일로 * *

  2. 표시 이름에 사일로의 이름을 입력합니다. 허용된 계정에서 추가를 클릭하고 계정의 이름을 입력한 다음 확인을 클릭합니다. 사용자, 컴퓨터 또는 서비스 계정을 지정할 수 있습니다. 그런 다음 모든 보안 주체에 단일 정책을 사용할지 또는 각 유형의 보안 주체에 별도의 정책을 사용할지 지정하고 정책의 이름을 지정합니다.

    * * 표시 이름 * * 기지의 이름을 입력 합니다. * * 허용 계정 * *, 클릭 * * 추가 * *는 계정의 이름을 입력 한 다음 클릭 * * 확인 * *

Windows PowerShell을 사용하여 인증 정책 사일로 관리

다음 명령은 인증 정책 사일로 개체를 만들고 적용합니다.

PS C:\>New-ADAuthenticationPolicySilo -Name newSilo ???Enforce  

다음 명령은 Filter 매개 변수에 지정된 필터와 일치하는 모든 인증 정책 사일로를 가져옵니다. 그런 다음 출력을 Format-Table cmdlet으로 전달하여 정책의 이름과 각 정책에 대한 Enforce 값을 표시합니다.

PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Name -like "*silo*"' | Format-Table Name, Enforce ???AutoSize  

Name  Enforce  
--  ----  
silo     True  
silos   False  

다음 명령은 Get-ADAuthenticationPolicySilo cmdlet에서 Filter 매개 변수를 사용하여, 적용되지 않은 모든 인증 정책 사일로를 가져오고 필터 결과를 Remove-ADAuthenticationPolicySilo cmdlet으로 파이프됩니다.

PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Enforce -eq $False' | Remove-ADAuthenticationPolicySilo  

다음 명령은 User01이라는 사용자 계정에 Silo라는 인증 정책 사일로에 대한 액세스 권한을 부여합니다.

PS C:\>Grant-ADAuthenticationPolicySiloAccess -Identity Silo -Account User01  

다음 명령은 User01이라는 사용자 계정에 대해 Silo라는 인증 정책 사일로에 대한 액세스 권한을 거부합니다. Confirm 매개 변수가 $False로 설정되어 있으므로 확인 메시지는 나타나지 않습니다.

PS C:\>Revoke-ADAuthenticationPolicySiloAccess ???Identity Silo ???Account User01 ???Confirm:$False  

다음 예제에서는 먼저 Get-ADComputer cmdlet을 사용하여 Filter 매개 변수에 지정된 필터와 일치하는 모든 컴퓨터 계정을 가져옵니다. 이 명령의 출력을 Set-ADAccountAuthenticatinPolicySilo로 전달하여 해당 계정에 Silo라는 인증 정책 사일로 및 AuthenticationPolicy02라는 인증 정책을 할당합니다.

PS C:\>Get-ADComputer ???Filter 'Name ???like "newComputer*"' | Set-ADAccountAuthenticationPolicySilo ???AuthenticationPolicySilo Silo ???AuthenticationPolicy AuthenticationPolicy02  
© 2017 Microsoft