Active Directory로 온-프레미스 컴퓨터 계정 보안
컴퓨터 계정 또는 LocalSystem 계정은 로컬 컴퓨터의 거의 모든 리소스에 액세스할 수 있는 높은 권한의 계정입니다. 계정은 로그온한 사용자 계정과 연결되지 않습니다. LocalSystem으로 실행되는 서비스는 원격 서버에 컴퓨터의 자격 증명을 <domain_name>\\<computer_name>$ 형식으로 제공하여 네트워크 리소스에 액세스합니다. 컴퓨터 계정 미리 정의된 이름은 NT AUTHORITY\SYSTEM입니다. 서비스를 시작하고 해당 서비스에 대한 보안 컨텍스트를 제공할 수 있습니다.
컴퓨터 계정을 사용하는 이점
컴퓨터 계정은 다음과 같은 이점을 제공합니다.
- 무제한 로컬 액세스 - 컴퓨터 계정은 컴퓨터의 로컬 리소스에 대한 완전한 액세스를 제공합니다.
- 자동 암호 관리 - 수동으로 암호를 변경할 필요가 없습니다. 이 계정은 Active Directory의 멤버이며 암호가 자동으로 변경됩니다. 컴퓨터 계정을 사용하면 서비스 주체 이름을 등록할 필요가 없습니다.
- 제한된 컴퓨터 외부 액세스 권한 - AD DS(Active Directory Domain Services)의 기본 액세스 제어 목록은 컴퓨터 계정에 대해 최소한의 액세스를 허용합니다. 권한이 없는 사용자가 액세스하는 동안 네트워크 리소스에 대한 서비스 액세스가 제한됩니다.
컴퓨터 계정 보안 태세 평가
다음 표를 사용하여 잠재적인 컴퓨터 계정 문제 및 완화를 검토합니다.
| 컴퓨터 계정 문제 | 완화 방법 |
|---|---|
| 컴퓨터가 도메인에서 탈퇴 후 다시 참가하면 컴퓨터 계정은 삭제 후 다시 만들어집니다. | Active Directory 그룹에 컴퓨터를 추가하기 위한 요구 사항을 확인합니다. 그룹에 추가된 컴퓨터 계정을 확인하려면 다음 섹션의 스크립트를 사용합니다. |
| 그룹에 컴퓨터 계정을 추가하면 해당 컴퓨터에서 LocalSystem으로 실행되는 서비스에 그룹 액세스 권한이 부여됩니다. | 컴퓨터 계정 그룹 멤버 자격에 대해 선택적이어야 합니다. 컴퓨터 계정을 도메인 관리자 그룹의 멤버로 만들지 마세요. 연결된 서비스에는 AD DS에 대한 완전한 액세스 권한이 있습니다. |
| LocalSystem의 네트워크 기본값이 잘못되었습니다. | 컴퓨터 계정에 네트워크 리소스에 대한 제한된 기본 액세스 권한이 있다고 가정하지 마세요. 대신 계정에 대한 그룹 멤버 자격을 확인합니다. |
| LocalSystem으로 실행되는 알 수 없는 서비스입니다. | LocalSystem 계정에서 실행되는 서비스가 Microsoft 서비스 또는 신뢰할 수 있는 서비스인지 확인하세요. |
서비스 및 컴퓨터 계정 찾기
컴퓨터 계정에서 실행되는 서비스를 찾으려면 다음 PowerShell cmdlet을 사용합니다.
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
특정 그룹의 멤버인 컴퓨터 계정을 찾으려면 다음 PowerShell cmdlet을 실행합니다.
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
ID 관리자 그룹의 멤버(도메인 관리자, 엔터프라이즈 관리자, 관리자)인 컴퓨터 계정을 찾으려면 다음 PowerShell cmdlet을 실행합니다.
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
컴퓨터 계정 권장 사항
Important
컴퓨터 계정은 높은 권한의 계정이므로 서비스에서 컴퓨터의 로컬 리소스에 대한 무제한 액세스 권한을 필요로 하는 경우에만 사용해야 하며, MSA(관리 서비스 계정)를 사용할 수 없습니다.
- 서비스 소유자의 서비스가 MSA를 사용하여 실행되는지 확인
- 서비스에서 지원하는 경우 gMSA(그룹 관리 서비스 계정) 또는 sMSA(독립 실행형 관리 서비스 계정) 사용
- 서비스를 실행하는 데 필요한 사용 권한이 있는 도메인 사용자 계정 사용
다음 단계
서비스 계정을 보호하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.