그룹 관리 서비스 계정 보안
gMSA(그룹 관리 서비스 계정)는 서비스를 보호하는 데 도움이 되는 도메인 계정입니다. gMSA는 단일 서버 또는 서버 팜(예: 네트워크 부하 분산 또는 IIS(인터넷 정보 서비스) 서버 내부의 시스템)에서 실행할 수 있습니다. gMSA 보안 주체를 사용하도록 서비스를 구성한 경우 Windows OS(운영 체제)에서 계정 암호 관리를 처리합니다.
gMSA의 이점
gMSA는 관리 오버헤드를 줄이는 데 도움이 되는 보안이 강화된 ID 솔루션입니다.
- 강력한 암호 설정 - 240바이트, 임의로 생성된 암호입니다. gMSA 암호의 복잡성과 길이는 무차별 암호 대입 또는 사전 공격에 의한 손상 가능성을 최소화합니다.
- 정기적인 암호 주기 - 암호 관리는 Windows 운영 체제로 이동되며, 운영 체제는 30일마다 암호를 변경합니다. 서비스 및 도메인 관리자는 암호 변경을 예약하거나 서비스 중단을 관리할 필요가 없습니다.
- 서버 팜에 대한 배포 지원 - gMSA를 여러 서버에 배포하여 여러 호스트에서 동일한 서비스를 실행하는 부하 분산 솔루션을 지원합니다.
- 간소화된 SPN(서비스 사용자 이름) 관리 지원 - 계정을 만들 때 PowerShell을 사용하여 SPN을 설정합니다.
- 또한 gMSA 권한이 올바르게 설정된 경우 자동 SPN 등록을 지원하는 서비스에서 gMSA에 대해 이 작업을 수행할 수 있습니다.
gMSA 사용
장애 조치(Failover) 클러스터링과 같은 서비스에서 지원하지 않는 한, gMSAs를 온-프레미스 서비스에 대한 계정 유형으로 사용합니다.
Important
프로덕션으로 전환하기 전에 gMSA를 사용하여 서비스를 테스트합니다. 애플리케이션이 gMSA를 사용하고 리소스에 액세스하도록 테스트 환경을 설정합니다. 자세한 내용은 그룹 관리 서비스 계정 지원을 참조하세요.
서비스에서 gMSA를 지원하지 않는 경우 sMSA(독립 실행형 관리 서비스 계정)를 사용할 수 있습니다. sMSA는 동일한 기능을 제공하지만 단일 서버에 배포하기 위한 것입니다.
서비스에서 지원하는 gMSA 또는 sMSA를 사용할 수 없는 경우 표준 사용자 계정으로 실행되도록 해당 서비스를 구성합니다. 서비스 및 도메인 관리자는 계정을 안전하게 유지하기 위해 강한 암호 관리 프로세스를 준수해야 합니다.
gMSA 보안 태세 평가
gMSA는 계속해서 암호를 관리해야 하는 표준 사용자 계정보다 더 안전합니다. 그러나 보안 태세와 관련해서 액세스의 gMSA 범위를 고려하세요. 다음 표에는 gMSA를 사용하는 경우 발생할 수 있는 보안 문제 및 완화 방법이 나와 있습니다.
보안 문제 | 완화 방법 |
---|---|
gMSA가 권한 있는 그룹의 멤버입니다. | - 그룹 멤버 자격을 검토합니다. 그룹 멤버 자격을 열거하는 PowerShell 스크립트를 만듭니다. 결과 CSV 파일을 gMSA 파일 이름으로 필터링 - 권한 있는 그룹에서 gMSA 제거 - 해당 서비스를 실행하는 데 필요한 gMSA 권한 및 사용 권한을 부여합니다. 서비스 공급업체를 참조하세요. |
gMSA에 중요한 리소스에 대한 읽기/쓰기 권한이 있습니다. | - 중요한 리소스에 대한 액세스 감사 - Azure Log Analytics 또는 Microsoft Sentinel과 같은 SIEM에 감사 로그 보관 - 불필요한 액세스 수준이 있는 경우 불필요한 리소스 권한 제거 |
gMSAs 찾기
관리되는 서비스 계정 컨테이너
효과적으로 작동하려면 gMSA가 Active Directory 사용자 및 컴퓨터 관리 서비스 계정 컨테이너에 있어야 합니다.
목록에 없는 서비스 MSA를 찾으려면 다음 명령을 실행합니다.
Get-ADServiceAccount -Filter *
# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.
# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount
# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount
# To filter results to only gMSAs:
Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}
gMSAs 관리
gMSA를 관리하려면 다음 Active Directory PowerShell cmdlet을 사용합니다.
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
참고 항목
Windows Server 2012 이상 버전에서는 *-ADServiceAccount cmdlet이 gMSA에 작동합니다. 자세히 알아보기: 그룹 관리 서비스 계정 시작
gMSA으로 이동
gMSA는 온-프레미스에 대한 보안 서비스 계정 유형입니다. 가능한 경우 gMSA를 사용하는 것이 좋습니다. 또한 서비스를 Azure로 이동하고, 서비스 계정을 Microsoft Entra ID로 이동하는 것이 좋습니다.
참고 항목
gMSA를 사용하도록 서비스를 구성하기 전에 그룹 관리 서비스 계정 시작을 참조하세요.
gMSA로 이동하려면 다음을 수행합니다.
- KDS(키 배포 서비스) 루트 키가 포리스트에 배포되어 있는지 확인합니다. 이 작업은 한 번만 수행하면 됩니다. 키 배포 서비스 KDS 루트 키 만들기를 참조하세요.
- 새 gMSA를 만듭니다. 그룹 관리 서비스 계정 시작을 참조하세요.
- 서비스를 실행하는 호스트에 새 gMSA를 설치합니다.
- 서비스 ID를 gMSA로 변경합니다.
- 빈 암호를 지정합니다.
- 서비스가 새 gMSA ID로 작동하는지 확인합니다.
- 이전 서비스 계정 ID를 삭제합니다.
다음 단계
서비스 계정을 보호하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.