독립 실행형 관리 서비스 계정 보안
sMSA(독립 실행형 관리 서비스 계정)는 서버에서 실행되는 보안 서비스를 지원하는 관리되는 도메인 계정입니다. 여러 서버에서 다시 사용할 수는 없습니다. sMSA에는 자동 암호 관리, 간소화된 SPN(서비스 주체 이름) 관리 및 관리자에게 위임된 관리 기능이 있습니다.
AD(Active Directory)에서 sMSA는 서비스를 실행하는 서버에 연결됩니다. Microsoft Management Console의 Active Directory 사용자 및 컴퓨터 스냅인에서 계정을 찾을 수 있습니다.
참고 항목
관리 서비스 계정은 Windows Server 2008 R2 Active Directory 스키마에 도입되었으며 Windows Server 2008 R2 이상 버전이 필요합니다.
sMSA 이점
sMSA는 서비스 계정으로 사용되는 사용자 계정보다 더 강력한 보안을 제공합니다. 관리 오버헤드를 줄이는 데 도움이 됩니다.
- 강력한 암호 설정 - sMSA는 임의로 생성된 복잡한 240바이트 암호를 사용합니다.
- 복잡성은 무차별 암호 대입 또는 사전 공격에 의한 손상 가능성을 최소화합니다.
- 주기적인 암호 주기 - Windows는 30일마다 sMSA 암호를 변경합니다.
- 서비스 및 도메인 관리자는 암호 변경을 예약하거나 연결된 가동 중지 시간을 관리할 필요가 없습니다.
- SPN 관리 간소화 - 도메인 기능 수준이 Windows Server 2008 R2인 경우 SPN이 업데이트됩니다. 다음과 같은 경우 SPN이 업데이트됩니다.
- 호스트 컴퓨터 계정의 이름을 변경합니다.
- 호스트 컴퓨터 DNS(도메인 이름 서버) 이름 변경
- PowerShell을 사용하여 다른 sam-accountname 또는 dns-hostname 매개 변수 추가 또는 제거
- Set-ADServiceAccount를 참조하세요.
sMSA 사용
sMSA를 사용하여 관리 및 보안 작업을 간소화합니다. sMSA는 서비스가 서버에 배포되고 gMSA(그룹 관리 서비스 계정)를 사용할 수 없는 경우에 유용합니다.
참고 항목
둘 이상의 서비스에 대해 sMSA를 사용할 수 있지만 각 서비스에 감사를 위한 ID가 있는 것이 좋습니다.
소프트웨어 작성자가 애플리케이션이 MSA를 사용하는지 여부를 알 수 없는 경우 애플리케이션을 테스트합니다. 테스트 환경을 만들고 필수 리소스에 액세스하는지 확인합니다.
자세히 알아보기: 관리 서비스 계정: 이해, 구현, 모범 사례 및 문제 해결
sMSA 보안 태세 평가
보안 태세의 일부로 sMSA 액세스 범위를 고려합니다. 잠재적인 보안 문제를 완화하려면 다음 표를 참조하세요.
| 보안 문제 | 완화 방법 |
|---|---|
| sMSA는 권한 있는 그룹의 멤버입니다. | - Domain Admins와 같은 상승된 권한을 가진 그룹에서 sMSA를 제거합니다. - 최소 권한 모델 사용 - sMSA에 서비스를 실행할 수 있는 권한 부여 - 권한에 대해 잘 모르는 경우 서비스 작성자에 문의 |
| sMSA에 중요한 리소스에 대한 읽기/쓰기 권한이 있습니다. | - 중요한 리소스에 대한 액세스 감사 - Azure Log Analytics 또는 Microsoft Sentinel과 같은 SIEM(보안 정보 및 이벤트 관리) 프로그램에 감사 로그 보관 - 바람직하지 않은 액세스가 검색된 경우 리소스 권한 수정 |
| 기본적으로 sMSA 암호 롤오버 주기는 30일입니다. | 그룹 정책을 사용하여 엔터프라이즈 보안 요구 사항에 따라 기간을 조정할 수 있습니다. 암호 만료 기간을 설정하려면 다음으로 이동합니다. 컴퓨터 구성>정책>Windows 설정>보안 설정>보안 옵션. 도메인 구성원의 경우 최대 컴퓨터 계정 암호 사용 기간을 사용합니다. |
sMSA 과제
다음 표를 사용하여 문제를 완화와 연결합니다.
| 과제 | 완화 방법 |
|---|---|
| sMSA는 단일 서버에 있습니다. | gMSA를 사용하여 여러 서버에서 계정을 사용합니다. |
| sMSA는 도메인 간에는 사용할 수 없습니다. | gMSA를 사용하여 도메인 간 계정을 사용합니다. |
| 모든 애플리케이션에서 sMSA를 지원하지는 않습니다. | 가급적 gMSA를 사용합니다. 그렇지 않으면 작성자가 권장하는 표준 사용자 계정 또는 컴퓨터 계정을 사용합니다. |
sMSA 찾기
도메인 컨트롤러에서 DSA.msc를 실행한 다음, 관리 서비스 계정 컨테이너를 확장하여 모든 sMSA를 확인합니다.
Active Directory 도메인에서 모든 sMSA 및 gMSA를 반환하려면 다음 PowerShell 명령을 실행합니다.
Get-ADServiceAccount -Filter *
Active Directory 도메인에서 sMSA를 반환하려면 다음 명령을 실행합니다.
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
sMSA 관리
sMSA를 관리하려면 다음 AD PowerShell cmdlet을 사용할 수 있습니다.
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
sMSA로 이동
애플리케이션 서비스가 sMSA는 지원하지만 gMSA는 지원하지 않고 보안 컨텍스트에 사용자 계정이나 컴퓨터 계정을 사용하는 경우
관리 서비스 계정: 이해, 구현, 모범 사례 및 문제 해결을 참조하세요.
가능한 경우 리소스를 Azure로 이동하고 Azure 관리 ID 또는 서비스 주체를 사용합니다.
다음 단계
서비스 계정을 보호하는 방법에 대한 자세한 내용은 다음을 확인하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기