Active Directory에 전용 관리 포리스트가 있는 요새 환경을 추가하면 조직은 기존 프로덕션 환경보다 더 강력한 보안 제어가 있는 환경에서 관리 계정, 워크스테이션 및 그룹을 관리할 수 있습니다.
비고
MIM에서 제공하는 요새 환경을 사용하는 PAM 접근 방식은 인터넷 액세스를 사용할 수 없는 격리된 환경, 규제에 따라 이 구성이 필요한 격리된 환경 또는 오프라인 연구 실험실, 연결이 끊긴 운영 기술 또는 감독 제어 및 데이터 취득 환경과 같은 영향력이 높은 격리된 환경에서 사용하기 위한 것입니다. Active Directory가 인터넷에 연결된 환경의 일부인 경우 시작 위치에 대한 자세한 내용은 권한 있는 액세스 보안 참조하세요.
이 아키텍처를 사용하면 단일 포리스트 아키텍처에서 불가능하거나 쉽게 구성할 수 없는 컨트롤을 사용할 수 있습니다. 여기에는 관리 포리스트에서 기본값으로 권한이 없는 표준 사용자로 계정을 설정하고, 이 계정이 프로덕션 환경에서는 높은 권한을 가질 수 있도록 하여, 거버넌스를 기술적으로 더욱 강력하게 적용하는 것을 포함합니다. 또한 이 아키텍처를 사용하면 트러스트의 선택적 인증 기능을 사용하여 로그온(및 자격 증명 노출)을 권한 있는 호스트로만 제한할 수 있습니다. 전체 다시 빌드의 비용과 복잡성을 발생시키지 않고 프로덕션 포리스트에 대해 더 높은 수준의 보증이 필요한 경우 관리 포리스트는 프로덕션 환경의 보증 수준을 높이는 환경을 제공할 수 있습니다.
전용 관리 숲 외에도 부수적인 기술을 사용할 수 있습니다. 여기에는 관리 자격 증명이 노출되는 위치 제한, 해당 포리스트의 사용자의 역할 권한 제한, 표준 사용자 활동에 사용되는 호스트(예: 전자 메일 및 웹 검색)에서 관리 작업이 수행되지 않도록 하는 작업이 포함됩니다.
모범 사례 고려 사항
전용 관리 포리스트는 Active Directory 관리에 사용되는 표준 단일 도메인 Active Directory 포리스트입니다. 관리 포리스트 및 도메인을 사용하는 이점은 제한된 사용 사례로 인해 프로덕션 포리스트보다 더 많은 보안 조치를 취할 수 있다는 것입니다. 또한 이 포리스트는 분리되어 있고 조직의 기존 포리스트를 신뢰하지 않으므로 다른 포리스트의 보안 손상은 이 전용 포리스트로 확장되지 않습니다.
관리 포리스트 디자인에는 다음과 같은 고려 사항이 있습니다.
제한된 범위
관리 포리스트의 값은 높은 수준의 보안 보증 및 감소된 공격 노출 영역입니다. 포리스트는 추가 관리 기능 및 애플리케이션을 수용할 수 있지만 범위가 증가할 때마다 포리스트 및 해당 리소스의 공격 표면이 증가합니다. 포리스트의 기능을 제한하여 공격 표면을 최소화하기 위한 것입니다.
관리 권한 분할의 계층 모델에 따르면 전용 관리 포리스트의 계정은 일반적으로 계층 0 또는 계층 1의 단일 계층에 있어야 합니다. 포레스트가 1단계에 해당하는 경우, 특정한 애플리케이션 범위(예: 재무 앱) 또는 사용자 커뮤니티(예: 아웃소싱 IT 공급업체)로 제한하는 것을 고려해 보세요.
제한된 신뢰
생산 CORP 숲은 관리 PRIV 숲을 신뢰해야 하지만 그 반대는 아닙니다. 이 트러스트는 도메인 트러스트 또는 포리스트 트러스트일 수 있습니다. 관리 포리스트 도메인은 Active Directory를 관리하기 위해 관리되는 도메인 및 포리스트를 신뢰할 필요가 없지만, 추가 애플리케이션에는 양방향 신뢰 관계, 보안 유효성 검사 및 테스트가 필요할 수 있습니다.
선택적 인증을 사용하여 관리 포리스트의 계정이 적절한 프로덕션 호스트만 사용하도록 해야 합니다. Active Directory에서 도메인 컨트롤러를 유지하고 권한을 위임하려면 일반적으로 도메인 컨트롤러가 관리 포리스트의 지정된 계층 0 관리자 계정에 대해 "로그온 허용" 권한을 부여해야 합니다. 자세한 내용은 선택적 인증 설정 구성 참조하세요.
논리적 분리 유지
요새 환경이 조직 Active Directory의 기존 또는 향후 보안 인시던트의 영향을 받지 않도록 하려면 요새 환경에 대한 시스템을 준비할 때 다음 지침을 사용해야 합니다.
Windows Server는 도메인에 가입되거나 기존 환경의 소프트웨어 또는 설정 배포를 활용해서는 안 됩니다.
요새 환경에는 Kerberos 및 LDAP, DNS, 시간 및 시간 동기화 서비스를 요새 환경에 제공하는 자체 Active Directory Domain Services가 포함되어야 합니다.
MIM은 기존 환경에서 SQL 데이터베이스 팜을 사용하면 안 됩니다. SQL Server는 요새 환경의 전용 서버에 배포해야 합니다.
요새 환경에는 Microsoft Identity Manager 2016이 필요하며, 특히 MIM 서비스 및 PAM 구성 요소를 배포해야 합니다.
기존 포리스트의 관리자가 요새 환경의 백업을 전복할 수 없도록 요새 환경의 백업 소프트웨어 및 미디어를 기존 포리스트의 시스템과 별도로 유지해야 합니다.
요새 환경 서버를 관리하는 사용자는 요새 환경의 자격 증명이 유출되지 않도록 기존 환경의 관리자가 액세스할 수 없는 워크스테이션에서 로그인해야 합니다.
관리 서비스의 가용성 보장
애플리케이션 관리가 요새 환경으로 전환되므로 해당 애플리케이션의 요구 사항을 충족하기에 충분한 가용성을 제공하는 방법을 고려합니다. 기술에는 다음이 포함됩니다.
요새 환경의 여러 컴퓨터에 Active Directory Domain Services를 배포합니다. 예약된 유지 관리를 위해 한 서버가 일시적으로 다시 시작되더라도 지속적인 인증을 보장하려면 두 개 이상이 필요합니다. 부하를 높이거나 여러 지리적 지역에 기반한 리소스 및 관리자를 관리하려면 추가 컴퓨터가 필요할 수 있습니다.
긴급 상황에 대비하여 기존 포리스트와 전용 관리 포리스트에서 긴급 계정을 준비합니다.
요새 환경의 여러 컴퓨터에 SQL Server 및 MIM 서비스를 배포합니다.
전용 관리 포리스트에서 사용자 또는 역할 정의에 대한 각 변경 내용에 대해 AD 및 SQL의 백업 복사본을 유지 관리합니다.
적절한 Active Directory 권한 구성
관리 포리스트는 Active Directory 관리 요구 사항에 따라 최소 권한으로 구성해야 합니다.
프로덕션 환경을 관리하는 데 사용되는 관리 포리스트의 계정에는 관리 포리스트, 해당 도메인 또는 그 안에 있는 워크스테이션에 대한 관리 권한이 부여되지 않아야 합니다.
관리자 포리스트 자체에 대한 관리 권한은 공격자 또는 악의적인 내부자가 감사 로그를 지울 수 있는 기회를 줄이기 위해 오프라인 프로세스에 의해 엄격하게 제어되어야 합니다. 또한 프로덕션 관리자 계정이 있는 직원이 계정에 대한 제한을 완화하고 조직에 대한 위험을 높일 수 없도록 하는 데 도움이 됩니다.
관리 포리스트는 인증 프로토콜에 대한 강력한 구성을 포함하여 도메인에 대한 Microsoft SCM(보안 준수 관리자) 구성을 따라야 합니다.
요새 환경을 만들 때 Microsoft Identity Manager를 설치하기 전에 이 환경 내에서 관리에 사용할 계정을 식별하고 만듭니다. 여기에는 다음이 포함됩니다.
비상 계정은 오직 요새 환경에 있는 도메인 컨트롤러에만 로그인할 수 있어야 합니다.
"레드 카드" 관리자는 다른 계정을 제공하고, 예정되지 않은 유지 관리를 수행합니다. 이러한 계정에는 요새 환경 외부의 기존 포리스트 또는 시스템에 대한 액세스 권한이 제공되지 않습니다. 스마트 카드와 같은 자격 증명은 물리적으로 보호되어야 하며 이러한 계정의 사용을 기록해야 합니다.
Microsoft Identity Manager, SQL Server, 및 기타 소프트웨어에 필요한 서비스 계정.
호스트 강화
관리 포리스트에 가입된 도메인 컨트롤러, 서버 및 워크스테이션을 포함한 모든 호스트에는 최신 운영 체제 및 서비스 팩이 설치되어 최신 상태로 유지되어야 합니다.
관리 작업을 수행하는 데 필요한 애플리케이션은 워크스테이션에 미리 설치되어야 하며, 이를 사용하는 계정이 로컬 관리자 그룹에 속하지 않아도 설치할 필요가 없도록 해야 합니다. 도메인 컨트롤러 유지 관리는 일반적으로 RDP 및 원격 서버 관리 도구를 사용하여 수행할 수 있습니다.
관리 포리스트 호스트는 보안 업데이트로 자동으로 업데이트되어야 합니다. 이로 인한 도메인 컨트롤러 유지 관리 작업이 중단될 위험이 있지만 패치되지 않은 취약성의 보안 위험을 크게 완화할 수 있습니다.
관리 호스트 식별
시스템 또는 워크스테이션의 위험은 인터넷 검색, 전자 메일 보내기 및 받기 또는 알 수 없거나 신뢰할 수 없는 콘텐츠를 처리하는 다른 애플리케이션의 사용과 같이 시스템 또는 워크스테이션에서 수행되는 가장 높은 위험 활동으로 측정되어야 합니다.
관리 호스트에는 다음 컴퓨터가 포함됩니다.
관리자의 자격 증명이 물리적으로 입력되는 바탕 화면입니다.
관리 세션 및 도구가 실행되는 관리 "점프 서버"입니다.
RDP 클라이언트를 실행하는 표준 사용자 데스크톱을 사용하여 서버 및 애플리케이션을 원격으로 관리하는 작업을 포함하여 관리 작업이 수행되는 모든 호스트.
관리해야 하는 애플리케이션을 호스트하며 제한된 관리자 모드로 RDP 또는 Windows PowerShell 원격 접속을 통해 액세스되지 않는 서버입니다.
전용 관리 워크스테이션 배포
불편하지만 강력한 관리 자격 증명을 가진 사용자 전용으로 강화된 별도의 워크스테이션이 필요할 수 있습니다. 자격 증명에 위임된 권한 수준보다 크거나 같은 수준의 보안을 호스트에 제공하는 것이 중요합니다. 추가 보호를 위해 다음 조치를 통합하는 것이 좋습니다.
빌드의 모든 미디어가 깨끗한지 확인하여 다운로드나 저장 중에 설치 파일에 주입되거나 마스터 이미지에 설치된 맬웨어를 방지합니다.
보안 기준 시작 구성으로 사용해야 합니다. Microsoft SCM(보안 준수 관리자)은 관리 호스트에 대한 기준을 구성하는 데 도움이 될 수 있습니다.
보안 부팅을 부팅 프로세스에 서명되지 않은 코드를 로드하려는 공격자 또는 맬웨어가 이를 시도하는 것을 방지하기 위해 활성화합니다.
소프트웨어 제한은 관리 호스트에서 권한 있는 관리 소프트웨어만 실행되도록 보장합니다.. 고객은 승인된 애플리케이션 목록과 함께 이 작업에 AppLocker를 사용하여 악성 소프트웨어 및 지원되지 않는 애플리케이션이 실행되지 않도록 방지할 수 있습니다.
원격으로 사용되는 관리 랩톱과 같은 컴퓨터의 물리적 손실을 완화하기 위한 전체 볼륨 암호화.
USB 사용 제한은 물리적 감염으로부터 보호하기 위해.
네트워크 격리 네트워크 공격 및 의도하지 않은 관리자 작업으로부터 보호합니다. 호스트 방화벽은 명시적으로 필요한 연결을 제외한 모든 들어오는 연결을 차단하고 불필요한 모든 아웃바운드 인터넷 액세스를 차단해야 합니다.
맬웨어 방지 알려진 위협 및 맬웨어로부터 보호합니다.
알 수 없는 위협과 악용을 완화하기 위해, EMET(향상된 완화 경험 도구 키트)를 포함한 익스플로잇 완화 방안을 활용하십시오.
공격 표면 분석 새 소프트웨어를 설치하는 동안 Windows에 새로운 공격 벡터가 도입되지 않도록 방지합니다. ASA(공격 표면 분석기)와 같은 도구는 호스트의 구성 설정을 평가하고 소프트웨어 또는 구성 변경에 의해 도입된 공격 벡터를 식별하는 데 도움이 됩니다.
관리 권한 로컬 컴퓨터의 사용자에게 부여해서는 안 됩니다.
역할에 필요한 경우를 제외하고, RestrictedAdmin 모드는 나가는 RDP 세션에 대해. 자세한 내용은 windows Server 원격 데스크톱 서비스의 새로운 기능 참조하세요.
이러한 조치 중 일부는 과도해 보일 수도 있지만, 최근 몇 년간의 공개된 정보는 숙련된 적들이 목표를 위협할 수 있는 상당한 능력을 가지고 있음을 보여줍니다.
요새 환경에서 관리할 기존 도메인 준비
MIM은 PowerShell cmdlet을 사용하여 요새 환경의 전용 관리 포리스트와 기존 AD 도메인 간에 신뢰를 설정합니다. 요새 환경이 배포되고 사용자 또는 그룹이 JIT로 변환되기 전에 New-PAMTrust 및 New-PAMDomainConfiguration cmdlet이 도메인 트러스트 관계를 업데이트하고 AD 및 MIM에 필요한 아티팩트를 만듭니다.
기존 Active Directory 토폴로지 변경 시 Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust 및 Remove-PAMDomainConfiguration cmdlet을 사용하여 트러스트 관계를 업데이트할 수 있습니다.
각 숲에 신뢰를 구축하다
New-PAMTrust cmdlet은 기존 포레스트마다 한 번씩 실행되어야 합니다. 관리 도메인의 MIM 서비스 컴퓨터에서 호출됩니다. 이 명령에 대한 매개 변수는 기존 포리스트의 최상위 도메인의 도메인 이름 및 해당 도메인의 관리자 자격 증명입니다.
New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)
트러스트를 설정한 후 다음 섹션에 설명된 대로 요새 환경에서 관리를 사용하도록 각 도메인을 구성합니다.
각 도메인의 관리 가능 활성화
기존 도메인에 대한 관리를 사용하도록 설정하기 위한 7가지 요구 사항이 있습니다.
1. 로컬 도메인의 보안 그룹
기존 도메인에는 이름이 NetBIOS 도메인 이름이고 그 뒤에 3달러 기호(예: CONTOSO$$$)가 있는 그룹이 있어야 합니다. 그룹 범위는 도메인 로컬이어야 하며 그룹 유형은 보안입니다. 이 도메인의 그룹과 동일한 보안 식별자를 사용하여 전용 관리 포리스트에서 그룹을 만드는 데 필요합니다. 기존 도메인의 관리자가 수행하고 기존 도메인에 가입된 워크스테이션에서 실행되는 다음 PowerShell 명령을 사용하여 이 그룹을 만듭니다.
New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'
2. 성공 및 실패 감사 활동
감사를 위한 도메인 컨트롤러의 그룹 정책 설정에는 감사 계정 관리 및 감사 디렉터리 서비스 액세스에 대한 성공 및 실패 감사가 모두 포함되어야 합니다. 이 작업은 기존 도메인의 관리자가 수행하고 기존 도메인에 가입된 워크스테이션에서 실행되는 그룹 정책 관리 콘솔을 사용하여 수행할 수 있습니다.
시작>관리 도구>그룹 정책 관리.
Forest로 이동합니다: contoso.local>도메인>contoso.local>도메인 컨트롤러>기본 도메인 컨트롤러 정책. 정보 메시지가 표시됩니다.
기본 도메인 컨트롤러 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다. 새 창이 나타납니다.
그룹 정책 관리 편집기 창의 기본 도메인 컨트롤러 정책 트리에서 컴퓨터 구성>정책>Windows 설정>보안 설정>로컬 정책>감사 정책이동합니다.
세부 정보 창에서 계정 관리 감사을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이러한 정책 설정정의를 선택하고, 성공확인란에 체크하고, 실패확인란에 체크하고, 적용을 클릭하고, 확인을 클릭합니다.
세부 정보 창에서 디렉터리 서비스 액세스 감사을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이러한 정책 설정정의를 선택하고, 성공확인란에 체크하고, 실패확인란에 체크하고, 적용을 클릭하고, 확인을 클릭합니다.
그룹 정책 관리 편집기 창과 그룹 정책 관리 창을 닫습니다. 그런 다음 PowerShell 창을 시작하고 다음을 입력하여 감사 설정을 적용합니다.
gpupdate /force /target:computer
"컴퓨터 정책 업데이트가 성공적으로 완료되었습니다."라는 메시지가 표시됩니다. 몇 분 후에 나타날 것입니다.
3. 로컬 보안 기관에 대한 연결 허용
도메인 컨트롤러는 요새 환경에서 LSA(로컬 보안 기관)에 대한 TCP/IP 연결을 통한 RPC를 허용해야 합니다. 이전 버전의 Windows Server에서는 레지스트리에서 LSA의 TCP/IP 지원을 사용하도록 설정해야 합니다.
New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1
4. PAM 도메인 구성 만들기
New-PAMDomainConfiguration cmdlet은 관리 도메인의 MIM 서비스 컴퓨터에서 실행되어야 합니다. 이 명령에 대한 매개 변수는 기존 도메인의 도메인 이름 및 해당 도메인의 관리자 자격 증명입니다.
New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)
5. 계정에 읽기 권한 부여
역할을 설정하는 데 사용되는 요새 포리스트의 계정(New-PAMUser 및 New-PAMGroup cmdlet을 사용하는 관리자)과 MIM 모니터 서비스에서 사용하는 계정은 해당 도메인에서 읽기 권한이 필요합니다.
다음 단계에서는 사용자가 CORPDC 도메인 컨트롤러 내의 도메인 Contoso 대한 PRIV\Administrator 읽기 액세스를 사용하도록 설정합니다.
CONtoso 도메인 관리자(예: Contoso\Administrator)로 CORPDC에 로그인했는지 확인합니다.
Active Directory 사용자 및 컴퓨터를 시작합니다.
contoso.local 도메인을 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.
선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.
사용자, 컴퓨터 또는 그룹 선택 팝업에서 위치 클릭하고 위치를 priv.contoso.local 변경합니다. 개체 이름에 Domain Admins을 입력한 후, 이름 확인을 클릭하세요. 팝업이 나타나면 사용자 이름에 priv\administrator을 입력하고 암호를 입력하세요.
Domain Admins 후에 ; MIMMonitor를 입력합니다. Domain Admins 및 MIMMonitor 이름에 밑줄이 그어진 후, 확인을 클릭한 다음, 다음을 클릭합니다.
일반적인 작업 목록에서 모든 사용자 정보읽은 후 다음을 클릭하고 마침을 클릭하십시오.
Active Directory 사용자 및 컴퓨터를 닫습니다.
6. 브레이크 글라스 계정
권한 있는 액세스 관리 프로젝트의 목표가 도메인에 영구적으로 할당된 도메인 관리자 권한이 있는 계정 수를 줄이는 것이라면, 나중에 신뢰 관계에 문제가 발생할 경우를 대비해 도메인에 비상 계정이 있어야 합니다. 프로덕션 포리스트에 대한 긴급 액세스에 대한 계정은 각 도메인에 있어야 하며 도메인 컨트롤러에만 로그인할 수 있어야 합니다. 사이트가 여러 개 있는 조직의 경우 중복성을 위해 추가 계정이 필요할 수 있습니다.
7. 요새 환경에서 사용 권한 업데이트
해당 도메인의 시스템 컨테이너에서 AdminSDHolder 개체에 대한 사용 권한을 검토합니다. AdminSDHolder 개체에는 기본 제공 권한 있는 Active Directory 그룹의 구성원인 보안 주체의 권한을 제어하는 데 사용되는 고유한 ACL(액세스 제어 목록)이 있습니다. 기본 사용 권한에 대한 변경 내용이 도메인의 관리 권한을 가진 사용자에게 영향을 주는 경우 해당 사용 권한은 요새 환경에 있는 사용자에게 적용되지 않으므로 주의하세요.
포함할 사용자 및 그룹 선택
다음 단계는 PAM 역할을 정의하여 액세스 권한이 있어야 하는 사용자 및 그룹을 연결합니다. 이러한 사용자 및 그룹은 일반적으로 요새 환경에서 관리되는 것으로 식별되는 계층에 대한 사용자 및 그룹의 하위 집합입니다. 자세한 내용은 Privileged Access Management대한 역할 정의에 있습니다.