중요하다
이 지침은 권한 있는 액세스 보호하는완전한 솔루션의 일부인 업데이트된 보안 워크스테이션 지침으로 대체되었습니다.
이 설명서는 보관 및 참조 목적으로만 온라인으로 유지됩니다. Microsoft는 더 안전하고 배포 및 지원하기 쉬운 솔루션에 대한 새로운 지침을 따르는 것이 좋습니다.
레거시 지침
PAW(Privileged Access Workstations)는 인터넷 공격 및 위협 벡터로부터 보호되는 중요한 작업을 위한 전용 운영 체제를 제공합니다. 이러한 중요한 작업 및 계정을 일상적인 사용 워크스테이션 및 장치에서 분리하면 피싱 공격, 애플리케이션 및 OS 취약성, 다양한 가장 공격 및 키 입력 로깅, Pass-the-Hash및 Pass-The-Ticket과 같은 자격 증명 도난 공격으로부터 강력한 보호를 제공합니다.
특권 접근 워크스테이션이란 무엇입니까?
가장 간단한 용어로 PAW는 중요한 계정 및 작업에 대한 높은 보안 보증을 제공하도록 설계된 강화되고 잠긴 워크스테이션입니다. ID 시스템, 클라우드 서비스, 프라이빗 클라우드 패브릭 및 중요한 비즈니스 기능을 관리하려면 PAW를 사용하는 것이 좋습니다.
메모
PAW 아키텍처는 워크스테이션에 계정을 1:1 매핑할 필요가 없지만 일반적인 구성입니다. PAW는 하나 이상의 계정에서 사용할 수 있는 신뢰할 수 있는 워크스테이션 환경을 만듭니다.
가장 강력한 보안을 제공하기 위해 PAW는 항상 사용 가능한 가장 up-to최신 및 보안 운영 체제를 실행해야 합니다. Microsoft는 다른 버전에서 사용할 수 없는 몇 가지 다른 보안 기능(특히 Credential Guard 및Device Guard)을 포함하는 Windows 11 Enterprise를 강력하게 권장합니다.
메모
Windows 11 Enterprise에 액세스할 수 없는 조직은 신뢰할 수 있는 부팅, BitLocker 및 원격 데스크톱을 비롯한 많은 중요 PAW 기술을 포함하는 Windows 11 Pro를 사용할 수 있습니다. 교육 고객은 Windows 11 Education을 사용할 수 있습니다.
WINDOWS 11 Home은 PAW에 사용하면 안 됩니다.
PAW 보안 컨트롤은 높은 영향과 높은 확률의 손상 위험을 완화하는 데 중점을 줍니다. 여기에는 환경에 대한 공격 완화 및 시간이 지남에 따라 PAW 컨트롤의 효율성을 저하시킬 수 있는 위험이 포함됩니다.
- 인터넷 공격 - 대부분의 공격은 인터넷 원본에서 직접 또는 간접적으로 발생하며 반출 및 명령 및 제어(C2)에 인터넷을 사용합니다. PAW를 열린 인터넷에서 격리하는 것은 PAW가 손상되지 않도록 하는 핵심 요소입니다.
- 유용성 위험 - PAW가 일상적인 작업에 사용하기가 너무 어려운 경우 관리자는 작업을 더 쉽게 만들기 위한 해결 방법을 만들어야 합니다. 이러한 해결 방법은 종종 관리 워크스테이션 및 계정을 중요한 보안 위험에 노출하므로 PAW 사용자가 이러한 유용성 문제를 안전하게 완화할 수 있도록 참여시키고 권한을 부여하는 것이 중요합니다. 이 작업은 피드백을 듣고, 작업을 수행하는 데 필요한 도구 및 스크립트를 설치하고, 모든 관리 담당자가 PAW를 사용해야 하는 이유, PAW가 무엇인지, 그리고 이를 정확하고 성공적으로 사용하는 방법을 인식하도록 하여 수행할 수 있습니다.
- 환경 위험 - 환경의 다른 많은 컴퓨터와 계정이 인터넷 위험에 직간접적으로 노출되기 때문에 PAW는 프로덕션 환경에서 손상된 자산으로부터 공격으로부터 보호되어야 합니다. 이렇게 하려면 이러한 특수 워크스테이션을 보호하고 모니터링하기 위해 PAW에 액세스할 수 있는 관리 도구 및 계정의 사용을 최소화해야 합니다.
- 공급망 변조 - 하드웨어 및 소프트웨어에 대한 공급망 변조의 가능한 모든 위험을 제거하는 것은 불가능하지만, 몇 가지 주요 조치를 취하면 공격자가 쉽게 사용할 수 있는 중요한 공격 벡터를 완화할 수 있습니다. 여기에는 모든 설치 미디어의 무결성 유효성을 검사하고 하드웨어 및 소프트웨어에 신뢰할 수 있고 평판이 좋은 공급업체를 사용하는 것이 포함됩니다.
- 물리적 공격 - PAW는 물리적으로 이동 가능하고 물리적으로 안전한 시설 외부에서 사용할 수 있으므로 컴퓨터에 무단 물리적 액세스를 적용하는 공격으로부터 보호되어야 합니다.
중요하다
PAW는 Active Directory 포리스트에 대한 관리 액세스 권한을 이미 얻은 악의적 사용자로부터 환경을 보호하지 않습니다. Active Directory Domain Services의 많은 기존 구현은 자격 증명 도난의 위험이 있는 수년 동안 운영되어 왔으므로 조직은 위반을 가정하고 도메인 또는 엔터프라이즈 관리자 자격 증명의 검색되지 않은 손상이 발생할 가능성을 고려해야 합니다. 도메인 손상이 의심되는 조직은 전문 인시던트 대응 서비스의 사용을 고려해야 합니다.
응답 및 복구 지침에 대한 자세한 내용은 통과 해시 및 기타 자격 증명 도난 완화"의심스러운 활동에 대응" 및 "위반으로부터 복구" 섹션을 참조하세요. 버전 2.
레거시 PAW 하드웨어 프로필
관리자도 표준 사용자입니다. 전자 메일을 확인하고 웹을 찾아보고 회사 기간 업무 애플리케이션에 액세스하려면 PAW 및 표준 사용자 워크스테이션이 필요합니다. 관리자가 생산성과 보안을 모두 유지할 수 있도록 하는 것은 PAW 배포의 성공에 필수적입니다. 생산성을 크게 제한하는 안전한 솔루션은 생산성을 향상시키는 솔루션(안전하지 않은 방식으로 수행되더라도)을 위해 사용자가 포기하게 됩니다.
보안 요구 사항과 생산성의 필요성의 균형을 맞추기 위해 Microsoft는 다음 PAW 하드웨어 프로필 중 하나를 사용하는 것이 좋습니다.
- 전용 하드웨어 - 사용자 작업과 관리 작업을 위한 별도의 전용 디바이스입니다.
- 동시 사용 - OS 또는 프레젠테이션 가상화를 활용하여 사용자 작업 및 관리 작업을 동시에 실행할 수 있는 단일 디바이스입니다.
조직에서는 프로필 하나만 사용하거나 둘 다 사용할 수 있습니다. 하드웨어 프로필 간에 상호 운용성 문제가 없으며 조직은 하드웨어 프로필을 지정된 관리자의 특정 필요 및 상황에 맞게 유연하게 일치시킬 수 있습니다.
중요하다
이러한 모든 시나리오에서 관리자가 지정된 관리 계정과 별개의 표준 사용자 계정을 발급하는 것이 중요합니다. 관리 계정은 PAW 관리 운영 체제에서만 사용해야 합니다.
이 표에는 운영 편의성 및 생산성 및 보안 측면에서 각 하드웨어 프로필의 상대적 이점과 단점이 요약되어 있습니다. 두 하드웨어 접근 방식 모두 자격 증명 도난 및 재사용에 대한 관리 계정에 대한 강력한 보안을 제공합니다.
| 시나리오 | 장점 | 단점 |
|---|---|---|
| 전용 하드웨어 | - 작업의 민감도에 대한 강력한 신호 - 가장 강력한 보안 분리 |
- 추가 책상 공간 - 추가 가중치(원격 작업용) - 하드웨어 비용 |
| 동시 사용 | - 하드웨어 비용 절감 - 단일 디바이스 환경 |
- 단일 키보드/마우스를 공유하면 실수로 발생하는 오류/위험의 위험이 발생합니다. |
이 지침에는 전용 하드웨어 접근 방식에 대한 PAW 구성에 대한 자세한 지침이 포함되어 있습니다. 동시 사용 하드웨어 프로필에 대한 요구 사항이 있는 경우 이 지침에 따라 지침을 직접 조정하거나 Microsoft와 같은 전문 서비스 조직을 고용하여 지원할 수 있습니다.
전용 하드웨어
이 시나리오에서 PAW는 전자 메일, 문서 편집 및 개발 작업과 같은 일상적인 활동에 사용되는 PC와는 별개인 관리에 사용됩니다. 모든 관리 도구 및 애플리케이션은 PAW에 설치되고 모든 생산성 애플리케이션은 표준 사용자 워크스테이션에 설치됩니다. 이 지침의 단계별 지침은 이 하드웨어 프로필을 기반으로 합니다.
동시 사용 - RemoteApp, RDP 또는 VDI 추가
이 동시 사용 시나리오에서는 관리 작업과 전자 메일, 문서 편집 및 개발 작업과 같은 일상적인 작업에 단일 PC가 사용됩니다. 이 구성에서 사용자 운영 체제는 중앙에서(클라우드 또는 데이터 센터에서) 배포되고 관리되지만 연결이 끊긴 동안에는 사용할 수 없습니다.
물리적 하드웨어는 관리 작업을 위해 로컬로 단일 PAW 운영 체제를 실행하고 전자 메일, 문서 편집 및 LOB(기간 업무) 애플리케이션과 같은 사용자 애플리케이션에 대한 Microsoft 또는 타사 원격 데스크톱 서비스에 연결합니다.
이 구성에서 관리 권한이 필요하지 않은 일상적인 작업은 PAW 호스트에 적용되는 제한 사항이 적용되지 않는 원격 OS 및 애플리케이션에서 수행됩니다. 모든 관리 작업은 관리 OS에서 수행됩니다.
이를 구성하려면 PAW 호스트에 대한 이 지침의 지침에 따라 원격 데스크톱 서비스에 대한 네트워크 연결을 허용한 다음 PAW 사용자의 데스크톱에 바로 가기를 추가하여 애플리케이션에 액세스합니다. 원격 데스크톱 서비스는 다음을 비롯한 여러 가지 방법으로 호스트될 수 있습니다.
- Azure Virtual Desktop , Microsoft Dev Box또는 Windows 365같은 기존 원격 데스크톱 또는 VDI 서비스.
- 온-프레미스 또는 클라우드에 설치하는 새 서비스
- 미리 구성된 템플릿 또는 사용자 고유의 설치 이미지를 사용하는 Azure RemoteApp
아키텍처 개요
다음 다이어그램에서는 별도의 전용 관리 계정 및 워크스테이션을 유지 관리하여 만든 관리(매우 중요한 작업)에 대한 별도의 "채널"을 보여 줍니다.
이 아키텍처 접근 방식은 Windows 11 Credential Guard 및 Device Guard 기능에 있는 보호를 기반으로 하며 중요한 계정 및 작업에 대한 이러한 보호를 넘어선 것입니다.
이 방법론은 높은 가치의 자산에 액세스할 수 있는 계정에 적합합니다.
- 관리 권한 - PAW는 높은 영향을 미치는 IT 관리 역할 및 작업에 대한 보안 강화를 제공합니다. 이 아키텍처는 Active Directory 도메인 및 포리스트, Microsoft Entra ID 테넌트, Microsoft 365 테넌트, PCN(프로세스 제어 네트워크), SCADA(감독 제어 및 데이터 취득) 시스템, ATM(자동화된 텔러 머신) 및 PoS(Point of Sale) 디바이스를 비롯한 다양한 유형의 시스템 관리에 적용할 수 있습니다.
- 고감도 정보 근로자 - PAW에 사용되는 접근 방식은 사전 발표 합병 및 인수 활동, 사전 공개 재무 보고서, 조직의 소셜 미디어 존재, 임원 커뮤니케이션, 비공개 영업 비밀, 민감한 연구 또는 기타 독점적이거나 중요한 데이터와 관련된 매우 민감한 정보 근로자 작업과 직원 보호를 제공합니다. 이 지침에서는 이러한 정보 작업자 시나리오의 구성에 대해 자세히 설명하거나 기술 지침에 이 시나리오를 포함하지 않습니다.
이 문서에서는 영향력이 높은 권한 있는 계정을 보호하기 위해 이 방법을 권장하는 이유, 이러한 PAW 솔루션이 관리 권한을 보호하기 위해 어떤 모습인지, 도메인 및 클라우드 서비스 관리를 위한 PAW 솔루션을 신속하게 배포하는 방법을 설명합니다.
이 문서에서는 여러 PAW 구성을 구현하기 위한 자세한 지침을 제공하고 일반적인 높은 영향 계정 보호를 시작하기 위한 자세한 구현 지침을 포함합니다.
- 1단계 - Active Directory 관리자를 위한 즉시 배포 온-프레미스 도메인 및 포리스트 관리 역할을 보호할 수 있는 PAW를 신속하게 제공합니다.
- 2단계 - 모든 관리자에게 PAW 확장 이를 통해 Microsoft 365 및 Azure, 엔터프라이즈 서버, 엔터프라이즈 애플리케이션 및 워크스테이션과 같은 클라우드 서비스 관리자를 보호합니다.
- 3단계 - 고급 PAW 보안 PAW 보안에 대한 추가 보호 및 고려 사항에 대해 설명합니다.
전용 워크스테이션을 사용하는 이유는 무엇인가요?
조직의 현재 위협 환경은 정교한 피싱 및 인터넷 노출 계정 및 워크스테이션에 대한 보안 손상의 지속적인 위험을 초래하는 기타 인터넷 공격으로 가득합니다.
이러한 위협 환경에서 조직은 관리 계정 및 중요한 비즈니스 자산과 같은 고부가가치 자산에 대한 보호를 설계할 때 "위반 가정" 보안 태세를 채택해야 합니다. 이러한 고부가가치 자산은 환경의 다른 워크스테이션, 서버 및 디바이스에서 탑재된 직접적인 인터넷 위협과 공격으로부터 보호되어야 합니다.
이 그림에서는 공격자가 중요한 자격 증명이 사용되는 사용자 워크스테이션을 제어할 경우 관리되는 자산에 대한 위험을 보여 줍니다.
운영 체제를 제어하는 공격자는 워크스테이션의 모든 활동에 불법적으로 액세스하고 합법적인 계정을 가장하는 다양한 방법을 가지고 있습니다. 다양한 알려진 공격 기법과 알 수 없는 공격 기술을 사용하여 이 수준의 액세스 권한을 얻을 수 있습니다. 사이버 공격의 볼륨과 정교함이 증가함에 따라 분리 개념을 중요한 계정에 대한 클라이언트 운영 체제를 분리하도록 확장해야 했습니다. 이러한 유형의 공격에 대한 자세한 내용은 Pass The Hash 웹 사이트 방문하여 유익한 백서, 비디오 등을 확인하세요.
PAW 접근 방식은 관리 담당자를 위해 별도의 관리자 및 사용자 계정을 사용하는 잘 설정된 권장 사례의 확장입니다. 이 방법은 사용자의 표준 사용자 계정과 별개인 개별적으로 할당된 관리 계정을 사용합니다. PAW는 중요한 계정에 대해 신뢰할 수 있는 워크스테이션을 제공하여 해당 계정 분리 사례를 기반으로 합니다.
이 PAW 지침은 높은 권한의 IT 관리자 및 높은 민감도 비즈니스 계정과 같은 높은 가치의 계정을 보호하기 위해 이 기능을 구현하는 데 도움이 되도록 하기 위한 것입니다. 이 지침은 다음을 도와줍니다.
- 신뢰할 수 있는 호스트에만 자격 증명 노출 제한
- 관리자가 관리 작업을 쉽게 수행할 수 있도록 높은 보안 워크스테이션을 제공합니다.
중요한 계정을 강화된 PAW만 사용하도록 제한하는 것은 관리자에게 매우 사용 가능하고 악의적 사용자가 패배하기 어려운 이러한 계정에 대한 간단한 보호입니다.
대체 방법
이 섹션에는 대체 접근 방식의 보안이 PAW와 비교되는 방법과 PAW 아키텍처 내에서 이러한 접근 방식을 올바르게 통합하는 방법에 대한 정보가 포함되어 있습니다. 이러한 모든 방법은 격리된 상태로 구현될 때 상당한 위험을 수반하지만 일부 시나리오에서는 PAW 구현에 가치를 더할 수 있습니다.
Credential Guard 및 비즈니스용 Windows Hello
Windows 11의 일부인 Credential Guard 하드웨어 및 가상화 기반 보안을 사용하여 파생 자격 증명을 보호하여 Pass-the-Hash와 같은 일반적인 자격 증명 도난 공격을 완화합니다. 비즈니스용 Windows Hello 사용하는 자격 증명의 프라이빗 키는 TPM(신뢰할 수 있는 플랫폼 모듈) 하드웨어로 보호할 수 있습니다.
이는 강력한 완화 방법이지만 자격 증명이 Credential Guard 또는 비즈니스용 Windows Hello로 보호되더라도 워크스테이션은 여전히 특정 공격에 취약할 수 있습니다. 공격에는 권한 남용 및 손상된 디바이스에서 직접 자격 증명 사용, Credential Guard를 사용하도록 설정하기 전에 이전에 도난당한 자격 증명 다시 사용, 관리 도구 남용 및 워크스테이션의 약한 애플리케이션 구성이 포함될 수 있습니다.
이 섹션의 PAW 지침에는 높은 민감도 계정 및 작업에 이러한 많은 기술을 사용하는 것이 포함됩니다.
관리용 가상 머신
관리 가상 머신(관리 VM)은 표준 사용자 데스크톱에서 호스트되는 관리 작업을 위한 전용 운영 체제입니다. 이 방법은 관리 작업에 전용 OS를 제공하는 PAW와 유사하지만 관리 VM이 보안을 위해 표준 사용자 데스크톱에 종속된다는 심각한 결함이 있습니다.
다음 다이어그램에서는 공격자가 사용자 워크스테이션에서 관리자 VM을 사용하여 관심 있는 대상 개체로 제어 체인을 따를 수 있으며 역방향 구성에서 경로를 만들기가 어렵다는 것을 보여 줍니다.
PAW 아키텍처는 사용자 워크스테이션에서 관리자 VM을 호스팅하는 것을 허용하지 않지만, 표준 회사 이미지가 있는 사용자 VM을 관리자 PAW에서 호스트하여 모든 책임에 대해 직원에게 단일 PC를 제공할 수 있습니다.
점프 서버
관리 "점프 서버" 아키텍처는 적은 수의 관리 콘솔 서버를 설정하고 관리자가 관리 작업에 사용하도록 제한합니다. 이는 일반적으로 원격 데스크톱 서비스, 타사 프레젠테이션 가상화 솔루션 또는 VDI(가상 데스크톱 인프라) 기술을 기반으로 합니다.
이 방법은 관리 위험을 완화하기 위해 자주 제안되며 몇 가지 보안 보증을 제공하지만 점프 서버 접근 방식 자체는 클린 소스 원칙을 위반하기 때문에 특정 공격에 취약합니다. 클린 소스 원칙을 사용하려면 모든 보안 종속성이 보호되는 개체만큼 신뢰할 수 있어야 합니다.
이 그림에서는 간단한 컨트롤 관계를 보여 줍니다. 개체를 제어하는 모든 주체는 해당 개체의 보안 종속성입니다. 악의적 사용자가 대상 개체(주체)의 보안 종속성을 제어할 수 있는 경우 해당 개체를 제어할 수 있습니다.
점프 서버의 관리 세션은 액세스하는 로컬 컴퓨터의 무결성에 의존합니다. 이 컴퓨터가 피싱 공격 및 기타 인터넷 기반 공격 벡터의 대상이 되는 사용자 워크스테이션인 경우 관리 세션에도 이러한 위험이 적용됩니다.
이전 그림에서는 공격자가 설정된 제어 체인을 따라 관심 있는 대상 개체로 가는 방법을 보여 줍니다.
다단계 인증과 같은 일부 고급 보안 제어는 공격자가 사용자 워크스테이션에서 이 관리 세션을 인수하는 데 어려움을 겪을 수 있지만 공격자가 원본 컴퓨터에 대한 관리 액세스 권한이 있는 경우(예: 합법적인 세션에 불법 명령을 삽입하고, 합법적인 프로세스를 하이재킹하는 등) 기술 공격으로부터 완전히 보호할 수 있는 보안 기능은 없습니다.
이 PAW 지침의 기본 구성은 PAW에 관리 도구를 설치하지만 필요한 경우 점프 서버 아키텍처를 추가할 수도 있습니다.
이 그림에서는 제어 관계를 되돌리고 관리자 워크스테이션에서 사용자 앱에 액세스하면 공격자가 대상 개체에 대한 경로를 제공하지 않는 방법을 보여 줍니다. 사용자 점프 서버는 여전히 위험에 노출되므로 해당 인터넷 연결 컴퓨터에 적절한 보호 컨트롤, 형사 컨트롤 및 응답 프로세스를 적용해야 합니다.
이 구성을 사용하려면 관리자가 운영 사례를 면밀히 준수하여 실수로 데스크톱의 사용자 세션에 관리자 자격 증명을 입력하지 않도록 해야 합니다.
이 그림에서는 PAW에서 관리 점프 서버에 액세스하면 공격자가 관리 자산에 경로를 추가하지 않는 방법을 보여 줍니다. PAW가 있는 점프 서버를 사용하면 이 경우 관리 작업을 모니터링하고 관리 애플리케이션 및 도구를 배포하기 위한 위치 수를 통합할 수 있습니다. 이렇게 하면 디자인 복잡성이 추가되지만 PAW 구현에 많은 수의 계정 및 워크스테이션이 사용되는 경우 보안 모니터링 및 소프트웨어 업데이트를 간소화할 수 있습니다. 점프 서버를 빌드하고 PAW와 유사한 보안 표준으로 구성해야 합니다.
권한 관리 솔루션
Privileged Management 솔루션은 요청 시 불연속 권한 또는 권한 있는 계정에 대한 임시 액세스를 제공하는 애플리케이션입니다. 권한 관리 솔루션은 권한 있는 액세스를 보호하고 관리 활동의 매우 중요한 가시성과 책임을 제공하기 위한 완전한 전략의 중요한 구성 요소입니다.
이러한 솔루션은 일반적으로 유연한 워크플로를 사용하여 액세스 권한을 부여하며, 많은 솔루션에는 서비스 계정 암호 관리 및 관리 점프 서버와의 통합과 같은 다른 보안 기능과 기능이 있습니다. 시장에는 권한 관리 기능을 제공하는 많은 솔루션이 있으며, 그 중 하나는 MIM(Microsoft Identity Manager) PAM(권한 있는 액세스 관리)입니다.
PAW를 사용하여 권한 관리 솔루션에 액세스하는 것이 좋습니다. 이러한 솔루션에 대한 액세스 권한은 PAW에만 부여되어야 합니다. 잠재적으로 손상될 수 있는 사용자 데스크톱에서 이러한 솔루션을 사용하는 권한에 액세스하는 것은 다음 다이어그램에 표시된 것처럼 클린 소스 원칙을 위반하기 때문에 이러한 솔루션을 PAW 대신 사용하지 않는 것이 좋습니다.
이러한 솔루션에 액세스하는 PAW를 제공하면 다음 다이어그램에 표시된 대로 PAW 및 권한 관리 솔루션 모두의 보안 이점을 얻을 수 있습니다.
중요하다
이러한 시스템은 관리하는 권한의 가장 높은 계층으로 분류되어야 하며 해당 보안 수준 이상으로 보호되어야 합니다. 일반적으로 계층 0 솔루션 및 계층 0 자산을 관리하도록 구성되며 계층 0에서 분류해야 합니다.
MIM(Microsoft Identity Manager) PAM(권한 있는 액세스 관리) 배포에 대한 자세한 내용은 https://aka.ms/mimpamdeploy
PAW 시나리오
이 섹션에는 이 PAW 지침을 적용해야 하는 시나리오에 대한 지침이 포함되어 있습니다. 모든 시나리오에서 관리자는 원격 시스템 지원을 수행하기 위해 PAW만 사용하도록 학습되어야 합니다. 성공적이고 안전한 사용을 장려하려면 모든 PAW 사용자가 PAW 환경을 개선하기 위한 피드백을 제공하도록 권장해야 하며, PAW 프로그램과의 통합을 위해 이 피드백을 신중하게 검토해야 합니다.
모든 시나리오에서 이후 단계의 추가 강화 및 이 지침의 다른 하드웨어 프로필은 역할의 유용성 또는 보안 요구 사항을 충족하는 데 사용될 수 있습니다.
메모
이 지침은 인터넷의 특정 서비스(예: Azure 및 Microsoft 365 관리 포털)에 대한 액세스 요구와 모든 호스트 및 서비스의 "개방형 인터넷"을 명시적으로 구분합니다.
| 시나리오 | PAW를 사용하시겠습니까? | 범위 및 보안 고려 사항 |
|---|---|---|
| Active Directory 관리자 - 계층 0 | 예 | 1단계 지침으로 빌드된 PAW는 이 역할에 충분합니다. - 이 시나리오에 대한 가장 강력한 보호를 제공하기 위해 관리 포리스트를 추가할 수 있습니다. ESAE 관리 포리스트에 대한 자세한 내용은 ESAE 지속 사용 시나리오를 참조하세요. |
| Azure IaaS 및 PaaS 서비스 관리자 - 계층 0 또는 계층 1(범위 및 디자인 고려 사항 참조) | 예 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW는 이 역할에 충분합니다. - Microsoft Entra ID 및 구독 청구를 관리하는 사용자에게는 최소한 PAW를 반드시 사용해야 합니다. 중요 또는 민감한 서버의 위임된 관리자에 대해서도 PAW를 사용해야 합니다. |
| 관리자 Microsoft 365 테넌트 - 계층 1 |
예 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW는 이 역할에 충분합니다. - 구독 청구를 관리하는 사용자와 Microsoft Entra ID 및 Microsoft 365를 관리하는 사용자에 대해 PAW를 사용해야 합니다. 또한 매우 중요하거나 중요한 데이터의 위임된 관리자를 위해 PAW를 사용하는 것도 고려해야 합니다. |
| 기타 IaaS 또는 PaaS 클라우드 서비스 관리자 - 계층 0 또는 계층 1(범위 및 디자인 고려 사항 참조) |
예 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW는 이 역할에 충분합니다. - PAW는 에이전트 설치, 하드 디스크 파일 내보내기 또는 운영 체제가 있는 하드 드라이브, 중요한 데이터 또는 중요 비즈니스용 데이터가 저장된 스토리지에 액세스하는 기능을 포함하여 클라우드 호스팅 VM에 대한 관리 권한이 있는 모든 역할에 사용해야 합니다. |
| 가상화 관리자 - 계층 0 또는 계층 1(범위 및 디자인 고려 사항 참조) |
예 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW는 이 역할에 충분합니다. - PAW는 에이전트를 설치하거나, 가상 하드 디스크 파일을 내보내거나, 게스트 운영 체제 정보, 중요한 데이터 또는 중요 비즈니스용 데이터가 저장된 하드 드라이브가 저장된 스토리지에 액세스하는 기능을 포함하여 VM에 대한 관리 권한이 있는 모든 역할에 사용해야 합니다. 참고: 도메인 컨트롤러 또는 다른 계층 0 호스트가 구독에 있는 경우 가상화 시스템과 해당 관리자는 포리스트의 계층 0으로 간주됩니다. 가상화 시스템에서 호스트되는 계층 0 서버가 없는 경우 구독은 계층 1입니다. |
| 서버 유지 관리 관리자 - 계층 1 |
예 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW는 이 역할에 충분합니다. - WINDOWS 서버, Linux 및 기타 운영 체제를 실행하는 엔터프라이즈 서버 및 앱을 업데이트, 패치 및 문제를 해결하는 관리자에게 PAW를 사용해야 합니다. |
| 사용자 워크스테이션 관리자 - 계층 2 |
예 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW는 최종 사용자 디바이스(예: 기술 지원팀 및 데스크 사이드 지원 역할)에 대한 관리 권한이 있는 역할에 충분합니다. - 티켓 관리 및 기타 지원 기능을 사용하려면 다른 애플리케이션을 PAW에 설치해야 할 수 있습니다. |
| SQL, SharePoint 또는 LOB(기간 업무) 관리자 - 계층 1 |
예 | 2단계 지침으로 빌드된 PAW는 이 역할에 충분합니다. - 관리자가 원격 데스크톱을 사용하여 서버에 연결하지 않고도 애플리케이션을 관리할 수 있도록 다른 관리 도구를 PAW에 설치해야 할 수 있습니다. |
| 소셜 미디어 현재 상태를 관리하는 사용자 | 부분적 으로 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW를 시작점으로 사용하여 이러한 역할에 대한 보안을 제공할 수 있습니다. - 소셜 미디어 계정에 대한 액세스를 공유, 보호 및 추적하기 위해 Microsoft Entra ID를 사용하여 소셜 미디어 계정을 보호하고 관리합니다. |
| 표준 사용자 | 아니요 | PAW는 표준 사용자에 대해 많은 강화 단계를 사용할 수 있지만 대부분의 사용자가 작업 업무에 필요한 개방형 인터넷 액세스로부터 계정을 격리하도록 설계되었습니다. |
| 게스트 VDI/키오스크 | 아니요 | 게스트를 위한 키오스크 시스템에는 많은 강화 단계를 사용할 수 있지만 PAW 아키텍처는 민감도가 낮은 계정에 대한 높은 보안이 아니라 높은 민감도 계정에 더 높은 보안을 제공하도록 설계되었습니다. |
| VIP 사용자(임원, 연구원 등) | 부분적 으로 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW를 시작점으로 사용하여 이러한 역할에 대한 보안을 제공할 수 있습니다. - 이 시나리오는 표준 사용자 데스크톱과 유사하지만 일반적으로 더 작고 간단하며 잘 알려진 애플리케이션 프로필을 가집니다. 이 시나리오에서는 일반적으로 중요한 데이터, 서비스 및 애플리케이션을 검색하고 보호해야 합니다. |
| 산업용 제어 시스템(예: SCADA, PCN 및 DCS) | 부분적 으로 | 2단계에서 제공된 지침을 사용하여 빌드된 PAW는 대부분의 ICS 콘솔(SCADA 및 PCN과 같은 일반적인 표준 포함)에서 열린 인터넷을 검색하고 이메일을 확인할 필요가 없도록 이러한 역할에 대한 보안을 제공하기 위한 시작점으로 사용할 수 있습니다. - 물리적 기계를 제어하는 데 사용되는 애플리케이션은 호환성을 위해 통합 및 테스트되고 적절하게 보호되어야 합니다. |
| 포함된 운영 체제 | 아니요 | PAW의 많은 강화 단계를 포함된 운영 체제에 사용할 수 있지만 이 시나리오에서는 강화를 위해 사용자 지정 솔루션을 개발해야 합니다. |
메모
조합 시나리오 일부 담당자는 여러 시나리오에 걸친 관리 책임이 있을 수 있습니다. 이러한 경우 유의해야 할 주요 규칙은 계층 모델 규칙을 항상 따라야 한다는 것입니다.
PAW 프로그램이 더 많은 관리자와 역할을 포함하도록 확장됨에 따라, 보안 표준과 사용성을 계속 준수해야 합니다. 이를 위해서는 IT 지원 구조를 업데이트하거나 PAW 온보딩 프로세스, 인시던트 관리, 구성 관리 및 유용성 문제를 해결하기 위한 피드백 수집과 같은 PAW 관련 문제를 해결하기 위해 새 IT 지원 구조를 만들어야 할 수 있습니다. 한 가지 예로 조직에서 관리자를 위해 회사-가정용 시나리오를 사용하도록 설정하여 데스크톱 PAW에서 랩톱 PAW로의 전환이 필요하므로 추가 보안 고려 사항이 필요할 수 있습니다. 또 다른 일반적인 예는 새 관리자를 위한 교육을 만들거나 업데이트하는 것입니다. 이제 PAW의 적절한 사용에 대한 콘텐츠를 포함해야 하는 교육입니다(중요한 이유와 PAW가 무엇이고 그렇지 않은지 포함). PAW 프로그램의 크기를 조정할 때 해결해야 하는 더 많은 고려 사항은 지침의 2단계를 참조하세요.
이 지침에는 앞에서 설명한 대로 시나리오에 대한 PAW 구성에 대한 자세한 지침이 포함되어 있습니다. 다른 시나리오에 대한 요구 사항이 있는 경우 이 지침에 따라 지침을 직접 조정하거나 Microsoft와 같은 전문 서비스 조직을 고용하여 지원할 수 있습니다.
PAW 단계적 구현
PAW는 관리를 위해 안전하고 신뢰할 수 있는 원본을 제공해야 하므로 빌드 프로세스가 안전하고 신뢰할 수 있어야 합니다. 이 섹션에서는 Microsoft에서 사용하는 것과 유사한 일반적인 원칙 및 개념을 사용하여 사용자 고유의 PAW를 빌드할 수 있는 자세한 지침을 제공합니다.
지침은 가장 중요한 완화를 신속하게 시행한 다음 엔터프라이즈용 PAW 사용을 점진적으로 늘리고 확장하는 데 초점을 맞춘 세 단계로 나뉩니다.
동일한 전체 프로젝트의 일부로 계획되고 구현된 경우에도 단계가 항상 순서대로 수행되어야 합니다.
1단계: Active Directory 관리자를 위한 즉시 배포
목적: 온-프레미스 도메인 및 포리스트 관리 역할을 보호할 수 있는 PAW를 신속하게 제공합니다.
범위: 엔터프라이즈 관리자, 도메인 관리자(모든 도메인의 경우) 및 기타 신뢰할 수 있는 ID 시스템의 관리자를 포함한 계층 0 관리자.
1단계는 공격자가 자주 대상으로 하는 매우 중요한 역할인 온-프레미스 Active Directory 도메인을 관리하는 관리자에 중점을 둡니다. 이러한 ID 시스템은 Active Directory DC(도메인 컨트롤러)가 온-프레미스 데이터 센터, Azure IaaS(Infrastructure as a Service) 또는 다른 IaaS 공급자에 호스트되는지 여부에 관계없이 이러한 관리자를 보호하기 위해 효과적으로 작동합니다.
이 단계에서는 PAW(권한 있는 액세스 워크스테이션)를 호스트하고 PAW 자체를 배포하는 보안 관리 OU(Active Directory 조직 구성 단위) 구조를 만듭니다. 이 구조에는 PAW를 지원하는 데 필요한 그룹 정책 및 그룹도 포함됩니다.
인프라는 다음 OU, 보안 그룹 및 그룹 정책을 기반으로 합니다.
- OU(조직 구성 단위)
- 6개의 새로운 최상위 OU:
- 관리자
- 그룹
- 계층 1 서버
- 워크스테이션
- 사용자 계정
- 컴퓨터 격리.
- 6개의 새로운 최상위 OU:
- 그룹
- 6개의 새로운 보안 지원 글로벌 그룹:
- 계층 0 복제 유지 관리
- 계층 1 서버 유지 관리
- Service Desk 운영자
- 워크스테이션 유지 관리
- PAW 사용자
- PAW 유지 관리.
- 6개의 새로운 보안 지원 글로벌 그룹:
- 그룹 정책 개체:
- PAW 구성 - 컴퓨터
- PAW 구성 - 사용자
- RestrictedAdmin 필수 - 컴퓨터
- PAW 아웃바운드 제한
- 워크스테이션 로그온 제한
- 서버 로그온을 제한합니다.
1단계에는 다음 단계가 포함됩니다.
필수 구성 요소 완료
모든 관리자가 관리 및 최종 사용자 활동 별도의 개별 계정을 사용하는지 확인합니다(전자 메일, 인터넷 검색, 기간 업무 애플리케이션 및 기타 비지정 활동 포함). 특정 계정만 PAW 자체에 로그온할 수 있으므로 인증된 각 사용자에게 표준 사용자 계정과 별도로 관리 계정을 할당하는 것은 PAW 모델의 기본 사항입니다.
중요하다
각 관리자는 자신의 계정을 관리용으로 사용해야 합니다. 관리 계정을 공유하지 마세요.
계층 0 권한 있는 관리자 수를 최소화합니다. 각 관리자는 PAW를 사용해야 하므로 관리자 수를 줄이면 이를 지원하는 데 필요한 PAW 수와 관련 비용이 줄어듭니다. 관리자 수가 낮을수록 이러한 권한 및 관련 위험에 대한 노출도 줄어듭니다. 한 위치의 관리자가 PAW를 공유할 수 있지만 별도의 물리적 위치의 관리자에게는 별도의 PAW가 필요합니다.
모든 기술 요구 사항을 충족하는 신뢰할 수 있는 공급업체로부터 하드웨어를 획득합니다. Microsoft는 Credential Guard로 도메인 자격 증명을 보호하는문서의 기술 요구 사항을 충족하는 하드웨어를 획득할 것을 권장합니다.
메모
이러한 기능 없이 하드웨어에 설치된 PAW는 상당한 보호를 제공할 수 있지만 Credential Guard 및 Device Guard와 같은 고급 보안 기능은 사용할 수 없습니다. 1단계 배포에는 Credential Guard 및 Device Guard가 필요하지 않지만 3단계(고급 강화)의 일부로 강력하게 권장됩니다.
PAW에 사용되는 하드웨어가 조직에서 보안 사례를 신뢰하는 제조업체 및 공급업체에서 제공하는지 확인합니다. 이는 공급망 보안에 대한 클린 소스 원칙의 적용입니다.
필요한 Windows 11 Enterprise Edition 및 애플리케이션 소프트웨어획득하고 유효성을 검사합니다.
- Windows 11 Enterprise Edition
- Windows 11용 원격 서버 관리 도구
- Windows 11 보안 기준
메모
Microsoft는 MSDN에 모든 운영 체제 및 애플리케이션에 대한 MD5 해시를 게시하지만, 모든 소프트웨어 공급업체가 유사한 설명서를 제공하는 것은 아닙니다. 이러한 경우 다른 전략이 필요합니다.
인트라넷WSUS 서버를 사용할 수 있는지 확인합니다. PAW에 대한 업데이트를 다운로드하고 설치하려면 인트라넷에 WSUS 서버가 필요합니다. 이 WSUS 서버는 Windows 11에 대한 모든 보안 업데이트를 자동으로 승인하도록 구성되어야 합니다. 또는 관리자가 소프트웨어 업데이트를 신속하게 승인할 책임과 책임이 있어야 합니다. 자세한 내용은 업데이트 승인 지침"설치를 위한 업데이트 자동 승인" 섹션을 참조하세요.
계층 0 계정을 Admin\Tier 0\Accounts OU로 이동
도메인 관리자, 엔터프라이즈 관리자 또는 계층 0 해당 그룹(중첩 멤버 자격 포함)의 구성원인 각 계정을 이 OU로 이동합니다. 조직에 이러한 그룹에 추가된 고유한 그룹이 있는 경우 Admin\Tier 0\Groups OU로 이동해야 합니다.
관련 그룹에 적절한 멤버 추가
PAW 사용자 - 1단계에서 식별한 도메인 또는 엔터프라이즈 관리자 그룹을 사용하여 티어 0 관리자를 추가합니다.
PAW 유지 관리 - PAW 유지 관리 및 문제 해결 작업에 사용되는 계정을 하나 이상 추가합니다. PAW 유지 관리 계정은 거의 사용되지 않습니다.
중요하다
PAW 사용자 및 PAW 유지 관리에 동일한 사용자 계정 또는 그룹을 추가하지 마세요. PAW 보안 모델은 PAW 사용자 계정에 관리되는 시스템 또는 PAW 자체에 대한 권한이 있지만 둘 다에 대한 권한이 없다는 가정에 부분적으로 기반합니다.
- 이는 1단계에서 좋은 관리 관행과 습관을 구축하는 데 중요합니다.
- 이는 PAW가 계층에 걸쳐 있기 때문에 PAW를 통한 권한 상승 방지를 위해 2단계 이상에서 매우 중요합니다.
이상적으로는 업무 분리 원칙을 적용하기 위해 여러 계층의 직무에 담당자가 할당되지 않지만 Microsoft는 많은 조직에서 이 완전한 분리를 허용하지 않는 제한된 직원(또는 기타 조직 요구 사항)을 가지고 있음을 인식합니다. 이러한 경우 동일한 담당자가 두 역할에 할당될 수 있지만 이러한 함수에 대해 동일한 계정을 사용하면 안 됩니다.
GPO("PAW 구성 - 컴퓨터" 그룹 정책 개체) 만들기
이 섹션에서는 이러한 PAW에 대한 특정 보호를 제공하는 새 "PAW 구성 - 컴퓨터" GPO를 만들고 계층 0 디바이스 OU(계층 0\관리자 아래의 "디바이스")에 연결합니다.
경고
기본 도메인 정책이러한 설정을 추가하지 마세요. 이렇게 하면 전체 Active Directory 환경의 작업에 영향을 줄 수 있습니다. 여기에 설명된 새로 만든 GPO에서만 이러한 설정을 구성하고 PAW OU에만 적용합니다.
PAW 유지 관리 액세스 - 이 설정은 PAW의 특정 권한 있는 그룹의 멤버 자격을 특정 사용자 집합으로 설정합니다. 컴퓨터 구성\기본 설정\제어판 설정\로컬 사용자 및 그룹으로 이동하여 다음 단계를 완료합니다.
새로 만들기을 클릭하고 로컬 그룹을 클릭합니다.
업데이트 작업을 선택하고 "관리자(기본 제공)"를 선택합니다(찾아보기 단추를 사용하여 도메인 그룹 관리자를 선택하지 않음).
모든 구성원 사용자 삭제 선택하고 모든 구성원 그룹 삭제 확인란을 선택합니다.
PAW 유지 관리(pawmaint)와 관리자(Administrator)를 추가하십시오. 참고로, 다시 말하지만 '찾아보기' 단추를 사용하여 관리자를 선택하지 마십시오.
중요하다
PAW 사용자 그룹을 로컬 관리자 그룹의 멤버 자격 목록에 추가하지 마세요. PAW 사용자가 PAW 자체의 보안 설정을 실수로 또는 의도적으로 수정할 수 없도록 하려면 로컬 관리자 그룹의 구성원이 아니어야 합니다.
그룹 정책 기본 설정을 사용하여 그룹 멤버 자격을 수정하는 방법에 대한 자세한 내용은 TechNet 문서 로컬 그룹 항목 구성참조하세요.
로컬 그룹 멤버 자격 제한 - 이 설정은 워크스테이션에서 로컬 관리 그룹의 멤버 자격이 항상 비어 있는지 확인합니다.
컴퓨터 구성\기본 설정\제어판 설정\로컬 사용자 및 그룹으로 이동하여 다음 단계를 완료합니다.
- 새로 만들기을 클릭하고 로컬 그룹을 클릭합니다.
- 업데이트 작업을 선택하고 "Backup 연산자(기본 제공)"를 선택합니다(찾아보기 단추를 사용하여 도메인 그룹 Backup 연산자를 선택하지 않음).
- 모든 구성원 사용자 삭제 및 모든 구성원 그룹 삭제 확인란을 선택합니다.
- 그룹에 구성원을 추가하지 마세요. 빈 목록을 할당하면 그룹 정책이 자동으로 모든 구성원을 제거하고 그룹 정책을 새로 고칠 때마다 빈 멤버 자격 목록을 확인합니다.
다음 그룹에 대한 이전 단계를 완료합니다.
- 암호화 연산자
- Hyper-V 관리자
- 네트워크 구성 연산자
- 고급 사용자
- 원격 데스크톱 사용자
- 복제자
PAW 로그온 제한 - 이 설정은 PAW에 로그온할 수 있는 계정을 제한합니다. 다음 단계를 완료하여 이 설정을 구성합니다.
- 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\로컬 로그온 허용으로 이동합니다.
- 이러한 정책 설정 정의를 선택하고 "PAW 사용자" 및 관리자를 추가합니다(다시 찾아보기 단추를 사용하여 관리자를 선택하지 않음).
인바운드 네트워크 트래픽 차단 - 이 설정은 PAW에 대한 원치 않는 인바운드 네트워크 트래픽이 허용되지 않도록 합니다. 다음 단계를 완료하여 이 설정을 구성합니다.
- 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안이 있는 Windows 방화벽으로 이동하여 다음 단계를 완료합니다.
- 고급 보안이 있는 Windows 방화벽을 마우스 오른쪽 단추로 클릭하고 정책 가져오기선택합니다.
- 예를 클릭하여 기존 방화벽 정책이 모두 덮어쓰이는 것에 동의합니다.
- PAWFirewall.wfw로 이동하고 열기를 선택합니다.
- 확인클릭합니다.
메모
이 시점에서 원치 않는 트래픽(예: 보안 검색 또는 관리 소프트웨어)을 사용하여 PAW에 도달해야 하는 주소 또는 서브넷을 추가할 수 있습니다. WFW 파일의 설정은 모든 방화벽 프로필에 대해 "차단 - 기본" 모드에서 방화벽을 사용하도록 설정하고, 규칙 병합을 해제하고, 삭제된 패킷과 성공한 패킷의 로깅을 사용하도록 설정합니다. 이러한 설정은 PAW에서 시작된 연결에서 양방향 통신을 허용하면서 원치 않는 트래픽을 차단하고, 로컬 관리자 액세스 권한이 있는 사용자가 GPO 설정을 재정의하는 로컬 방화벽 규칙을 만들지 못하게 하고 PAW 내/외부의 트래픽이 기록되도록 합니다. 이 방화벽을 열면 PAW에 대한 공격 표면이 확장되고 보안 위험이 높아집니다. 주소를 추가하기 전에 이 지침의 PAW 관리 및 운영 섹션을 참조하세요..
- 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안이 있는 Windows 방화벽으로 이동하여 다음 단계를 완료합니다.
WSUS 대한 Windows 업데이트 구성 다음 단계를 완료하여 PAW에 대한 Windows 업데이트를 구성하도록 설정을 변경합니다.
- 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows 업데이트로 이동하여 다음 단계를 완료합니다.
- 자동 업데이트 구성 정책 을 사용하도록 설정합니다.
- 옵션 4를 선택하여 자동 다운로드 및 설치을 예약합니다.
- 예약된 설치일 옵션을 0 - 매일 변경하고 예약된 설치 시간을 조직의 기본 설정으로 옵션을 변경합니다.
- 사용 옵션 인트라넷 Microsoft 업데이트 서비스 위치 정책을 지정합니다.
- 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows 업데이트로 이동하여 다음 단계를 완료합니다.
다음과 같이 "PAW 구성 - 컴퓨터" GPO를 연결합니다.
정책 링크 위치 PAW 구성 - 컴퓨터 관리자\Tier 0\장치
GPO("PAW 구성 - 사용자" 그룹 정책 개체) 만들기
이 섹션에서는 이러한 PAW에 대한 특정 보호를 제공하는 새 "PAW 구성 - 사용자" GPO를 만들고 계층 0 계정 OU(계층 0\관리자 아래의 "계정")에 연결합니다.
경고
기본 도메인 정책에 이러한 설정을 추가하지 마세요.
-
인터넷 검색 차단 - 실수로 인터넷 검색을 방지하기 위해 루프백 주소(127.0.0.1)의 프록시 주소를 설정합니다.
사용자 구성\기본 설정\Windows 설정\레지스트리로 이동합니다. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새 >레지스트리 항목선택하고 다음 설정을 구성합니다.
작업: 바꾸기
Hive: HKEY_CURRENT_USER
키 경로: Software\Microsoft\Windows\CurrentVersion\Internet Settings
값 이름: ProxyEnable
주의
값 이름 왼쪽에 있는 기본 상자를 선택하지 마세요.
값 형식: REG_DWORD
값 데이터: 1
- 일반 탭을 클릭하고 더 이상 적용되지 않으면 이 항목을 제거선택합니다.
- 공통 탭에서 항목 수준 대상 지정 선택하고 대상 지정클릭합니다.
- 새 항목 클릭하고 보안 그룹선택합니다.
- "..." 선택 단추를 클릭하고 PAW 사용자 그룹을 찾습니다.
- 새 항목 클릭하고 보안 그룹선택합니다.
- "..." 선택 단추를 클릭하고 Cloud Services Admins 그룹을 찾습니다.
- Cloud Services Admins 항목을 클릭하고 항목 옵션클릭합니다.
- 이이 아닙니다.
- 대상 지정 창에서 확인을 클릭하세요.
확인 클릭하여 ProxyServer 그룹 정책 설정을 완료합니다.
사용자 구성\기본 설정\Windows 설정\레지스트리로 이동합니다. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새 >레지스트리 항목선택하고 다음 설정을 구성합니다.
- 작업: 바꾸기
- 하이브: HKEY_CURRENT_USER
- 키 경로: Software\Microsoft\Windows\CurrentVersion\Internet Settings
값 이름: ProxyServer
주의
값 이름 왼쪽에 있는 기본 상자를 선택하지 마세요.
값 형식: REG_SZ
값 데이터: 127.0.0.1:80
- 공통 탭을 클릭하고 더 이상 적용되지 않으면 이 항목 제거선택합니다.
- 공통 탭에서 항목 수준 대상 지정 선택하고 대상 지정클릭합니다.
- 새 항목 클릭하고 보안 그룹을 선택합니다.
- "..." 선택 단추를 클릭하고 PAW 사용자 그룹을 추가합니다.
- 새 항목 클릭하고 보안 그룹을 선택합니다.
- "..." 버튼을 선택하고 Cloud Services Admins 그룹을 찾으세요.
- Cloud Services Admins 항목을 클릭하고 항목 옵션클릭합니다.
- 는이 아닙니다.
- 대상 지정 창에서 확인을 클릭하세요.
확인 클릭하여 ProxyServer 그룹 정책 설정을 완료합니다.
- 사용자 구성\정책\관리 템플릿\Windows 구성 요소\Internet Explorer로 이동하여 다음 옵션을 사용하도록 설정합니다. 이러한 설정을 사용하면 관리자가 프록시 설정을 수동으로 재정의할 수 없습니다.
- 자동 구성 설정 변경을 사용하지 않도록 설정합니다.
- 프록시 설정 변경 방지를 활성화합니다.
관리자가 하위 계층 호스트에 로그온하지 못하도록 제한
이 섹션에서는 권한 있는 관리 계정이 하위 계층 호스트에 로그온하지 못하도록 그룹 정책을 구성합니다.
새 워크스테이션 로그온 제한 GPO를 만듭니다. 이 설정은 계층 0 및 계층 1 관리자 계정이 표준 워크스테이션에 로그온하는 것을 제한합니다. 이 GPO는 "워크스테이션" 최상위 OU에 연결되어야 하며 다음 설정을 사용해야 합니다.
컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\로그온을 일괄 작업으로 거부하려면 이러한 정책 설정을 정의하고 다음을 포함한 계층 0 및 계층 1 그룹을 추가합니다.
- 기본 제공 계층 0 그룹
- 엔터프라이즈 관리자
- 도메인 관리자
- 스키마 관리자
- BUILTIN\Administrators
- 계정 관리자
- 백업 운영자
- 인쇄 작업자
- 서버 연산자
- 도메인 컨트롤러
- Read-Only 도메인 컨트롤러
- 그룹 정책 작성자 및 소유자
- 암호화 연산자
- 유효한 계층 0 액세스 권한이 있는 사용자 지정 만든 그룹을 포함한 기타 위임된 그룹입니다.
- 계층 1 관리자
- 기본 제공 계층 0 그룹
컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\서비스로 로그온 거부에서 정책 설정 정의하고 계층 0 및 계층 1 그룹을 추가합니다.
- 기본 제공 계층 0 그룹
- 엔터프라이즈 관리자
- 도메인 관리자
- 스키마 관리자
- BUILTIN\Administrators
- 계정 관리자
- 백업 운영자
- 출력 담당자
- 서버 연산자
- 도메인 컨트롤러
- Read-Only 도메인 컨트롤러
- 그룹 정책 생성자 소유자
- 암호화 연산자
- 유효한 계층 0 액세스 권한이 있는 사용자 지정 만든 그룹을 포함한 기타 위임된 그룹입니다.
- 계층 1 관리자
- 기본 제공 계층 0 그룹
새 서버 로그온 제한 GPO 만들기 - 이 설정은 계층 0 관리자 계정이 계층 1 서버에 로그온하는 것을 제한합니다. 이 GPO는 "계층 1 서버" 최상위 OU에 연결되어야 하며 다음 설정이 있어야 합니다.
컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\일괄 작업으로 로그온 거부에서 정책 설정 정의하고 계층 0 그룹을 추가합니다.
- 기본 제공 계층 0 그룹
- 엔터프라이즈 관리자
- 도메인 관리자
- 스키마 관리자
- BUILTIN\Administrators
- 계정 관리자
- 백업 운영자
- 인쇄 작업자
- 서버 연산자
- 도메인 컨트롤러
- Read-Only 도메인 컨트롤러
- 그룹 정책 생성자와 소유자
- 암호화 연산자
- 유효한 계층 0 액세스 권한이 있는 사용자 지정 만든 그룹을 포함한 기타 위임된 그룹입니다.
- 기본 제공 계층 0 그룹
컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\서비스로 로그온 거부에서 이러한 정책 설정 정의 및 계층 0 그룹을 추가합니다.
- 기본 제공 계층 0 그룹
- 엔터프라이즈 관리자
- 도메인 관리자
- 스키마 관리자
- BUILTIN\Administrators
- 계정 관리자
- 백업 운영자
- 인쇄 작업자
- 서버 연산자
- 도메인 컨트롤러
- Read-Only 도메인 컨트롤러
- 그룹 정책 생성자 소유자
- 암호화 연산자
- 유효한 계층 0 액세스 권한이 있는 사용자 지정 만든 그룹을 포함한 기타 위임된 그룹입니다.
- 기본 제공 계층 0 그룹
컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\로컬 로그온 거부에서 이러한 정책 설정 정의 및 계층 0 그룹을 추가합니다.
- 기본 제공 계층 0 그룹
- 엔터프라이즈 관리자
- 도메인 관리자
- 스키마 관리자
- BUILTIN\Administrators
- 계정 운영자
- 백업 운영자
- 인쇄 작업자
- 서버 연산자
- 도메인 컨트롤러
- Read-Only 도메인 컨트롤러
- 그룹 정책 생성자 소유자
- 암호화 연산자
- 유효한 계층 0 액세스 권한이 있는 사용자 지정 만든 그룹을 포함한 기타 위임된 그룹입니다.
- 기본 제공 계층 0 그룹
당신의 PAW 배포
중요하다
운영 체제 빌드 프로세스 중에 PAW가 네트워크에서 연결이 끊어지는지 확인합니다.
이전에 가져온 클린 소스 설치 미디어를 사용하여 Windows 11을 설치합니다.
메모
MDT(Microsoft Deployment Toolkit) 또는 다른 자동화된 이미지 배포 시스템을 사용하여 PAW 배포를 자동화할 수 있지만 빌드 프로세스가 PAW만큼 신뢰할 수 있는지 확인해야 합니다. 악의적 사용자는 특히 기존 배포 시스템 또는 이미지를 사용하지 않도록 지속성 메커니즘으로 회사 이미지 및 배포 시스템(ISO, 배포 패키지 등 포함)을 찾습니다.
PAW 배포를 자동화하는 경우 다음을 수행해야 합니다.
- 유효성이 검사되고 인증된 설치 미디어를 사용하여 시스템을 빌드합니다.
- 운영 체제 빌드 프로세스 중에 자동화된 배포 시스템의 연결이 끊어지는지 확인합니다.
로컬 관리자 계정에 대한 고유한 복잡한 암호를 설정합니다. 환경의 다른 계정에 사용된 암호를 사용하지 마세요.
메모
MICROSOFT는 LAPS(로컬 관리자 암호 솔루션) 사용하여 PAW를 포함한 모든 워크스테이션의 로컬 관리자 암호를 관리하는 것이 좋습니다. LAPS를 사용하는 경우 PAW 유지 관리 그룹에만 PAW에 대한 LAPS 관리 암호를 읽을 수 있는 권한만 부여해야 합니다.
클린 소스 설치 미디어를 사용하여 Windows 11용 원격 서버 관리 도구를 설치합니다.
Windows Defender Exploit Guard 구성
PAW를 네트워크에 연결합니다. PAW가 하나 이상의 DC(도메인 컨트롤러)에 연결할 수 있는지 확인합니다.
PAW 유지 관리 그룹의 구성원인 계정을 사용하여 새로 만든 PAW에서 다음 PowerShell 명령을 실행하여 해당 OU의 도메인에 조인합니다.
Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"Fabrikam 대한 참조를 도메인 이름으로 적절하게 바꿉니다. 도메인 이름이 여러 수준(예: child.fabrikam.com)으로 확장되는 경우 도메인의 정규화된 도메인 이름에 표시되는 순서대로 "DC=" 식별자를 사용하여 다른 이름을 추가합니다.
다른 소프트웨어(관리 도구, 에이전트 등)를 설치하기 전에 중요하고 중요한 모든 Windows 업데이트를 적용합니다.
그룹 정책 애플리케이션을 강제로 적용합니다.
- 관리자 권한 명령 프롬프트를 열고 다음 명령을 입력합니다.
Gpupdate /force /sync - 컴퓨터 다시 시작
- 관리자 권한 명령 프롬프트를 열고 다음 명령을 입력합니다.
(선택 사항) Active Directory 관리자를 위한 기타 필수 도구를 설치합니다. 작업 업무를 수행하는 데 필요한 다른 도구 또는 스크립트를 설치합니다. PAW에 추가하기 전에 도구를 사용하여 대상 컴퓨터에서 자격 증명 노출의 위험을 평가해야 합니다.
메모
이러한 도구의 중앙 위치에 점프 서버를 사용하면 보안 경계로 작동하지 않더라도 복잡성을 줄일 수 있습니다.
(선택 사항) 필요한 원격 액세스 소프트웨어를 다운로드하고 설치합니다. 관리자가 관리에 PAW를 원격으로 사용하는 경우 원격 액세스 솔루션 공급업체의 보안 지침을 사용하여 원격 액세스 소프트웨어를 설치합니다.
메모
PAW를 통해 원격 액세스를 허용하는 데 관련된 모든 위험을 신중하게 고려합니다. 모바일 PAW를 사용하면 가정용 작업을 비롯한 많은 중요한 시나리오를 사용할 수 있지만 원격 액세스 소프트웨어는 공격에 취약하고 PAW를 손상시키는 데 사용될 수 있습니다.
다음 단계를 사용하여 모든 적절한 설정이 있는지 검토하고 확인하여 PAW 시스템의 무결성을 확인합니다.
- PAW 관련 그룹 정책만 PAW에 적용되는지 확인합니다.
- 관리자 권한 명령 프롬프트를 열고 다음 명령을 입력합니다.
Gpresult /scope computer /r - 결과 목록을 검토하고 표시되는 유일한 그룹 정책이 이전에 만든 정책인지 확인합니다.
- 관리자 권한 명령 프롬프트를 열고 다음 명령을 입력합니다.
- 다음 단계를 사용하여 PAW에서 다른 사용자 계정이 권한 있는 그룹의 구성원이 아닌지 확인합니다.
로컬 사용자 및 그룹 편집(lusrmgr.msc)을 열고, 그룹선택하고, 로컬 관리자 그룹의 유일한 구성원이 로컬 관리자 계정 및 PAW 유지 관리 전역 보안 그룹인지 확인합니다.
중요하다
PAW 사용자 그룹은 로컬 관리자 그룹의 구성원이 아니어야 합니다. 유일한 멤버는 로컬 관리자 계정 및 PAW 유지 관리 전역 보안 그룹이어야 합니다(PAW 사용자도 해당 전역 그룹의 구성원이 아니어야 합니다).
또한 로컬 사용자 및 그룹 편집사용하여 다음 그룹에 구성원이 없는지 확인합니다.
- 백업 관리자
- 암호화 연산자
- Hyper-V 관리자
- 네트워크 구성 연산자
- 고급 사용자
- 원격 데스크톱 사용자
- 복제자
- PAW 관련 그룹 정책만 PAW에 적용되는지 확인합니다.
(선택 사항) 조직에서 SIEM(보안 정보 및 이벤트 관리) 솔루션을 사용하는 경우 PAW가 WEF(Windows 이벤트 전달) 사용하여 시스템에 이벤트를 전달하도록 구성되었는지, 아니면 SIEM이 PAW에서 이벤트 및 정보를 적극적으로 수신하도록 솔루션에 등록되었는지 확인합니다. 이 작업의 세부 정보는 SIEM 솔루션에 따라 달라집니다.
메모
SIEM에 PAW에서 시스템 또는 로컬 관리 계정으로 실행되는 에이전트가 필요한 경우 도메인 컨트롤러 및 ID 시스템과 동일한 수준의 신뢰로 SIEM을 관리해야 합니다.
(선택 사항) PAW에서 로컬 관리자 계정의 암호를 관리하기 위해 LAPS를 배포하도록 선택한 경우 암호가 성공적으로 등록되었는지 확인합니다.
- LAPS 관리 암호를 읽을 수 있는 권한이 있는 계정을 사용하여 Active Directory 사용자 및 컴퓨터(dsa.msc)를 엽니다. 고급 기능이 사용하도록 설정되어 있는지 확인하고 적절한 컴퓨터 개체를 마우스 오른쪽 단추로 클릭합니다. 특성 편집기 탭을 선택하고 msSVSadmPwd 값이 유효한 암호로 채워져 있는지 확인합니다.
2단계: 모든 관리자에게 PAW 확장
범위: 중요 업무용 애플리케이션 및 종속성에 대한 관리 권한이 있는 모든 사용자입니다. 여기에는 애플리케이션 서버, 운영 상태 및 보안 모니터링 솔루션, 가상화 솔루션, 스토리지 시스템 및 네트워크 디바이스의 관리자 이상이 포함되어야 합니다.
메모
이 단계의 지침에서는 1단계가 전체적으로 완료되었다고 가정합니다. 1단계의 모든 단계를 완료할 때까지 2단계를 시작하지 마세요.
모든 단계가 완료되었는지 확인한 후 다음 단계를 수행하여 2단계를 완료합니다.
(권장) RestrictedAdmin 모드 사용
기존 서버 및 워크스테이션에서 이 기능을 사용하도록 설정한 다음, 이 기능의 사용을 강제합니다. 이 기능을 사용하려면 대상 서버가 Windows Server 2008 R2 이상을 실행하고 대상 워크스테이션이 Windows 7 이상을 실행해야 합니다.
이 페이지사용 가능한 지침에 따라 서버 및 워크스테이션에서 RestrictedAdmin 모드를 사용하도록 설정합니다.
메모
인터넷 연결 서버에 대해 이 기능을 사용하도록 설정하기 전에 이전에 도난당한 암호 해시를 사용하여 악의적 사용자가 이러한 서버에 인증할 수 있는 위험을 고려해야 합니다.
"RestrictedAdmin Required - Computer" 그룹 정책 개체(GPO)를 만듭니다. 이 섹션에서는 나가는 원격 데스크톱 연결에 /RestrictedAdmin 스위치를 사용하도록 적용하여 대상 시스템의 자격 증명 도난으로부터 계정을 보호하는 GPO를 만듭니다.
- 컴퓨터 구성\정책\관리 템플릿\시스템\자격 증명 위임\원격 서버에 대한 자격 증명 위임 제한으로 이동하여 사용설정하세요.
다음 정책 옵션을 사용하여 RestrictedAdmin Required - Computer를 적합한 1단계 및/또는 2단계 디바이스에 연결합니다.
- PAW 구성 - 컴퓨터
- -> 링크 위치: Admin\Tier 0\Devices(기존)
- PAW 구성 - 사용자
- -> 링크 위치: Admin\Tier 0\Accounts
- RestrictedAdmin 요구됨 - 컴퓨터
- ->Admin\Tier1\Devices 또는 -> Admin\Tier2\Devices(둘 다 선택 사항)
메모
이러한 시스템은 이미 환경의 모든 자산을 완전히 제어하고 있으므로 계층 0 시스템에는 필요하지 않습니다.
- PAW 구성 - 컴퓨터
계층 1 개체를 적절한 OU로 이동
계층 1 그룹을 Admin\Tier 1\Groups OU로 이동합니다. 다음의 관리 권한을 부여하는 그룹을 모두 찾아 이 OU로 이동합니다.
- 둘 이상의 서버에서 로컬 관리자
- 클라우드 서비스에 대한 관리 액세스
- 엔터프라이즈 애플리케이션에 대한 관리 액세스
- 둘 이상의 서버에서 로컬 관리자
계층 1 계정을 Admin\Tier 1\Accounts OU로 이동합니다. 해당 계층 1 그룹의 멤버인 각 계정(중첩 멤버 자격 포함)을 이 OU로 이동합니다.
관련 그룹에 적절한 멤버 추가
계층 1 관리자 - 이 그룹에는 계층 2 호스트에 로그온할 수 없는 계층 1 관리자가 포함되어 있습니다. 서버 또는 인터넷 서비스에 대한 관리 권한이 있는 모든 계층 1 관리 그룹을 추가합니다.
중요하다
관리 담당자가 여러 계층에서 자산을 관리할 의무가 있는 경우 계층당 별도의 관리자 계정을 만들어야 합니다.
Credential Guard를 사용하도록 설정하여 자격 증명 도난 및 재사용 위험을 줄입니다. Credential Guard는 자격 증명에 대한 애플리케이션 액세스를 제한하여 자격 증명 도난 공격(Pass-the-Hash 포함)을 방지하는 Windows 11의 새로운 기능입니다. Credential Guard는 최종 사용자에게 투명하며 최소한의 설정 시간과 노력이 필요합니다. 배포 단계 및 하드웨어 요구 사항을 포함하여 Credential Guard에 대한 자세한 내용은 credential Guard 사용하여 도메인 자격 증명 보호문서를 참조하세요.
메모
Credential Guard를 구성하고 사용하려면 Device Guard를 사용하도록 설정해야 합니다. 그러나 Credential Guard를 사용하기 위해 다른 Device Guard 보호를 구성할 필요는 없습니다.
(선택 사항) Cloud Services에 대한 연결을 사용하도록 설정합니다. 이 단계를 통해 적절한 보안 보증을 통해 Azure 및 Microsoft 365와 같은 클라우드 서비스를 관리할 수 있습니다. Microsoft Intune에서 PAW를 관리하려면 이 단계도 필요합니다.
메모
Intune에서 클라우드 서비스 또는 관리를 관리하는 데 클라우드 연결이 필요하지 않은 경우 이 단계를 건너뜁니다.
- 이러한 단계는 인터넷을 통한 통신을 권한 있는 클라우드 서비스(개방형 인터넷이 아님)로만 제한하고 인터넷에서 콘텐츠를 처리하는 브라우저 및 기타 애플리케이션에 보호를 추가합니다. 이러한 관리용 PAW는 인터넷 통신 및 생산성과 같은 표준 사용자 작업에 사용해서는 안 됩니다.
- PAW 서비스에 대한 연결을 사용하도록 설정하려면 다음 단계를 완료합니다.
권한 있는 인터넷 대상만 허용하도록 PAW를 구성합니다. 클라우드 관리를 활성화하기 위해 PAW 배포를 확장할 때, 관리자에 대한 공격이 보다 쉽게 노려질 수 있는 개방형 인터넷에서의 액세스를 차단하는 한편, 인증된 서비스에 대한 액세스를 허용해야 합니다.
Cloud Services Admins 그룹을 만들고 인터넷의 클라우드 서비스에 액세스해야 하는 모든 계정을 추가합니다.
PAW proxy.pac 파일을 TechNet 갤러리에서 다운로드하고, 내부 웹사이트에 게시하십시오.
메모
다운로드 후 proxy.pac 파일을 업데이트하여 up-to-date 및 complete인지 확인해야 합니다. Microsoft는 Office 지원 센터에서 모든 현재 Microsoft 365 및 Azure URL을 게시합니다. 이러한 지침에서는 Microsoft 365, Azure 및 기타 클라우드 서비스를 관리하기 위해 Internet Explorer(또는 Microsoft Edge)를 사용한다고 가정합니다. Microsoft는 관리에 필요한 타사 브라우저에 대해 유사한 제한을 구성하는 것이 좋습니다. PAW의 웹 브라우저는 클라우드 서비스 관리에만 사용해야 하며 일반 웹 브라우징에는 사용하지 않아야 합니다.
다른 IaaS 공급자를 위해 이 목록에 추가할 다른 유효한 인터넷 대상을 추가해야 할 수도 있지만 생산성, 엔터테인먼트, 뉴스 또는 검색 사이트를 이 목록에 추가하지 마세요.
이러한 주소에 사용할 유효한 프록시 주소를 수용하도록 PAC 파일을 조정해야 할 수도 있습니다.
심층 방어를 위해 웹 프록시를 사용하여 PAW에서 액세스를 제한할 수도 있습니다. PAC 파일 없이는 회사 네트워크에 연결된 동안에만 PAW에 대한 액세스만 제한되므로 이 파일을 사용하지 않는 것이 좋습니다.
proxy.pac 파일을 구성한 후 PAW 구성 - 사용자 GPO를 업데이트합니다.
- 사용자 구성\기본 설정\Windows 설정\레지스트리로 이동합니다. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새 >레지스트리 항목선택하고 다음 설정을 구성합니다.
작업: 바꾸기
Hive: HKEY_CURRENT_USER
키 경로: Software\Microsoft\Windows\CurrentVersion\Internet Settings
값 이름: AutoConfigUrl
주의
값 이름 왼쪽에 있는 기본 상자를 선택하지 마세요.
값 형식: REG_SZ
값 데이터: http:// 및 파일 이름을 포함하여 proxy.pac 파일에 전체 URL을 입력합니다(예:
http://proxy.fabrikam.com/proxy.pac). URL은 단일 레이블 URL일 수도 있습니다(예:http://proxy/proxy.pac메모
PAC 파일은
file://server.fabrikan.com/share/proxy.pac구문을 사용하여 파일 공유에서 호스트할 수도 있지만 이를 위해서는 file:// 프로토콜을 허용해야 합니다. 필요한 레지스트리 값 구성에 대한 자세한 내용은 이 웹 프록시 구성 블로그의 "참고:File://기반 프록시 스크립트 사용 중단" 섹션을 참조하세요.공통 탭을 클릭하고 더 이상 적용되지 않으면 이 항목을 제거선택합니다.
공통 탭에서 항목 수준 대상 지정 선택하고 대상 지정클릭합니다.
새 항목 클릭하고 보안 그룹선택합니다.
"..." 선택 버튼을 누르고 Cloud Services Admins 그룹을 검색합니다.
새 항목 클릭하고 보안 그룹선택합니다.
"..." 선택 단추를 클릭하고 PAW 사용자 그룹을 찾아보세요.
PAW 사용자 항목을 클릭하고, 항목 옵션을 클릭합니다.
을/를로 선택하지 마세요.
대상 지정 창에서 확인 클릭합니다.
확인 클릭하여 AutoConfigUrl 그룹 정책 설정을 완료합니다.
- 사용자 구성\기본 설정\Windows 설정\레지스트리로 이동합니다. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새 >레지스트리 항목선택하고 다음 설정을 구성합니다.
다음 단계를 사용하여 Windows 11 보안 기준 및 클라우드 서비스 액세스 링크를 Windows 및 클라우드 서비스 액세스(필요한 경우)에 대한 보안 기준을 올바른 OU에 적용합니다.
Windows 11 보안 기준 ZIP 파일의 내용을 추출합니다.
이러한 GPO를 만들고, 정책 설정을 가져오고, 이 테이블에 링크를. 각 정책을 각 위치에 연결하고 순서가 테이블을 따르는지 확인합니다(테이블의 하위 항목은 나중에 더 높은 우선 순위를 적용해야 합니다).
정책:
정책 이름 링크 CM Windows 11 - 도메인 보안 해당 없음 - 지금 연결 안 함 SCM Windows 11 TH2 - 컴퓨터 관리자\Tier 0\장치 관리자\1단계\장치 Admin\Tier 2\장치 SCM Windows 11 TH2- BitLocker 관리자\계층 0\장치 Admin\Tier 1\장치 Admin\Tier 2\장치 SCM Windows 11 - Credential Guard 관리자\계층 0\장치 관리자\Tier 1\장치 Admin\Tier 2\장치 SCM Internet Explorer - 컴퓨터 관리자\계층 0\장치 관리자\1단계\장치 관리자\2단계\장치 PAW 구성 - 컴퓨터 Admin\Tier 0\Devices (기존) Admin\Tier 1\장치 (새 링크) Admin\Tier 2\Devices(새 링크) RestrictedAdmin 필수 - 컴퓨터 관리자\Tier 0\장치 관리자\Tier 1\장치 Admin\2단계\장치 SCM Windows 11 - 사용자 Admin\Tier 0\장치 관리자\1단계\장치 관리자\제2수준\기기 SCM Internet Explorer - 사용자 Admin\Tier 0\장치 관리자\1단계\장치들 관리자\2단계\장치 PAW 구성 - 사용자 Admin\Tier 0\Devices (기존) Admin\Tier 1\장치(새 링크) Admin\Tier 2\Devices(새 링크) 메모
"SCM Windows 11 - 도메인 보안" GPO는 PAW와 독립적으로 도메인에 연결될 수 있지만 전체 도메인에 영향을 줍니다.
(선택 사항) 계층 1 관리자에게 필요한 다른 도구를 설치합니다. 작업 업무를 수행하는 데 필요한 다른 도구 또는 스크립트를 설치합니다. PAW에 추가하기 전에 도구를 사용하여 대상 컴퓨터에서 자격 증명 노출의 위험을 평가해야 합니다.
관리에 필요한 소프트웨어 및 애플리케이션을 식별하고 안전하게 가져옵니다. 이는 1단계에서 수행된 작업과 비슷하지만, 보안이 유지되는 애플리케이션, 서비스 및 시스템의 수가 증가함에 따라 범위가 더 넓습니다.
중요하다
이러한 새 애플리케이션(웹 브라우저 포함)을 Windows Defender Exploit Guard에서 제공하는 보호로 옵트인하여 보호해야 합니다.
- 다른 소프트웨어 및 애플리케이션의 예는 다음과 같습니다.
Microsoft 관리 콘솔을 기반으로 하는 서비스 또는 애플리케이션 관리 소프트웨어
전용(MMC 기반이 아닌) 서비스 또는 애플리케이션 관리 소프트웨어
메모
많은 애플리케이션은 이제 많은 클라우드 서비스를 포함하여 웹 브라우저를 통해 독점적으로 관리됩니다. 이렇게 하면 PAW에 설치해야 하는 애플리케이션 수가 줄어들지만 브라우저 상호 운용성 문제의 위험도 발생합니다. 특정 서비스를 관리할 수 있도록 특정 PAW 인스턴스에 비 Microsoft 웹 브라우저를 배포해야 할 수 있습니다. 추가 웹 브라우저를 배포하는 경우 모든 클린 소스 원칙을 따르고 공급업체의 보안 지침에 따라 브라우저를 보호해야 합니다.
- 다른 소프트웨어 및 애플리케이션의 예는 다음과 같습니다.
(선택 사항) 필요한 관리 에이전트를 다운로드하고 설치합니다.
중요하다
추가 관리 에이전트(모니터링, 보안, 구성 관리 등)를 설치하도록 선택하는 경우 관리 시스템이 도메인 컨트롤러 및 ID 시스템과 동일한 수준에서 신뢰할 수 있도록 하는 것이 중요합니다.
인프라를 평가하여 PAW에서 제공하는 더 많은 보안 보호가 필요한 시스템을 식별합니다. 보호해야 하는 시스템을 정확히 알고 있는지 확인합니다. 리소스 자체에 대해 다음과 같은 중요한 질문을 합니다.
관리해야 하는 대상 시스템은 어디에 있나요? 단일 물리적 위치에서 수집되거나 잘 정의된 단일 서브넷에 연결되어 있나요?
얼마나 많은 시스템이 있습니까?
이러한 시스템은 다른 시스템(가상화, 스토리지 등)에 따라 달라지나요? 그렇다면 해당 시스템은 어떻게 관리되는가? 중요한 시스템은 이러한 종속성에 어떻게 노출되며 이러한 종속성과 관련된 다른 위험은 무엇인가요?
서비스가 얼마나 중요하게 관리되고 있으며 해당 서비스가 손상되면 예상되는 손실은 무엇인가요?
중요하다
이 평가에 클라우드 서비스를 포함하세요. 공격자가 점점 더 안전하지 않은 클라우드 배포를 대상으로 하고 있으며, 온-프레미스 중요 업무용 애플리케이션과 마찬가지로 이러한 서비스를 안전하게 관리하는 것이 중요합니다.
이 평가를 사용하여 추가 보호가 필요한 특정 시스템을 식별한 다음 PAW 프로그램을 해당 시스템의 관리자에게 확장합니다. PAW 기반 관리에서 크게 혜택을 받는 시스템의 일반적인 예로는 SQL Server(온-프레미스 및 SQL Azure 모두), 인적 리소스 애플리케이션 및 금융 소프트웨어가 있습니다.
메모
리소스가 Windows 시스템에서 관리되는 경우 애플리케이션 자체가 Windows가 아닌 운영 체제 또는 타사 클라우드 플랫폼에서 실행되는 경우에도 PAW로 관리할 수 있습니다. 예를 들어 클라우드 서비스 공급자 구독의 소유자는 PAW를 사용하여 해당 계정을 관리해야 합니다.
조직에서 대규모로 PAW를 배포하기 위한 요청 및 배포 방법을 개발합니다. 2단계에서 배포하도록 선택한 PAW 수에 따라 프로세스를 자동화해야 할 수 있습니다.
관리자가 PAW를 가져오는 데 사용할 공식 요청 및 승인 프로세스를 개발하는 것이 좋습니다. 이 프로세스는 배포 프로세스를 표준화하고 PAW 디바이스에 대한 책임을 보장하며 PAW 배포의 격차를 식별하는 데 도움이 됩니다.
앞에서 설명한 것처럼 이 배포 솔루션은 기존 자동화 방법(이미 손상되었을 수 있음)과 분리되어야 하며 1단계에 설명된 원칙을 따라야 합니다.
중요하다
리소스를 관리하는 모든 시스템은 자체적으로 동일하거나 더 높은 신뢰 수준에서 관리되어야 합니다.
검토하고 필요한 경우 더 많은 PAW 하드웨어 프로필을 배포합니다. 1단계 배포를 위해 선택한 하드웨어 프로필이 모든 관리자에게 적합하지 않을 수 있습니다. 하드웨어 프로필을 검토하고 적절한 경우 관리자의 요구 사항에 맞게 다른 PAW 하드웨어 프로필을 선택합니다. 예를 들어 전용 하드웨어 프로필(개별 PAW 및 일상적인 사용 워크스테이션)은 자주 여행하는 관리자에게 적합하지 않을 수 있습니다.
확장된 PAW 배포와 함께 제공되는 문화, 운영, 통신 및 교육 요구 사항을 고려합니다. 관리 모델에 대한 이러한 중요한 변경은 당연히 어느 정도 변경 관리가 필요하며 배포 프로젝트 자체에 빌드하는 것이 중요합니다. 최소한 다음 질문을 고려합니다.
고위 경영진의 지원을 보장하기 위해 변경 사항을 어떻게 전달할 것인가? 고위 경영진의 지원이 없는 모든 프로젝트는 실패하거나 자금 조달과 광범위한 수용을 위해 고군분투할 가능성이 높습니다.
관리자를 위한 새 프로세스를 문서화하려면 어떻게 해야 할까요? 이러한 변경 내용은 기존 관리자(습관을 변경하고 다른 방식으로 리소스를 관리해야 하는 사람)뿐만 아니라 새 관리자(조직 내에서 승격되거나 조직 외부에서 고용된 관리자)에게도 문서화되고 전달되어야 합니다. 설명서는 명확하고 충분히 설명하는 것이 중요합니다.
- 위협의 중요성
- 관리자를 보호하는 PAW의 역할입니다.
- PAW를 올바르게 사용하는 방법입니다.
중요하다
이는 지원 센터 직원을 포함하지만 이에 국한되지 않는 높은 이직률을 가진 역할에 특히 중요합니다.
새 프로세스를 준수하려면 어떻게 해야 할까요? PAW 모델에는 권한 있는 자격 증명의 노출을 방지하기 위한 몇 가지 기술 컨트롤이 포함되어 있지만 기술 컨트롤을 사용하여 가능한 모든 노출을 완전히 방지하는 것은 불가능합니다. 예를 들어 관리자가 권한 있는 자격 증명을 사용하여 사용자 데스크톱에 성공적으로 로그온하는 것을 방지할 수 있지만 로그온을 시도하는 간단한 작업은 해당 사용자 데스크톱에 설치된 맬웨어에 자격 증명을 노출할 수 있습니다. 따라서 PAW 모델의 이점뿐만 아니라 비준수의 위험을 분명히 하는 것이 중요합니다. 자격 증명 노출을 신속하게 검색하고 해결할 수 있도록 감사 및 경고를 통해 보완해야 합니다.
3단계: 보호 확장 및 향상
범위: 이러한 보호는 1단계에서 빌드된 시스템을 향상시켜 다단계 인증 및 네트워크 액세스 규칙을 비롯한 고급 기능으로 기본 보호를 강화합니다.
메모
이 단계는 1단계가 완료된 후 언제든지 수행할 수 있습니다. 2단계의 완료에 종속되지 않으므로 2단계 이전, 동시 또는 이후에 수행할 수 있습니다.
다음 단계를 완료하여 이 단계를 구성합니다.
권한 있는 계정다단계 인증을 사용하도록 설정합니다. 다단계 인증은 사용자가 자격 증명 외에 물리적 토큰을 제공하도록 요구하여 계정 보안을 강화합니다. 다단계 인증은 인증 정책을 잘 보완하지만 배포를 위한 인증 정책에 의존하지 않습니다(마찬가지로 인증 정책에는 다단계 인증이 필요하지 않음). Microsoft는 다음 형식의 다단계 인증 중 하나를 사용하는 것이 좋습니다.
- 스마트 카드: 스마트 카드는 Windows 로그온 프로세스 중에 두 번째 확인을 제공하는 변조 방지 및 휴대용 물리적 디바이스입니다. 개인에게 로그온할 카드를 소유하도록 요구하면 도난당한 자격 증명이 원격으로 재사용될 위험을 줄일 수 있습니다. Windows의 스마트 카드 로그온에 대한 자세한 내용은 스마트 카드 개요문서를 참조하세요.
- 가상 스마트 카드: 가상 스마트 카드는 실제 스마트 카드와 동일한 보안 이점을 제공하며, 특정 하드웨어에 연결될 경우의 추가적인 이점이 있습니다. 배포 및 하드웨어 요구 사항에 대한 자세한 내용은 가상 스마트 카드 개요 문서 및 가상 스마트 카드 시작 : 연습 가이드참조하세요.
-
비즈니스용 Windows Hello: 비즈니스용 Windows Hello를 사용하면 사용자가 Microsoft 계정, Active Directory 계정, Microsoft Entra 계정 또는 FIDO(Fast ID Online) 인증을 지원하는 타사 서비스에 인증할 수 있습니다. 비즈니스용 Windows Hello 등록 중에 초기 2단계 인증 후 비즈니스용 Windows Hello가 사용자의 디바이스에 설정되고 사용자는 Windows Hello 또는 PIN일 수 있는 제스처를 설정합니다. 비즈니스용 Windows Hello 자격 증명은 TPM(신뢰할 수 있는 플랫폼 모듈)의 격리된 환경 내에서 생성될 수 있는 비대칭 키 쌍입니다.
- 비즈니스용 Windows Hello에 대한 자세한 내용은 비즈니스용 Windows Hello 문서를 참조하세요.
- Azure 다단계 인증: Azure MFA(다단계 인증)는 모니터링 및 기계 학습 기반 분석을 통해 두 번째 확인 요소의 보안과 향상된 보호를 제공합니다. Microsoft Entra 다단계 인증은 Azure 관리자뿐만 아니라 웹 애플리케이션, Microsoft Entra ID 및 원격 액세스 및 원격 데스크톱과 같은 온-프레미스 솔루션을 비롯한 다른 많은 솔루션도 보호할 수 있습니다. 자세한 내용은 다단계 인증 문서를 참조하세요.
Windows Defender 애플리케이션 제어 및/또는 AppLocker사용하여 신뢰할 수 있는 애플리케이션 목록을 허용합니다. 신뢰할 수 없거나 서명되지 않은 코드가 PAW에서 실행되는 기능을 제한하여 악의적인 활동 및 손상 가능성을 더욱 줄입니다. Windows에는 애플리케이션 제어를 위한 두 가지 기본 옵션이 포함되어 있습니다.
- AppLocker: AppLocker는 관리자가 지정된 시스템에서 실행할 수 있는 애플리케이션을 제어하는 데 도움이 됩니다. AppLocker는 그룹 정책을 통해 중앙에서 제어할 수 있으며 특정 사용자 또는 그룹에 적용할 수 있습니다(PAW 사용자에 대한 대상 애플리케이션의 경우). AppLocker에 대한 자세한 내용은 AppLocker 개요 TechNet 문서를 참조하세요.
- Windows Defender 애플리케이션 제어: 새로운 Windows Defender 애플리케이션 제어 기능은 AppLocker와 달리 영향을 받은 디바이스에서 재정의할 수 없는 향상된 하드웨어 기반 애플리케이션 제어를 제공합니다. AppLocker와 마찬가지로 Windows Defender 애플리케이션 제어는 그룹 정책을 통해 제어되고 특정 사용자를 대상으로 할 수 있습니다. Windows Defender 애플리케이션 제어를 사용하여 애플리케이션 사용을 제한하는 방법에 대한 자세한 내용은 windows Defender 애플리케이션 제어 배포 가이드 참조하세요.
보호된 사용자, 인증 정책 및 인증 사일로를 사용하여 권한 있는 계정추가로 보호합니다. 보호된 사용자의 구성원은 LSA(로컬 보안 에이전트)에 저장된 자격 증명을 보호하고 자격 증명 도난 및 재사용 위험을 크게 최소화하는 추가 보안 정책의 적용을 받습니다. 인증 정책 및 격리는 권한 있는 사용자가 도메인 내 리소스에 접근할 수 있는 방법을 제어합니다. 전체적으로 이러한 보호는 이러한 권한 있는 사용자의 계정 보안을 크게 강화합니다. 이러한 기능에 대한 자세한 내용은 보호된 계정구성하는 방법 문서를 참조하세요.
메모
이러한 보호는 1단계의 기존 보안 조치를 대체하지 않고 보완하기 위한 것입니다. 관리자는 관리 및 일반 사용을 위해 별도의 계정을 계속 사용해야 합니다.
관리 및 업데이트
PAW에는 맬웨어 방지 기능이 있어야 하며 이러한 워크스테이션의 무결성을 유지하기 위해 소프트웨어 업데이트를 신속하게 적용해야 합니다.
추가 구성 관리, 운영 모니터링 및 보안 관리도 PAW와 함께 사용할 수 있습니다. 이러한 기능의 통합은 각 기능이 해당 도구를 통해 PAW 손상의 위험을 초래하기 때문에 신중하게 고려해야 합니다. 고급 관리 기능을 도입하는 것이 적합한지 여부는 다음을 비롯한 몇 가지 요인에 따라 달라집니다.
- 관리 기능의 보안 상태 및 관행(도구에 대한 소프트웨어 업데이트 사례, 해당 역할의 관리 역할 및 계정, 도구가 호스트되거나 관리되는 운영 체제 및 해당 도구의 다른 하드웨어 또는 소프트웨어 종속성 포함)
- PAW에 대한 소프트웨어 배포 및 업데이트의 빈도 및 수량
- 자세한 인벤토리 및 구성 정보에 대한 요구 사항
- 보안 모니터링 요구 사항
- 조직 표준 및 기타 조직별 요인
클린 소스 원칙에 따라 PAW를 관리하거나 모니터링하는 데 사용되는 모든 도구는 PAW 수준 이상으로 신뢰할 수 있어야 합니다. 이 프로세스에서는 일반적으로 낮은 권한 워크스테이션에서의 보안 의존성을 없애기 위해 PAW에서 도구를 관리해야 합니다.
이 표에서는 PAW를 관리하고 모니터링하는 데 사용할 수 있는 다양한 방법을 간략하게 설명합니다.
| 접근 | 고려 사항 |
|---|---|
| PAW의 기본값 - Windows Server Update Services |
- 추가 비용 없음 - 기본 필수 보안 기능을 수행합니다. - 이 지침에 포함된 지침 |
| Intune 사용하여 관리 |
|
| PAW를 관리하기 위한 새 System Center 인스턴스 | - 구성, 소프트웨어 배포 및 보안 업데이트의 가시성 및 제어 제공 - 별도의 서버 인프라가 필요하고, 이를 PAW 수준으로 보호하며, 권한이 높은 직원을 위한 인력 배치 기술 필요 |
| 기존 관리 도구를 사용하여 PAW 관리 | - 기존 관리 인프라가 PAW의 보안 수준으로 않는 한 PAW 손상에 상당한 위험이 발생합니다. 조직에서 이를 사용할 특정 이유가 없는 한 Microsoft는 일반적으로 이 접근 방식을 권장하지 않습니다. 이 환경에서는 일반적으로 이러한 모든 도구(및 해당 보안 종속성)를 PAW의 보안 수준으로 끌어올리는 데 드는 비용이 높습니다. - 이러한 도구의 대부분은 구성, 소프트웨어 배포 및 보안 업데이트의 가시성과 제어를 제공합니다. |
| 관리자 액세스가 필요한 보안 검사 또는 모니터링 도구 | 에이전트를 설치하거나 로컬 관리 액세스 권한이 있는 계정이 필요한 도구를 포함합니다. - 도구 보안 보증을 PAW의 수준으로 끌어올려야 합니다. |
| SIEM(보안 정보 및 이벤트 관리) |
|
| Windows 이벤트 전달 | - PAW에서 외부 수집기 또는 SIEM으로 보안 이벤트를 전달하는 에이전트 없는 방법을 제공합니다. - 관리자 액세스 없이 PAW에서 이벤트에 액세스할 수 있습니다. - SIEM 서버에서 인바운드 트래픽을 허용하기 위해 네트워크 포트를 열 필요가 없습니다. |
PAW 운영
PAW 솔루션은 클린 소스 원칙에 따라 표준을 사용하여 작동해야 합니다.
관련 문서
Microsoft Advanced Threat Analytics
Credential Guard 사용하여 파생 도메인 자격 증명 보호
보안 관리 워크스테이션을 사용하여 고부가가치 자산 보호
Windows Server 2012용 Kerberos 인증의 새로운 기능
Windows Server 2008 R2의 AD DS 인증 메커니즘 보증 단계별 가이드