보안 도메인 컨트롤러
도메인 컨트롤러는 네트워크에서 가장 중요한 대상 중 하나를 나타냅니다. 도메인 컨트롤러를 손상시키는 사람이 모든 도메인 ID를 제어할 수 있기 때문입니다. 다음 예방 조치를 취하여 조직의 도메인 컨트롤러를 보호할 수 있습니다.
도메인 컨트롤러에서 최신 버전의 Windows Server 운영 체제를 실행하고 있으며 현재 보안 업데이트가 있는지 확인합니다.
데스크톱 환경 옵션 대신 Server Core 설치 옵션을 사용하여 도메인 컨트롤러를 배포합니다. Server Core 설치 옵션을 배포하면 도메인 컨트롤러의 공격 표면이 감소하고, 누군가가 안전하지 않은 웹 사이트로 이동하는 데 사용한 컴퓨터에서 도메인 컨트롤러에 로그인함으로써 실수로 맬웨어를 설치할 수 있는 가능성을 최소화할 수 있습니다.
다른 서버와 별개의 전용 보안 랙에 물리적으로 배포된 도메인 컨트롤러를 보관합니다.
TPM(신뢰할 수 있는 플랫폼 모듈) 칩이 있는 하드웨어에 도메인 컨트롤러를 배포하고 BitLocker 드라이브 암호화를 사용하여 모든 볼륨을 구성합니다. 지점 위치에서 도메인 컨트롤러를 물리적으로 격리하고 보호할 수 없는 경우 RODC(읽기 전용 도메인 컨트롤러)로 구성해야 합니다.
별도의 가상화 호스트에서 또는 보호된 패브릭의 보호된 가상 머신으로 가상화된 도메인 컨트롤러를 실행하면 도메인 컨트롤러를 보호할 수 있습니다.
Windows Defender Device Guard를 사용하여 도메인 컨트롤러에서 스크립트 및 실행 파일의 실행을 제어할 수 있습니다. 이렇게 하면 권한이 없는 실행 파일 및 스크립트가 컴퓨터에서 실행될 수 있는 가능성이 최소화됩니다.
점프 서버와 Privileged Access Workstation에서만 RDP(원격 데스크톱 프로토콜) 연결을 할 수 있게 도메인 컨트롤러의 OU에 할당된 그룹 정책을 통해 RDP 연결을 제한하도록 RDP를 구성합니다.
도메인 컨트롤러에서 인터넷에 대한 아웃바운드 연결을 차단하도록 경계 방화벽을 구성합니다. 업데이트 관리 솔루션이 준비되어 있더라도 도메인 컨트롤러가 인터넷의 호스트와 완전히 통신하지 못하도록 차단하는 것이 중요할 수도 있습니다.
도메인 컨트롤러와 관련한 보안 지침은 Windows Server 운영 체제에 대한 CIS(인터넷 보안 센터) 벤치마크를 검토하세요.
추가 자료: 자세한 내용은 공격으로부터 도메인 컨트롤러 보호를 참조하세요.