Active Directory 보안에 대한 모범 사례
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
컴퓨팅 인프라에 대한 공격은 전 세계 모든 지역에서 지난 10년 동안 증가했습니다. 우리는 사이버 전쟁, 사이버 범죄 및 핵티비즘의 시대에 살고 있습니다. 그 결과, 전 세계 모든 규모의 조직은 정보 유출, IP(지적 재산권 도용), 서비스 거부(DDoS) 공격 또는 소멸된 인프라를 처리해야 했습니다.
그러나 수년에 걸쳐 위협 환경이 변화함에 따라 보안 환경도 이러한 위협에 대응하도록 조정되었습니다. IT(정보 기술) 인프라가 있는 조직은 공격에 완벽하게 면역이 되지 않지만 보안의 궁극적인 목표는 공격 시도를 완전히 방지하는 것이 아니라 IT 인프라를 공격으로부터 보호하는 것입니다. 올바른 정책, 프로세스 및 컨트롤을 사용하여 IT 인프라의 주요 부분을 손상으로부터 보호할 수 있습니다.
이 문서에서는 AD(Active Directory) 배포에서 관찰한 가장 일반적인 유형의 취약성에 대해 설명합니다. 다음으로, 이러한 약점을 손상으로부터 보호하는 방법에 대한 권장 사항으로 무장합니다. MICROSOFT는 MSIT(Microsoft IT) 및 ISRM(Microsoft Information Security and Risk Management) 조직의 전문 지식을 기반으로 이러한 권장 사항을 설계했습니다. 또한 AD에서 외부 세계에 노출되는 취약한 인프라 또는 공격 노출 영역을 줄이기 위해 수행할 수 있는 단계를 보여 줍니다. 또한 보안 손상이 있는 경우 중요한 데이터 및 인프라 기능을 복구하는 방법에 대한 제안도 포함되어 있습니다.
일반적인 보안 취약성
인프라를 가장 잘 보호하는 방법을 알아보려면 먼저 공격이 공격할 가능성이 가장 큰 위치와 작동 방식을 이해해야 합니다. 이 문서에서는 일반적인 권장 사항만 다루지만 더 자세히 알아보려면 보다 철저한 문서에 대한 링크를 포함했습니다.
이제 가장 일반적인 보안 취약성을 살펴보겠습니다.
공통 진입점
초기 위반 대상 또는 진입점은 공격자가 IT 인프라에 가장 쉽게 진입할 수 있는 영역입니다. 진입점은 일반적으로 공격자가 인프라 내의 시스템에 액세스하기 위해 악용할 수 있는 보안 또는 업데이트의 격차입니다. 공격자는 일반적으로 한 번에 하나 또는 두 개의 시스템으로 시작한 다음, 탐지되지 않은 더 많은 시스템에 영향력을 퍼뜨리면서 공격을 확대합니다.
가장 일반적인 취약성은 다음과 같습니다.
바이러스 백신 및 맬웨어 방지 배포의 간격
불완전한 패치
오래된 애플리케이션 및 운영 체제
잘못된 구성
보안 애플리케이션 개발 사례 부족
자격 증명 도용
자격 증명 도난 공격은 공격자가 도구를 사용하여 현재 로그인한 계정 세션에서 자격 증명을 추출하여 네트워크의 컴퓨터에 대한 권한 있는 액세스 권한을 얻는 경우입니다. 공격자는 이미 상승된 권한을 가진 특정 계정으로 이동하는 경우가 많습니다. 공격자는 시스템에 액세스하기 위해 ID를 모방하기 위해 이 계정의 자격 증명을 도용합니다.
자격 증명 도둑은 일반적으로 이러한 종류의 계정을 대상으로 합니다.
영구적으로 권한 있는 계정
VIP 계정
권한 연결 Active Directory 계정
도메인 컨트롤러
ID, 액세스 및 구성 관리에 영향을 주는 기타 인프라 서비스(예: PKI(공개 키 인프라) 서버 또는 시스템 관리 서버)
높은 권한이 있는 계정을 사용하는 사용자는 다음 동작에 참여하여 자격 증명을 도난 당할 위험이 높아질 수 있습니다.
보안되지 않은 컴퓨터에서 권한 있는 계정에 로그인
권한 있는 계정에 로그인하는 동안 인터넷 검색
또한 다음과 같이 시스템의 자격 증명 보안을 보호하기 위해 잘못된 구성과 위험한 구성을 피해야 합니다.
모든 시스템에서 동일한 자격 증명을 사용하여 로컬 권한 있는 계정을 구성합니다.
권한 있는 do기본 그룹에 너무 많은 사용자를 할당하여 과용을 장려합니다.
할 일기본 컨트롤러 보안을 충분히 관리하지 않습니다.
취약한 계정에 대한 자세한 내용은 자격 증명 도난에 대한 매력적인 계정을 참조하세요.
Active Directory 공격 노출 영역 줄이기
Active Directory 배포에서 공격 노출 영역을 줄여 공격을 방지할 수 있습니다. 즉, 이전 섹션에서 멘션 보안 격차를 해소하여 배포를 더 안전하게 만듭니다.
과도한 권한 부여 방지
자격 증명 도난 공격은 특정 계정에 과도한 권한을 부여하는 관리자에 따라 달라집니다. 이러한 공격을 방지하려면 다음을 수행합니다.
기본적으로 Active Directory에서 가장 높은 권한을 가진 세 가지 기본 제공 그룹인 엔터프라이즈 관리, Do기본 관리 및 관리istrators가 있습니다. 조직에서 승격된 권한을 부여한 다른 그룹과 함께 이러한 세 그룹을 보호하는 단계를 수행해야 합니다.
최소 권한 관리 모델을 구현합니다. 방지할 수 있는 경우 일상적인 관리 작업에 대해 높은 권한의 계정을 사용하지 마세요. 또한 관리자 계정에는 필요하지 않은 추가 권한 없이 작업을 수행하는 데 필요한 기준 권한만 있는지 확인합니다. 필요하지 않은 사용자 계정에 과도한 권한을 부여하지 마세요. 시스템이 절대적으로 필요하지 않으면 실수로 계정에 시스템 간에 동일한 권한을 부여하지 않도록 합니다.
인프라의 다음 영역을 확인하여 사용자 계정에 과도한 권한을 부여하지 않는지 확인합니다.
Active Directory
멤버 서버
워크스테이션
애플리케이션
데이터 리포지토리
자세한 내용은 최소 권한 관리 모델 구현을 참조 하세요.
보안 관리 호스트 사용
보안 관리 호스트는 Active Directories 및 기타 연결된 시스템에 대한 관리를 지원하도록 구성된 컴퓨터입니다. 이러한 호스트는 전자 메일 응용 프로그램, 웹 브라우저 또는 Microsoft Office와 같은 생산성 소프트웨어와 같은 수정되지 않는 소프트웨어를 실행하지 않습니다.
보안 관리 호스트를 구성할 때 다음 일반적인 원칙을 따라야 합니다.
신뢰할 수 없는 호스트에서 신뢰할 수 있는 시스템을 관리하지 않습니다.
권한 있는 계정을 사용하거나 관리 작업을 수행할 때 다단계 인증이 필요합니다.
관리 호스트에 대한 물리적 보안은 시스템 및 네트워크 보안만큼이나 중요합니다.
자세한 내용은 보안 관리 호스트 구현을 참조 하세요.
할 일기본 컨트롤러 보안 유지
공격자가 do기본 컨트롤러에 대한 권한 있는 액세스 권한을 얻는 경우 AD 데이터베이스를 수정, 손상 및 삭제할 수 있습니다. do기본 컨트롤러에 대한 공격은 잠재적으로 조직 내의 모든 AD 관리 시스템 및 계정을 위협합니다. 따라서 다음 조치를 취하여 컨트롤러를 안전하게 기본 것이 중요합니다.
기본 컨트롤러는 데이터 센터, 지사 및 원격 위치 내에서 물리적으로 안전하게 유지합니다.
할 일기본 컨트롤러 운영 체제에 익숙해지세요.
GPO(그룹 정책 개체)를 사용하여 적용할 수 있는 보안 구성 기준을 만들도록 기본 제공 및 자유롭게 사용할 수 있는 구성 도구를 사용하여 do기본 컨트롤러를 구성합니다.
자세한 내용은 공격에 대한 보안 do기본 컨트롤러를 참조하세요.
Active Directory에서 공격 또는 손상의 징후를 모니터링합니다.
AD 배포를 안전하게 유지할 수 있는 또 다른 방법은 악의적인 공격 또는 보안 손상의 징후를 모니터링하는 것입니다. 레거시 감사 범주 및 감사 정책 하위 범주를 사용하거나 고급 감사 정책을 사용할 수 있습니다. 자세한 내용은 감사 정책 권장 사항 참조하세요.
보안 손상 계획
외부 공격으로부터 AD를 보호할 수 있지만 어떤 방어도 진정으로 완벽하지는 않습니다. 예방 조치를 취하는 것 외에도 최악의 시나리오를 계획하는 것이 중요합니다. 보안 위반을 계획할 때는 손상 계획, 특히 접근 방식 재고 섹션의 지침을 따라야 합니다. 또한 보다 안전한 환경 유지 관리를 읽어야 합니다.
보안 손상에 대한 계획을 세밀하게 계획할 때 수행해야 하는 작업에 대한 간략한 요약은 다음과 같습니다. 더 안전한 환경 유지 관리에 자세히 설명되어 있습니다.
보다 안전한 환경 유지 관리
AD에 대한 비즈니스 중심 보안 사례 만들기
AD 데이터에 비즈니스 소유권 할당
비즈니스 기반 수명 주기 관리 구현
모든 AD 데이터를 시스템, 애플리케이션 또는 사용자로 분류
이러한 사례에 대한 자세한 내용을 계속 읽으려면 더 안전한 환경 유지 관리를 참조하세요.
보안 측정값 요약 테이블
다음 표에는 우선 순위 순서로 나열된 이 문서에 나열된 권장 사항이 요약되어 있습니다. 테이블 맨 아래에 가까운 항목은 Active Directory를 설정할 때 사용자와 조직에서 우선 순위를 지정해야 하는 항목입니다. 그러나 조직의 고유한 요구 사항에 따라 우선 순위와 각 측정값을 구현하는 방법도 자유롭게 조정할 수 있습니다.
각 측정값은 전술, 전략적, 예방적 또는 형사인지 여부에 따라 분류됩니다. 전술 적 조치는 AD의 특정 구성 요소 및 모든 관련 인프라에 초점을 맞춥니다. 전략적 조치는 보다 포괄적이므로 구현하기 위해 더 많은 계획이 필요합니다. 예방 조치는 악의적인 행위자의 공격을 방지합니다. 형사 조치는 보안 위반이 발생할 때 다른 시스템으로 확산되기 전에 감지하는 데 도움이 됩니다.
| 보안 조치 | 전술적 또는 전략적 | 예방 또는 검색 |
|---|---|---|
| 애플리케이션을 패치합니다. | 전술 | 예방 |
| 운영 체제를 패치합니다. | 전술 | 예방 |
| 모든 시스템에서 바이러스 백신과 맬웨어 방지 소프트웨어를 배포 및 즉시 업데이트하고, 이를 제거하거나 비활성화하려는 시도를 모니터링합니다. | 전술 | 모두 |
| 중요한 Active Directory 개체에서 수정 시도를 모니터링하고 Windows에서 손상 시도를 나타낼 수 있는 이벤트를 모니터링합니다. | 전술 | 탐지 |
| 중요한 데이터에 액세스할 수 있는 사용자의 계정에 대한 보호 및 모니터링 | 전술 | 모두 |
| 권한이 없는 시스템에서 강력한 계정이 사용되지 않도록 예방합니다. | 전술 | 예방 |
| 권한이 높은 그룹에서 영구 멤버 자격을 제거합니다. | 전술 | 예방 |
| 필요할 때 권한 있는 그룹에 임시 멤버 자격을 부여하는 컨트롤을 구현합니다. | 전술 | 예방 |
| 보안 관리 호스트를 구현합니다. | 전술 | 예방 |
| 도메인 컨트롤러, 관리 호스트 및 기타 중요한 시스템에서 애플리케이션 허용 목록을 사용합니다. | 전술 | 예방 |
| 중요한 자산을 식별하고 보안 및 모니터링의 우선 순위를 지정합니다. | 전술 | 모두 |
| 디렉터리 관리, 지원 인프라 및 도메인 조인 시스템을 위한 최소 권한 역할 기반 액세스 제어를 구현합니다. | 전략 | 예방 |
| 레거시 시스템과 애플리케이션을 격리합니다. | 전술 | 예방 |
| 레거시 시스템과 애플리케이션을 해제합니다. | 전략 | 예방 |
| 사용자 지정 애플리케이션에 대한 보안 개발 수명 주기 프로그램을 구현합니다. | 전략 | 예방 |
| 구성 관리를 구현하고, 규정 준수를 정기적으로 검토하고, 각 새 하드웨어나 새 소프트웨어 버전에서 설정을 평가합니다. | 전략 | 예방 |
| 중요한 자산을 엄격한 보안 및 모니터링 요구 사항이 있는 오염되지 않은 포리스트로 마이그레이션합니다. | 전략 | 모두 |
| 최종 사용자의 보안을 간소화합니다. | 전략 | 예방 |
| 호스트 기반 방화벽을 사용하여 통신을 제어하고 보호합니다. | 전술 | 예방 |
| 디바이스를 패치합니다. | 전술 | 예방 |
| IT 자산에 비즈니스 중심의 수명 주기 관리를 구현합니다. | 전략 | 해당 없음 |
| 인시던트 복구 계획을 만들거나 업데이트합니다. | 전략 | 해당 없음 |