보안 관리 호스트 구현
보안 관리 호스트는 권한 있는 계정이 Active Directory 또는 도메인 컨트롤러, 도메인 가입 시스템 및 도메인 가입 시스템에서 실행되는 애플리케이션에서 관리 작업을 수행할 수 있는 보안 플랫폼을 만들기 위해 특별히 구성된 워크스테이션 또는 서버입니다. 이 경우 "권한 있는 계정"은 Active Directory에서 가장 권한 있는 그룹의 구성원인 계정뿐만 아니라 관리 작업을 수행할 수 있는 권한 및 권한을 위임받은 모든 계정을 나타냅니다.
이러한 계정은 도메인의 대부분의 사용자, DNS 레코드 및 영역을 관리하는 데 사용되는 계정 또는 구성 관리에 사용되는 계정의 암호를 재설정할 수 있는 지원 센터 계정일 수 있습니다. 보안 관리 호스트는 관리 기능 전용이며 전자 메일 애플리케이션, 웹 브라우저 또는 생산성 소프트웨어(예: Microsoft Office)와 같은 소프트웨어를 실행하지 않습니다.
"가장 권한 있는" 계정 및 그룹은 적절하게 가장 엄격하게 보호되어야 하지만 표준 사용자 계정보다 높은 권한이 부여된 계정 및 그룹을 보호할 필요가 없습니다.
보안 관리 호스트는 관리 작업에만 사용되는 전용 워크스테이션, 원격 데스크톱 게이트웨이 서버 역할을 실행하고 IT 사용자가 대상 호스트 관리를 수행하기 위해 연결하는 멤버 서버 또는 Hyper-V 역할을 실행하고 각 IT 사용자가 관리 작업에 사용할 수 있는 고유한 가상 머신을 제공하는 서버일 수 있습니다. 많은 환경에서 세 가지 방법의 조합을 모두 구현할 수 있습니다.
보안 관리 호스트를 구현하려면 조직의 크기, 관리 관행, 위험 요구 사항 및 예산과 일치하는 계획 및 구성이 필요합니다. 조직에 적합한 관리 전략을 개발하는 데 사용할 수 있도록 보안 관리 호스트를 구현하기 위한 고려 사항 및 옵션이 여기에 제공됩니다.
보안 관리 호스트를 만들기 위한 원칙
공격에 대해 시스템을 효과적으로 보호하려면 몇 가지 일반적인 원칙을 염두에 두어야 합니다.
신뢰도가 낮은 호스트(관리하는 시스템과 동일한 수준까지 보호되지 않는 워크스테이션)에서 신뢰할 수 있는 시스템(도메인 컨트롤러와 같은 보안 서버)을 관리해서는 안 됩니다.
권한 있는 작업을 수행할 때는 단일 인증 요소를 사용해서는 안 됩니다. 즉, 사용자 이름 및 암호 조합은 단일 요소(사용자가 알고 있는 것)만 표시되므로 허용되는 인증으로 간주해서는 안 됩니다. 자격 증명이 생성되고 캐시되거나 관리 시나리오에 저장되는 위치를 고려해야 합니다.
현재 위협 환경에서 대부분의 공격은 맬웨어와 악의적인 해킹을 활용하지만 보안 관리 호스트를 설계하고 구현할 때 물리적 보안을 생략해서는 안 됩니다.
계정 구성
조직에서 현재 스마트 카드를 사용하지 않더라도 권한 있는 계정 및 보안 관리 호스트에 대해 구현하는 것이 좋습니다. 관리 호스트가 포함된 OU에 연결된 GPO에서 다음 설정을 수정하여 모든 계정에 스마트 카드 로그온을 요구하도록 관리 호스트를 구성해야 합니다.
컴퓨터 구성\정책\Windows 설정\로컬 정책\보안 옵션\대화형 로그온: 스마트 카드 필요
이 설정을 사용하려면 Active Directory의 개별 계정에 대한 구성에 관계없이 스마트 카드를 사용하려면 모든 대화형 로그온이 필요합니다.
또한 다음에서 구성할 수 있는 권한 있는 계정으로만 로그온을 허용하도록 보안 관리 호스트를 구성해야 합니다.
컴퓨터 구성\정책\Windows 설정\로컬 정책\보안 설정\사용자 권한 할당
이렇게 하면 보안 관리 호스트의 권한이 부여된 사용자에게만 대화형(및 적절한 경우 원격 데스크톱 서비스) 로그온 권한이 부여됩니다.
물리적 보안
관리 호스트를 신뢰할 수 있는 것으로 간주하려면 관리되는 시스템과 동일한 수준까지 구성하고 보호해야 합니다. 공격으로부터 도메인 컨트롤러 보안에 제공된 대부분의 권장 사항은 도메인 컨트롤러 및 AD DS 데이터베이스를 관리하는 데 사용되는 호스트에도 적용됩니다. 대부분의 환경에서 보안 관리 시스템을 구현하는 문제 중 하나는 이러한 컴퓨터가 관리 사용자의 데스크톱과 같이 데이터 센터에서 호스트되는 서버만큼 안전하지 않은 영역에 있기 때문에 물리적 보안을 구현하기가 더 어려울 수 있다는 것입니다.
물리적 보안에는 관리 호스트에 대한 물리적 액세스 제어가 포함됩니다. 소규모 조직에서는 사용하지 않을 때 사무실이나 책상 서랍에 잠겨 있는 전용 관리 워크스테이션을 유지 관리하는 것을 의미할 수 있습니다. 또는 Active Directory 또는 도메인 컨트롤러의 관리를 수행해야 하는 경우 도메인 컨트롤러에 직접 로그온하는 것을 의미할 수 있습니다.
중간 규모 조직에서는 사무실의 보안 위치에 있고 Active Directory 또는 도메인 컨트롤러의 관리가 필요할 때 사용되는 보안 관리 "점프 서버"를 구현하는 것이 좋습니다. 점프 서버를 사용하거나 사용하지 않을 때 보안 위치에 잠긴 관리 워크스테이션을 구현할 수도 있습니다.
대규모 조직에서는 Active Directory, 도메인 컨트롤러 및 파일, 인쇄 또는 애플리케이션 서버에 대한 엄격하게 제어된 액세스를 제공하는 데이터 센터 보관 점프 서버를 배포할 수 있습니다. 점프 서버 아키텍처의 구현은 대규모 환경에서 보안 워크스테이션과 서버의 조합을 포함할 가능성이 높습니다.
조직의 크기와 관리 호스트 디자인에 관계없이 무단 액세스 또는 도난으로부터 물리적 컴퓨터를 보호해야 하며 BitLocker 드라이브 암호화를 사용하여 관리 호스트의 드라이브를 암호화하고 보호해야 합니다. 관리 호스트에서 BitLocker를 구현하여 호스트가 도난당하거나 해당 디스크가 제거된 경우에도 권한이 없는 사용자가 드라이브의 데이터에 액세스할 수 없도록 할 수 있습니다.
운영 체제 버전 및 구성
서버 또는 워크스테이션에 관계없이 모든 관리 호스트는 이 문서의 앞부분에서 설명한 이유로 조직에서 사용 중인 최신 운영 체제를 실행해야 합니다. 현재 운영 체제를 실행하면 관리자가 새로운 보안 기능, 전체 공급업체 지원 및 운영 체제에 도입된 추가 기능을 활용할 수 있습니다. 또한 새 운영 체제를 평가할 때 먼저 관리 호스트에 배포하여 제공하는 새로운 기능, 설정 및 관리 메커니즘을 숙지해야 합니다. 그러면 운영 체제의 광범위한 배포를 계획하는 데 활용할 수 있습니다. 그때까지 조직에서 가장 정교한 사용자는 새 운영 체제에 익숙하고 이를 지원하는 데 가장 적합한 사용자입니다.
Microsoft 보안 구성 마법사
관리 호스트 전략의 일부로 점프 서버를 구현하는 경우 기본 제공 보안 구성 마법사를 사용하여 서버의 공격 노출 영역을 줄이기 위해 서비스, 레지스트리, 감사 및 방화벽 설정을 구성해야 합니다. 보안 구성 마법사 구성 설정이 수집 및 구성되면 모든 점프 서버에서 일관된 기준 구성을 적용하는 데 사용되는 GPO로 설정을 변환할 수 있습니다. GPO를 추가로 편집하여 점프 서버와 관련된 보안 설정을 구현할 수 있으며, 모든 설정을 Microsoft 보안 준수 관리자에서 추출한 추가 기준 설정과 결합할 수 있습니다.
Microsoft Security Compliance Manager
Microsoft 보안 준수 관리자는 운영 체제 버전 및 역할 구성에 따라 Microsoft에서 권장하는 보안 구성을 통합하고 도메인 컨트롤러에 대한 기준 보안 설정을 만들고 구성하는 데 사용할 수 있는 단일 도구 및 UI에서 수집하는 자유롭게 사용할 수 있는 도구입니다. Microsoft Security Compliance Manager 템플릿을 보안 구성 마법사 설정과 결합하여 점프 서버가 Active Directory에 있는 OU에 배포된 GPO에 의해 배포되고 적용되는 점프 서버에 대한 포괄적인 구성 기준을 생성할 수 있습니다.
참고 항목
이 문서를 작성할 때 Microsoft 보안 준수 관리자에는 점프 서버 또는 기타 보안 관리 호스트와 관련된 설정이 포함되지 않지만 SCM(보안 준수 관리자)을 사용하여 관리 호스트에 대한 초기 기준을 만들 수 있습니다. 그러나 호스트를 제대로 보호하려면 보안이 높은 워크스테이션 및 서버에 적절한 추가 보안 설정을 적용해야 합니다.
AppLocker
관리 호스트 및 가상 머신은 AppLocker 또는 타사 애플리케이션 제한 소프트웨어를 통해 스크립트, 도구 및 애플리케이션으로 구성해야 합니다. 보안 설정을 준수하지 않는 모든 관리 애플리케이션 또는 유틸리티는 보안 개발 및 관리 관행을 준수하는 도구로 업그레이드하거나 대체해야 합니다. 관리 호스트에 새 도구나 추가 도구가 필요한 경우 애플리케이션 및 유틸리티를 철저히 테스트해야 하며, 도구가 관리 호스트의 배포에 적합한 경우 시스템의 도구에 추가할 수 있습니다.
RDP 제한
특정 구성은 관리 시스템의 아키텍처에 따라 달라지지만 RD 게이트웨이(원격 데스크톱 게이트웨이) 점프 서버를 사용하여 권한 있는 사용자 및 시스템에서 도메인 컨트롤러 및 기타 관리 시스템에 대한 액세스를 제어하는 등 관리 시스템에 대한 RDP(원격 데스크톱 프로토콜) 연결을 설정하는 데 사용할 수 있는 계정 및 컴퓨터에 대한 제한을 포함해야 합니다.
권한 있는 사용자가 대화형 로그온을 허용해야 하며 서버 액세스에 필요하지 않은 다른 로그온 유형을 제거하거나 차단해야 합니다.
패치 및 구성 관리
소규모 조직에서는 Windows 업데이트 또는 WSUSWindows Server Update Services와 같은 제품을 사용하여 Windows 시스템에 대한 업데이트 배포를 관리할 수 있으며, 대규모 조직에서는 Microsoft Endpoint Configuration Manager와 같은 엔터프라이즈 패치 및 구성 관리 소프트웨어를 구현할 수 있습니다. 일반 서버 및 워크스테이션 모집단에 업데이트를 배포하는 데 사용하는 메커니즘에 관계없이 도메인 컨트롤러, 인증 기관 및 관리 호스트와 같은 매우 안전한 시스템에 대한 별도의 배포를 고려해야 합니다. 이러한 시스템을 일반 관리 인프라에서 분리하여 관리 소프트웨어 또는 서비스 계정이 손상된 경우 인프라에서 가장 안전한 시스템으로 쉽게 확장할 수 없습니다.
보안 시스템에 대한 수동 업데이트 프로세스를 구현해서는 안 되지만 보안 시스템을 업데이트하기 위한 별도의 인프라를 구성해야 합니다. 매우 큰 조직에서도 이 인프라는 일반적으로 보안 시스템을 위한 전용 WSUS 서버 및 GPO를 통해 구현할 수 있습니다.
인터넷 액세스 차단
관리 호스트는 인터넷에 액세스하는 것을 허용해서는 안 되며 조직의 인트라넷을 검색할 수도 없습니다. 웹 브라우저 및 유사한 애플리케이션은 관리 호스트에서 허용되지 않아야 합니다. 보안 호스트에서 경계 방화벽 설정, WFAS 구성 및 "블랙홀" 프록시 구성의 조합을 통해 보안 호스트에 대한 인터넷 액세스를 차단할 수 있습니다. 애플리케이션 허용 목록을 사용하여 웹 브라우저가 관리 호스트에서 사용되지 않도록 할 수도 있습니다.
가상화
가능한 경우 가상 머신을 관리 호스트로 구현하는 것이 좋습니다. 가상화를 사용하면 중앙에서 저장 및 관리되며 사용하지 않을 때 쉽게 종료할 수 있는 사용자별 관리 시스템을 만들어 자격 증명이 관리 시스템에서 활성 상태로 유지되지 않도록 할 수 있습니다. 또한 가상 머신이 기본적으로 유지되도록 각 사용 후에 가상 관리 호스트를 초기 스냅샷으로 다시 설정하도록 요구할 수도 있습니다. 관리 호스트의 가상화 옵션에 대한 자세한 내용은 다음 섹션에서 제공합니다.
보안 관리 호스트를 구현하기 위한 샘플 접근 방식
관리 호스트 인프라를 디자인하고 배포하는 방법에 관계없이 이 항목의 앞부분에 있는 "보안 관리 호스트를 만들기 위한 원칙"에 제공된 지침을 염두에 두어야 합니다. 여기에 설명된 각 접근 방식은 IT 직원이 사용하는 "관리" 및 "생산성" 시스템을 분리하는 방법에 대한 일반적인 정보를 제공합니다. 생산성 시스템은 IT 관리자가 전자 메일을 확인하고, 인터넷을 찾아보고, Microsoft Office와 같은 일반 생산성 소프트웨어를 사용하기 위해 사용하는 컴퓨터입니다. 관리 시스템은 IT 환경의 일상적인 관리에 사용하기 위해 강화되고 전용으로 사용되는 컴퓨터입니다.
보안 관리 호스트를 구현하는 가장 간단한 방법은 IT 직원에게 관리 작업을 수행할 수 있는 보안 워크스테이션을 제공하는 것입니다. 워크스테이션 전용 구현에서 각 관리 워크스테이션은 관리 도구 및 RDP 연결을 시작하여 서버 및 기타 인프라를 관리하는 데 사용됩니다. 워크스테이션 전용 구현은 소규모 조직에서 효과적일 수 있지만, 더 크고 복잡한 인프라는 이 항목의 뒷부분에 있는 "보안 관리 워크스테이션 및 점프 서버 구현"에 설명된 대로 전용 관리 서버 및 워크스테이션이 사용되는 관리 호스트에 대한 분산 설계를 활용할 수 있습니다.
별도의 물리적 워크스테이션 구현
관리 호스트를 구현할 수 있는 한 가지 방법은 각 IT 사용자에게 두 개의 워크스테이션을 발급하는 것입니다. 한 워크스테이션은 "일반" 사용자 계정과 함께 전자 메일 확인 및 생산성 애플리케이션 사용과 같은 작업을 수행하는 데 사용되며, 두 번째 워크스테이션은 관리 기능에만만 사용됩니다.
생산성 워크스테이션의 경우 IT 직원은 권한 있는 계정을 사용하여 보안되지 않은 컴퓨터에 로그온하는 대신 일반 사용자 계정을 부여할 수 있습니다. 관리 워크스테이션은 엄격하게 제어된 구성으로 구성되어야 하며 IT 직원은 다른 계정을 사용하여 관리 워크스테이션에 로그온해야 합니다.
스마트 카드를 구현한 경우 스마트 카드 로그온이 필요하도록 관리 워크스테이션을 구성해야 하며, IT 직원에게는 관리용으로 별도의 계정을 부여해야 하며, 대화형 로그온을 위해 스마트 카드가 필요하도록 구성해야 합니다. 이전에 설명한 대로 관리 호스트를 강화해야 하며 지정된 IT 사용자만 관리 워크스테이션에 로컬로 로그온할 수 있어야 합니다.
장점
별도의 물리적 시스템을 구현하여 각 컴퓨터가 해당 역할에 맞게 적절하게 구성되고 IT 사용자가 실수로 관리 시스템을 위험에 노출할 수 없도록 할 수 있습니다.
단점
별도의 물리적 컴퓨터를 구현하면 하드웨어 비용이 증가합니다.
원격 시스템을 관리하는 데 사용되는 자격 증명을 사용하여 물리적 컴퓨터에 로그온하면 메모리에 자격 증명이 캐시됩니다.
관리 워크스테이션이 안전하게 저장되지 않으면 물리적 하드웨어 키 로거 또는 기타 물리적 공격과 같은 메커니즘을 통해 손상에 취약할 수 있습니다.
가상화된 생산성 워크스테이션을 사용하여 보안 물리적 워크스테이션 구현
이 접근 방식에서 IT 사용자에게는 RSAT(원격 서버 관리 도구) 또는 RDP 연결을 사용하여 책임 범위 내의 서버에 대한 일상적인 관리 기능을 수행할 수 있는 보안 관리 워크스테이션이 제공됩니다. IT 사용자가 생산성 작업을 수행해야 하는 경우 RDP를 통해 가상 머신으로 실행되는 원격 생산성 워크스테이션에 연결할 수 있습니다. 각 워크스테이션에 별도의 자격 증명을 사용해야 하며 스마트 카드와 같은 컨트롤을 구현해야 합니다.
장점
관리 워크스테이션과 생산성 워크스테이션은 구분됩니다.
보안 워크스테이션을 사용하여 생산성 워크스테이션에 연결하는 IT 직원은 별도의 자격 증명과 스마트 카드를 사용할 수 있으며 권한 있는 자격 증명은 덜 안전한 컴퓨터에 보관되지 않습니다.
단점
솔루션을 구현하려면 디자인 및 구현 작업과 강력한 가상화 옵션이 필요합니다.
물리적 워크스테이션이 안전하게 저장되지 않으면 하드웨어 또는 운영 체제를 손상시키고 통신 차단에 취약하게 만드는 물리적 공격에 취약할 수 있습니다.
"생산성" 및 "관리" 가상 머신에 대한 연결을 사용하여 단일 보안 워크스테이션 구현
이 방법에서는 이전에 설명한 대로 잠겨 있고 IT 사용자에게 권한 있는 액세스 권한이 없는 단일 물리적 워크스테이션을 IT 사용자에게 발급할 수 있습니다. 전용 서버에서 호스트되는 가상 머신에 원격 데스크톱 서비스 연결을 제공하여 IT 직원에게 이메일 및 기타 생산성 애플리케이션을 실행하는 하나의 가상 머신과 사용자의 전용 관리 호스트로 구성된 두 번째 가상 머신을 제공할 수 있습니다.
실제 컴퓨터에 로그온하는 데 사용되는 계정 이외의 별도 계정을 사용하여 가상 머신에 대한 스마트 카드 또는 기타 다단계 로그온이 필요합니다. IT 사용자가 물리적 컴퓨터에 로그온한 후 생산성 스마트 카드를 사용하여 원격 생산성 컴퓨터에 연결하고 별도의 계정과 스마트 카드를 사용하여 원격 관리 컴퓨터에 연결할 수 있습니다.
장점
IT 사용자는 단일 물리적 워크스테이션을 사용할 수 있습니다.
가상 호스트에 대해 별도의 계정을 요구하고 가상 머신에 대한 원격 데스크톱 서비스 연결을 사용하면 IT 사용자의 자격 증명이 로컬 컴퓨터의 메모리에 캐시되지 않습니다.
물리적 호스트를 관리 호스트와 동일한 수준까지 보호하여 로컬 컴퓨터가 손상될 가능성을 줄일 수 있습니다.
IT 사용자의 생산성 가상 머신 또는 관리 가상 머신이 손상되었을 수 있는 경우 가상 머신을 "정상으로 알려진" 상태로 쉽게 다시 설정할 수 있습니다.
물리적 컴퓨터가 손상된 경우 권한 있는 자격 증명은 메모리에 캐시되지 않으며 스마트 카드를 사용하면 키 입력 로거에 의한 자격 증명 손상을 방지할 수 있습니다.
단점
솔루션을 구현하려면 디자인 및 구현 작업과 강력한 가상화 옵션이 필요합니다.
물리적 워크스테이션이 안전하게 저장되지 않으면 하드웨어 또는 운영 체제를 손상시키고 통신 차단에 취약하게 만드는 물리적 공격에 취약할 수 있습니다.
보안 관리 워크스테이션 및 점프 서버 구현
보안 관리 워크스테이션의 대안으로 또는 이러한 워크스테이션과 함께 보안 점프 서버를 구현할 수 있으며 관리 사용자는 RDP 및 스마트 카드를 사용하여 점프 서버에 연결하여 관리 작업을 수행할 수 있습니다.
점프 서버는 원격 데스크톱 게이트웨이 역할을 실행하도록 구성하여 점프 서버 및 해당 서버에서 관리할 대상 서버에 대한 연결에 대한 제한을 구현할 수 있도록 해야 합니다. 가능하면 Hyper-V 역할을 설치하고 관리자가 점프 서버에서 작업에 사용할 개인 가상 데스크톱 또는 기타 사용자별 가상 머신을 만들어야 합니다.
점프 서버에서 관리자별 사용자별 가상 머신을 제공하면 관리 워크스테이션에 대한 물리적 보안을 제공하고, 관리 사용자는 사용하지 않을 때 가상 머신을 다시 설정하거나 종료할 수 있습니다. 동일한 관리 호스트에 Hyper-V 역할 및 원격 데스크톱 게이트웨이 역할을 설치하지 않으려는 경우 별도의 컴퓨터에 설치할 수 있습니다.
가능한 경우 원격 관리 도구를 사용하여 서버를 관리해야 합니다. RSAT(원격 서버 관리 도구) 기능은 사용자의 가상 머신(또는 관리를 위해 사용자별 가상 머신을 구현하지 않는 경우 점프 서버)에 설치해야 하며, 관리 직원은 RDP를 통해 가상 머신에 연결하여 관리 작업을 수행해야 합니다.
관리자가 RDP를 통해 대상 서버에 연결하여 직접 관리해야 하는 경우 적절한 사용자와 컴퓨터를 사용하여 대상 서버에 대한 연결을 설정하는 경우에만 연결을 허용하도록 RD 게이트웨이를 구성해야 합니다. 일반 사용 워크스테이션 및 점프 서버가 아닌 멤버 서버와 같이 관리 시스템이 지정되지 않은 시스템에서는 RSAT(또는 이와 유사한) 도구의 실행을 금지해야 합니다.
장점
점프 서버를 만들면 네트워크의 "영역"(구성, 연결 및 보안 요구 사항이 비슷한 시스템 컬렉션)에 특정 서버를 매핑하고 보안 관리 호스트에서 지정된 "영역" 서버로 연결하는 관리자가 각 영역의 관리를 수행하도록 요구할 수 있습니다.
점프 서버를 영역에 매핑하면 연결 속성 및 구성 요구 사항에 대한 세부적인 컨트롤을 구현할 수 있으며 권한이 없는 시스템에서 연결하려는 시도를 쉽게 식별할 수 있습니다.
점프 서버에서 관리자별 가상 머신을 구현하면 관리 작업이 완료되면 종료를 적용하고 가상 머신을 알려진 정리 상태로 다시 설정합니다. 관리 작업이 완료될 때 가상 머신의 종료(또는 다시 시작)를 적용하여 가상 머신은 공격자의 대상이 될 수 없으며 메모리 캐시 자격 증명이 다시 부팅 후에도 유지되지 않으므로 자격 증명 도난 공격을 수행할 수 없습니다.
단점
물리적 서버든 가상이든 점프 서버에는 전용 서버가 필요합니다.
지정된 점프 서버 및 관리 워크스테이션을 구현하려면 환경에 구성된 모든 보안 영역에 매핑되는 신중한 계획 및 구성이 필요합니다.