손상 계획
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
법 번호 1 : 아무도 나쁜 일이 그들에게 일어날 수 있다고 생각하지 않습니다, 그것은 할 때까지. - 10 변경할 수 없는 보안 관리
많은 조직의 재해 복구 계획은 컴퓨팅 서비스 손실을 초래하는 지역 재해 또는 오류로부터 복구하는 데 집중합니다. 그러나 손상된 고객과 함께 작업할 때 의도적인 손상으로부터 복구하는 것이 재해 복구 계획에 없는 경우가 많습니다. 손상으로 인해 물리적 경계(예: 데이터 센터 파기)가 아닌 논리적 경계(예: 모든 Active Directory의 삭제기본 또는 모든 서버 파기)를 활용하는 지적 재산권 도용 또는 의도적인 파괴가 발생할 때 특히 그렇습니다. 조직에는 손상이 발견될 때 수행할 초기 활동을 정의하는 인시던트 대응 계획이 있을 수 있지만, 이러한 계획은 종종 전체 컴퓨팅 인프라에 영향을 주는 손상으로부터 복구하는 단계를 생략합니다.
Active Directory는 사용자, 서버, 워크스테이션 및 애플리케이션에 풍부한 ID 및 액세스 관리 기능을 제공하므로 공격자가 항상 대상으로 지정합니다. 공격자가 Active Directory do기본 또는 do기본 컨트롤러에 대한 높은 권한의 액세스 권한을 얻는 경우 해당 액세스를 활용하여 전체 Active Directory 포리스트에 액세스, 제어 또는 삭제할 수 있습니다.
이 문서에서는 Windows 및 Active Directory에 대한 가장 일반적인 공격 및 공격 노출 영역을 줄이기 위해 구현할 수 있는 대책에 대해 설명했지만, Active Directory가 완전히 손상될 경우 복구할 수 있는 유일한 확실한 방법은 손상이 발생하기 전에 대비하는 것입니다. 이 섹션에서는 이 문서의 이전 섹션보다 기술 구현 세부 정보에 중점을 두지 않으며, 조직의 중요한 비즈니스 및 IT 자산을 보호하고 관리하는 전체적이고 포괄적인 접근 방식을 만드는 데 사용할 수 있는 개략적인 권장 사항에 대해 자세히 설명합니다.
인프라가 공격을 받은 적이 없거나, 위반 시도에 저항했거나, 공격에 굴복하고 완전히 손상되었든, 공격을 받을 불가피한 현실을 계획해야 합니다. 공격을 방지할 수는 없지만 심각한 위반 또는 도매 손상을 방지할 수 있습니다. 모든 조직은 기존 위험 관리 프로그램을 면밀히 평가하고 예방, 탐지, 억제 및 복구에 균형 잡힌 투자를 함으로써 전반적인 취약성 수준을 줄이는 데 필요한 조정을 수행해야 합니다.
인프라 및 애플리케이션에 의존하는 사용자 및 비즈니스에 서비스를 제공하면서 효과적인 방어를 만들려면 사용자 환경에서 손상을 방지, 감지 및 포함하는 새로운 방법을 고려한 다음 손상으로부터 복구해야 할 수 있습니다. 이 문서의 접근 방식과 권장 사항은 손상된 Active Directory 설치를 복구하는 데 도움이 되지 않지만 다음 설치를 보호하는 데 도움이 될 수 있습니다.
Active Directory 포리스트 를 복구하기 위한 권장 사항AD 포리스트 복구 - 포리스트 복원 단계입니다. 새 환경이 완전히 손상되는 것을 방지할 수 있지만, 그렇지 않더라도 환경을 복구하고 다시 제어할 수 있는 도구가 있습니다.
접근 방식 재고
법률 번호 8: 네트워크 방어의 어려움은 복잡성에 직접적으로 비례합니다. - 10 변경할 수 없는 보안 관리
공격자가 운영 체제에 관계없이 컴퓨터에 대한 SYSTEM, 관리istrator, root 또는 동등한 액세스를 얻은 경우 시스템을 "클린"하기 위해 얼마나 많은 노력을 하든 해당 컴퓨터는 더 이상 신뢰할 수 있는 것으로 간주될 수 없습니다. Active Directory도 다르지 않습니다. 공격자가 Active Directory에서 do기본 컨트롤러 또는 높은 권한 있는 계정에 대한 권한 있는 액세스 권한을 얻은 경우 공격자가 수행한 모든 수정 또는 알려진 좋은 백업에 대한 레코드가 없는 한 디렉터리를 완전히 신뢰할 수 있는 상태로 복원할 수 없습니다.
공격자에 의해 멤버 서버 또는 워크스테이션이 손상되고 변경된 경우 컴퓨터는 더 이상 신뢰할 수 없지만 인접한 호환되지 않는 서버 및 워크스테이션을 계속 신뢰할 수 있습니다. 한 컴퓨터의 손상이 모든 컴퓨터가 손상되었다는 의미는 아닙니다.
그러나 Active Directory do기본 모든 기본 컨트롤러는 동일한 AD DS 데이터베이스의 복제본(replica) 호스트합니다. 단일 do기본 컨트롤러가 손상되고 공격자가 AD DS 데이터베이스를 수정하는 경우 해당 수정은 수정이 수행되는 파티션에 따라 복제본(replica)기본 다른 모든 작업기본 컨트롤러에 적용됩니다. 포리스트에 모든 do기본 컨트롤러를 다시 설치하더라도 AD DS 데이터베이스가 있는 호스트를 다시 설치하기만 하면 됩니다. Active Directory에 대한 악의적인 수정은 복제본(replica) 새로 설치된 do기본 컨트롤러는 수년 동안 실행된 컨트롤러를 복제본(replica)기본 컨트롤러만큼 쉽게 수정할 수 있습니다.
손상된 환경을 평가할 때, 일반적으로 첫 번째 위반 "이벤트"로 여겨졌던 것이 공격자가 처음에 환경을 손상시킨 후 몇 주, 몇 달 또는 몇 년 후에 실제로 트리거되었음을 알 수 있습니다. 공격자는 일반적으로 위반이 감지되기 훨씬 전에 높은 권한의 계정에 대한 자격 증명을 획득했으며, 이러한 계정을 활용하여 디렉터리, 할기본 컨트롤러, 멤버 서버, 워크스테이션 및 연결된 비 Windows 시스템을 손상시켰습니다.
이러한 발견은 Verizon의 2012 데이터 위반 조사 보고서에서 다음과 같은 몇 가지 결과와 일치합니다.
데이터 위반의 98%가 외부 에이전트에서 비롯되었습니다.
데이터 침해의 85%가 검색하는 데 몇 주 이상이 걸렸습니다.
제3자에서 92%의 인시던트가 발견되었습니다.
위반의 97%는 단순 또는 중간 제어를 통해 피할 수 있었습니다.
앞에서 설명한 정도에 대한 타협은 사실상 돌이킬 수 없으며, Active Directory가 손상되거나 제거된 경우 손상된 모든 시스템을 "평면화하고 다시 빌드"하는 표준 조언은 실현 가능하지 않거나 불가능합니다. 알려진 정상 상태로 복원하더라도 환경을 처음부터 손상시킬 수 있는 결함이 제거되지는 않습니다.
인프라의 모든 측면을 방어해야 하지만 공격자는 원하는 목표를 달성하기 위해 방어에 충분한 결함을 찾아야 합니다. 환경이 비교적 간단하고 자연스럽고 역사적으로 잘 관리되는 경우 이 문서의 앞부분에서 제공하는 권장 사항을 구현하는 것이 간단한 제안일 수 있습니다.
그러나 환경이 더 오래되고, 더 크고, 더 복잡할수록 이 문서의 권장 사항을 구현할 수 없거나 구현이 불가능할 가능성이 더 높습니다. 인프라를 새로 시작하고 공격 및 타협에 강한 환경을 구축하는 것보다 인프라를 보호하는 것이 훨씬 어렵습니다. 그러나 이전에 언급했듯이 전체 Active Directory 포리스트를 다시 빌드하는 것은 작은 일이 아닙니다. 이러한 이유로 Active Directory 포리스트를 보호하기 위해 보다 집중적이고 타겟팅된 접근 방식을 사용하는 것이 좋습니다.
"손상"된 모든 항목에 집중하고 수정하는 대신 비즈니스 및 인프라에서 가장 중요한 사항에 따라 우선 순위를 지정하는 접근 방식을 고려합니다. 잘못 구성된 오래된 시스템 및 애플리케이션으로 채워진 환경을 수정하는 대신 비즈니스에 가장 중요한 사용자, 시스템 및 정보를 안전하게 포팅할 수 있는 작고 안전한 새 환경을 만드는 것이 좋습니다.
이 섹션에서는 핵심 비즈니스 인프라에 대한 "생명 보트" 또는 "보안 셀"로 사용되는 깨끗한 AD DS 포리스트를 만들 수 있는 방법을 설명합니다. 자연 그대로의 포리스트는 단순히 새로 설치된 Active Directory 포리스트로, 일반적으로 크기와 범위가 제한되며 현재 운영 체제, 애플리케이션 및 Active Directory 공격 표면 감소에 설명된 원칙을 사용하여 빌드됩니다.
새로 빌드된 포리스트에서 권장 구성 설정을 구현하여 처음부터 보안 설정 및 사례를 사용하여 빌드된 AD DS 설치를 만들 수 있으며, 레거시 시스템 및 애플리케이션을 지원하는 데 수반되는 문제를 줄일 수 있습니다. 기본 AD DS 설치의 디자인 및 구현에 대한 자세한 지침은 이 문서의 범위를 벗어나지만 몇 가지 일반적인 원칙과 지침을 따라 가장 중요한 자산을 보관할 수 있는 "보안 셀"을 만들어야 합니다. 이러한 지침은 다음과 같습니다.
중요한 자산을 분리하고 보호하기 위한 원칙을 식별합니다.
제한된 위험 기반 마이그레이션 계획을 정의합니다.
필요한 경우 "비군사적" 마이그레이션을 활용합니다.
"창조적 파괴"를 구현합니다.
레거시 시스템과 애플리케이션을 격리합니다.
최종 사용자의 보안을 간소화합니다.
중요한 자산 분리 및 보안 원칙 식별
중요한 자산을 보관하기 위해 만드는 자연 그대로의 환경의 특성은 매우 다양할 수 있습니다. 예를 들어 VIP 사용자와 해당 사용자만 액세스할 수 있는 중요한 데이터만 마이그레이션하는 깨끗한 포리스트를 만들도록 선택할 수 있습니다. VIP 사용자뿐만 아니라 관리 포리스트로 구현하는 기본 포리스트를 만들 수 있습니다. 이 포리스트는 Active Directory 공격 표면 축소에 설명된 원칙을 구현하여 기본 포리스트에서 레거시 포리스트를 관리하는 데 사용할 수 있는 보안 관리 계정 및 호스트를 만듭니다. 덜 안전한 포리스트에서 분리하는 목적으로 AD CS(Active Directory Certificate Services)를 실행하는 서버와 같은 추가 보안이 필요한 VIP 계정, 권한 있는 계정 및 시스템을 보관하는 "용도로 빌드된" 포리스트를 구현할 수 있습니다. 마지막으로, 모든 새 사용자, 시스템, 애플리케이션 및 데이터에 대한 사실상의 위치가 되는 깨끗한 포리스트를 구현하여 결국 소멸을 통해 레거시 포리스트의 서비스를 해제할 수 있습니다.
자연 그대로의 포리스트에 소수의 사용자와 시스템이 포함되어 있는지 또는 보다 적극적인 마이그레이션의 기초가 되는지에 관계없이 계획에서 다음 원칙을 따라야 합니다.
레거시 포리스트가 손상되었다고 가정합니다.
레거시 포리스트를 신뢰하도록 기본 환경을 구성하지 마세요. 하지만 기본 포리스트를 신뢰하도록 레거시 환경을 구성할 수 있습니다.
계정의 그룹 멤버 자격, SID 기록 또는 기타 특성이 악의적으로 수정되었을 가능성이 있는 경우 레거시 포리스트에서 깨끗한 환경으로 사용자 계정 또는 그룹을 마이그레이션하지 마세요. 대신 "비군사적" 접근 방식을 사용하여 깨끗한 포리스트를 채웁니다. (이 섹션의 뒷부분에서 설명된 비군사적 접근법에 대해 설명합니다.)
컴퓨터를 레거시 포리스트에서 깨끗한 포리스트로 마이그레이션하지 마세요. 깨끗한 포리스트에 새로 설치된 서버를 구현하고, 새로 설치된 서버에 애플리케이션을 설치하고, 애플리케이션 데이터를 새로 설치된 시스템으로 마이그레이션합니다. 파일 서버의 경우 새로 설치된 서버에 데이터를 복사하고, 새 포리스트의 사용자 및 그룹을 사용하여 ACL을 설정한 다음, 비슷한 방식으로 인쇄 서버를 만듭니다.
기본 포리스트에 레거시 운영 체제 또는 애플리케이션을 설치하는 것을 허용하지 않습니다. 애플리케이션을 업데이트하고 새로 설치할 수 없는 경우 레거시 포리스트에 두고 창의적인 소멸을 고려하여 애플리케이션의 기능을 대체합니다.
제한된 위험 기반 마이그레이션 계획 정의
제한된 위험 기반 마이그레이션 계획을 만들면 기본 포리스트로 마이그레이션할 사용자, 애플리케이션 및 데이터를 결정할 때 사용자 또는 시스템 중 하나가 손상된 경우 조직이 노출되는 위험 정도에 따라 마이그레이션 대상을 식별해야 합니다. 계정이 공격자의 표적이 될 가능성이 가장 큰 VIP 사용자는 깨끗한 포리스트에 보관해야 합니다. 중요한 비즈니스 기능을 제공하는 애플리케이션은 깨끗한 포리스트의 새로 빌드된 서버에 설치해야 하며 매우 중요한 데이터는 깨끗한 포리스트의 보안 서버로 이동해야 합니다.
Active Directory 환경에서 가장 중요 비즈니스에 중요한 사용자, 시스템, 애플리케이션 및 데이터에 대한 명확한 그림이 아직 없는 경우 사업부와 협력하여 식별합니다. 중요 애플리케이션이 실행되거나 중요한 데이터가 저장되는 서버와 마찬가지로 비즈니스 작동에 필요한 모든 애플리케이션을 식별해야 합니다. 조직에서 계속 작동하는 데 필요한 사용자 및 리소스를 식별하여 노력을 집중할 자산의 자연스럽게 우선 순위가 지정된 컬렉션을 만듭니다.
"비군사적" 마이그레이션 활용
환경이 손상되었음을 알고 있거나, 손상된 것으로 의심하거나, 레거시 Active Directory 설치에서 새 Active Directory 설치로 레거시 데이터 및 개체를 마이그레이션하지 않으려는 경우 기술적으로 개체를 "마이그레이션"하지 않는 마이그레이션 방법을 고려합니다.
사용자 계정
한 포리스트에서 다른 포리스트로의 기존 Active Directory 마이그레이션에서 사용자 개체의 SIDHistory(SID 기록) 특성은 사용자의 SID 및 사용자가 레거시 포리스트의 멤버였던 그룹의 SID를 저장하는 데 사용됩니다. 사용자 계정이 새 포리스트로 마이그레이션되고 레거시 포리스트의 리소스에 액세스하는 경우 SID 기록의 SID는 사용자가 계정을 마이그레이션하기 전에 액세스한 리소스에 액세스할 수 있는 액세스 토큰을 만드는 데 사용됩니다.
그러나 SID 기록을 유지 관리하는 것은 사용자의 액세스 토큰을 현재 및 기록 SID로 채우면 토큰이 부풀어 오를 수 있기 때문에 일부 환경에서 문제가 되는 것으로 입증되었습니다. 토큰 bloat은 사용자의 액세스 토큰에 저장해야 하는 SID 수가 토큰에서 사용 가능한 공간의 양을 사용하거나 초과하는 문제입니다.
토큰 크기를 제한된 범위로 늘릴 수 있지만 토큰 bloat에 대한 궁극적인 해결 방법은 그룹 멤버 자격을 합리화하거나 SID 기록을 제거하거나 둘 다 조합하여 사용자 계정과 연결된 SID 수를 줄이는 것입니다. 토큰 bloat 에 대한 자세한 내용은 MaxTokenSize 및 Kerberos 토큰 Bloat을 참조하세요.
SID 기록을 사용하여 레거시 환경(특히 그룹 멤버 자격 및 SID 기록이 손상될 수 있는 환경)에서 사용자를 마이그레이션하는 대신 새 포리스트로 SID 기록을 전달하지 않고 metadirectory 애플리케이션을 활용하여 사용자를 "마이그레이션"하는 것이 좋습니다. 새 포리스트에서 사용자 계정을 만들 때 metadirectory 애플리케이션을 사용하여 레거시 포리스트의 해당 계정에 계정을 매핑할 수 있습니다.
새 사용자 계정에 레거시 포리스트의 리소스에 대한 액세스를 제공하려면 metadirectory 도구를 사용하여 사용자의 레거시 계정에 액세스 권한이 부여된 리소스 그룹을 식별한 다음 해당 그룹에 사용자의 새 계정을 추가할 수 있습니다. 레거시 포리스트의 그룹 전략에 따라 리소스 액세스를 위해 do기본 로컬 그룹을 만들거나 기존 그룹을 변환하여 새 계정을 리소스 그룹에 추가할 수 있도록 기본 로컬 그룹을 만들어야 할 수 있습니다. 가장 중요한 애플리케이션 및 데이터에 먼저 초점을 맞추고 SID 기록 유무에 관계없이 새 환경으로 마이그레이션하면 레거시 환경에서 소비되는 작업의 양을 제한할 수 있습니다.
서버 및 워크스테이션
한 Active Directory 포리스트에서 다른 포리스트로의 기존 마이그레이션에서 컴퓨터 마이그레이션은 사용자, 그룹 및 애플리케이션 마이그레이션에 비해 비교적 간단한 경우가 많습니다. 컴퓨터 역할에 따라 새 포리스트로 마이그레이션하는 것은 이전 작업을 연결 해제하고기본 새 포리스트에 조인하는 것만큼 간단할 수 있습니다. 그러나 컴퓨터 계정을 자연 그대로의 포리스트로 마이그레이션하면 새 환경을 만들 수 없습니다. 컴퓨터 계정을 새 포리스트로 마이그레이션하는 대신 새 환경에 서버와 워크스테이션을 새로 설치해야 합니다. 레거시 포리스트의 시스템에서 깨끗한 포리스트의 시스템으로 데이터를 마이그레이션할 수 있지만 데이터를 보관하는 시스템은 마이그레이션할 수 없습니다.
애플리케이션
애플리케이션은 한 포리스트에서 다른 포리스트로의 마이그레이션에서 가장 중요한 과제를 제시할 수 있지만 "비군사적" 마이그레이션의 경우 가장 기본적인 원칙 중 하나는 깨끗한 포리스트의 애플리케이션이 최신, 지원 및 새로 설치되어야 한다는 것입니다. 가능한 경우 이전 포리스트의 애플리케이션 인스턴스에서 데이터를 마이그레이션할 수 있습니다. 자연 그대로의 포리스트에서 애플리케이션을 "다시 만들" 수 없는 경우 다음 섹션에 설명된 대로 창의적인 소멸 또는 레거시 애플리케이션 격리와 같은 접근 방식을 고려해야 합니다.
창조적 파괴 구현
창조적 파괴는 이전 질서의 파괴에 의해 생성 된 경제 발전을 설명하는 경제 용어입니다. 최근 몇 년 동안, 용어는 정보 기술에 적용되었습니다. 일반적으로 이전 인프라를 업그레이드하는 것이 아니라 완전히 새로운 것으로 대체하여 기존 인프라가 제거되는 메커니즘을 나타냅니다. 2011 년 CIO 및 고위 IT 경영진을 위한 Gartner Symposium ITXPO 는 비용 절감과 효율성 향상을 위한 주요 주제 중 하나로 창의적인 파괴를 제시했습니다. 보안 개선은 프로세스의 자연스러운 증가로 가능합니다.
예를 들어 조직은 다양한 수준의 최신 기능 및 공급업체 지원을 통해 유사한 기능을 수행하는 다른 애플리케이션을 사용하는 여러 사업부로 구성될 수 있습니다. 지금까지 IT는 각 사업부의 애플리케이션을 별도로 기본 담당할 수 있으며, 통합 작업은 최상의 기능을 제공하는 애플리케이션을 파악한 다음 다른 애플리케이션에서 해당 애플리케이션으로 데이터를 마이그레이션하는 것으로 구성됩니다.
오래되었거나 중복된 애플리케이션을 기본 대신, 완전히 새로운 애플리케이션을 구현하여 이전 애플리케이션을 대체하고, 데이터를 새 애플리케이션으로 마이그레이션하고, 이전 애플리케이션과 해당 애플리케이션이 실행되는 시스템을 서비스 해제합니다. 경우에 따라 자체 인프라에 새 애플리케이션을 배포하여 레거시 애플리케이션의 창의적인 소멸을 구현할 수 있지만 가능한 경우 애플리케이션을 클라우드 기반 솔루션으로 이식하는 것이 좋습니다.
레거시 사내 애플리케이션을 대체하기 위해 클라우드 기반 애플리케이션을 배포하면 기본테넌스 노력과 비용을 줄일 뿐만 아니라 공격자가 활용할 취약성이 있는 레거시 시스템과 애플리케이션을 제거하여 조직의 공격 노출 영역을 줄일 수 있습니다. 이 방법은 조직이 인프라에서 레거시 대상을 동시에 제거하는 동시에 원하는 기능을 얻을 수 있는 더 빠른 방법을 제공합니다. 창의적인 파괴 원칙은 모든 IT 자산에 적용되지는 않지만 강력하고 안전한 클라우드 기반 애플리케이션을 동시에 배포하면서 레거시 시스템 및 애플리케이션을 제거하는 실행 가능한 옵션을 제공합니다.
레거시 시스템 및 애플리케이션 격리
중요 비즈니스용 사용자 및 시스템을 자연스럽고 안전한 환경으로 마이그레이션하는 자연스러운 성장은 레거시 포리스트에 덜 중요한 정보와 시스템이 포함된다는 것입니다. 보안 수준이 낮은 환경에서 다시 기본 레거시 시스템 및 애플리케이션은 손상 위험이 높아질 수 있지만 손상의 심각도가 감소했음을 나타냅니다. 중요한 비즈니스 자산을 다시 호밍하고 현대화하면 레거시 설정 및 프로토콜을 수용할 필요가 없지만 효과적인 관리 및 모니터링을 배포하는 데 집중할 수 있습니다.
레거시 설정을 강제로 구현하는 기본 이러한 시스템을 제거하면 이후 현재 운영 체제 및 애플리케이션만 지원하도록 구성하여 do기본 보안을 강화할 수 있습니다. 하지만 가능하면 레거시 시스템 및 애플리케이션의 서비스를 해제하는 것이 좋습니다. 단순히 레거시 모집단의 작은 세그먼트에 대해 서비스 해제가 불가능할 경우 별도의 do기본(또는 포리스트)로 분리하면 나머지 레거시 설치에서 증분 개선을 수행할 수 있습니다.
최종 사용자에 대한 보안 간소화
대부분의 조직에서 조직에서 역할의 특성으로 인해 가장 중요한 정보에 액세스할 수 있는 사용자는 복잡한 액세스 제한 및 제어를 학습하는 데 가장 적은 시간을 할애하는 경우가 많습니다. 조직의 모든 사용자를 위한 포괄적인 보안 교육 프로그램이 있어야 하지만, 투명하고 사용자가 준수하는 원칙을 간소화하는 컨트롤을 구현하여 보안을 최대한 간단하게 사용하는 데 집중해야 합니다.
예를 들어 임원 및 기타 VIP가 보안 워크스테이션을 사용하여 중요한 데이터 및 시스템에 액세스해야 하는 정책을 정의하여 다른 디바이스를 사용하여 덜 중요한 데이터에 액세스할 수 있도록 할 수 있습니다. 이는 사용자가 기억해야 하는 간단한 원칙이지만 여러 백 엔드 컨트롤을 구현하여 접근 방식을 적용할 수 있습니다.
인증 메커니즘 보증을 사용하면 사용자가 스마트 카드 사용하여 보안 시스템에 로그온한 경우에만 중요한 데이터에 액세스할 수 있으며, IPsec 및 사용자 권한 제한을 사용하여 중요한 데이터 리포지토리에 연결할 수 있는 시스템을 제어할 수 있습니다. 동적 Access Control을 구현하여 액세스 시도의 특성에 따라 데이터에 대한 액세스를 제한하여 비즈니스 규칙을 기술 컨트롤로 변환할 수 있습니다.
사용자의 관점에서 볼 때 보안 시스템에서 중요한 데이터에 액세스하는 것은 "작동"하고 보안되지 않은 시스템에서 그렇게 하려고 시도하는 것은 "그렇지 않습니다.". 그러나 환경을 모니터링하고 관리하는 관점에서 사용자가 중요한 데이터 및 시스템에 액세스하는 방식에서 식별 가능한 패턴을 만들어 비정상적인 액세스 시도를 보다 쉽게 감지할 수 있습니다.
길고 복잡한 암호에 대한 사용자의 저항으로 인해 암호 정책이 부족한 환경에서, 특히 VIP 사용자의 경우 인증에 대한 대체 방법을 고려합니다. 다른 방법으로는 스마트 카드(다양한 폼 팩터와 인증 강화를 위한 추가 기능 포함), 바이오 손가락 살짝 밀기 판독기와 같은 메트릭 컨트롤 또는 사용자의 컴퓨터에서 신뢰할 수 있는 TPM(플랫폼 모듈) 칩으로 보호되는 인증 데이터도 포함됩니다. 다단계 인증은 컴퓨터가 이미 손상된 경우 자격 증명 도난 공격을 방지하지 않습니다. 그러나 사용자에게 사용하기 쉬운 인증 컨트롤을 제공하여 기존 사용자 이름 및 암호 제어가 다루기 어려운 사용자의 계정에 보다 강력한 암호를 할당할 수 있습니다.