Active Directory 공격에 대한 취약성 줄이기
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
이 섹션에서는 Active Directory 설치의 공격 표면을 줄이기 위해 구현할 기술 컨트롤에 중점을 둡니다. 섹션에는 다음 정보가 포함됩니다.
최소 권한 관리 기본 모델 구현은 권한 있는 계정이 존재하는 위험을 줄이기 위해 구현하기 위한 권장 사항을 제공하는 것 외에도 일상적인 관리에 대해 높은 권한이 있는 계정을 사용하는 경우 발생하는 위험을 식별하는 데 중점을 둡니다.
보안 관리 기존 호스트 구현에서는 보안 관리 호스트 배포에 대한 몇 가지 샘플 방법 외에도 전용 보안 관리 시스템을 배포하기 위한 원칙을 설명합니다.
공격에 대한 Do기본 컨트롤러 보안은 보안 관리 호스트 구현에 대한 권장 사항과 유사하지만, 할 일기본 컨트롤러 및 이를 관리하는 데 사용되는 시스템이 안전하게 보호되도록 하는 데 도움이 되는 몇 가지 할 일기본 컨트롤러별 권장 사항을 포함하는 정책 및 설정에 대해 설명합니다.
Active Directory의 권한 있는 계정 및 그룹
이 섹션에서는 Active Directory의 권한 있는 계정과 그룹 간의 공통점과 차이점을 설명하기 위한 Active Directory의 권한 있는 계정 및 그룹에 대한 배경 정보를 제공합니다. 이러한 차이점을 이해하면 최소 권한 관리시제 모델 구현에서 권장 사항을 구현하거나 조직에 맞게 사용자 지정하도록 선택할지 여부에 관계없이 각 그룹과 계정을 적절하게 보호하는 데 필요한 도구가 있습니다.
기본 제공 계정 및 그룹 권한
Active Directory는 관리 위임을 용이하게 하고 권한 및 사용 권한을 할당할 때 최소 권한 원칙을 지원합니다. 할 일기본 계정이 있는 "일반" 사용자는 기본적으로 디렉터리에 저장된 많은 것을 읽을 수 있지만 디렉터리의 매우 제한된 데이터 집합만 변경할 수 있습니다. 추가 권한이 필요한 사용자는 자신의 역할과 관련된 특정 작업을 수행할 수 있지만 해당 업무와 관련이 없는 작업을 수행할 수 없도록 디렉터리에 기본 제공되는 다양한 "권한 있는" 그룹의 멤버 자격을 부여할 수 있습니다. 또한 조직은 특정 작업 책임에 맞게 조정된 그룹을 만들 수 있으며 IT 직원이 해당 기능에 필요한 권한을 초과하는 권한과 권한을 부여하지 않고도 일상적인 관리 기능을 수행할 수 있도록 하는 세분화된 권한과 권한을 부여할 수 있습니다.
Active Directory 내에서 세 개의 기본 제공 그룹은 디렉터리에서 가장 높은 권한 그룹인 Enterprise 관리, Do기본 관리s 및 관리istrators입니다. 이러한 각 그룹의 기본 구성 및 기능은 다음 섹션에 설명되어 있습니다.
Active Directory에서 가장 높은 권한 그룹
Enterprise Admins
EA(Enterprise 관리s)는 포리스트 루트 do기본만 존재하는 그룹이며, 기본적으로 포리스트의 관리기본 그룹의 구성원입니다. 포리스트 루트의 기본 제공 관리istrator 계정기본 EA 그룹의 유일한 기본 멤버입니다. EA에는 포리스트 전체 변경(즉, 포리스트의 모든 작업기본에 영향을 주는 변경 사항)을 구현할 수 있는 권한과 권한이 부여됩니다(예: do기본s 추가 또는 제거, 포리스트 트러스트 설정 또는 포리스트 기능 수준 높이기). 제대로 설계 및 구현 된 위임 모델에서는 먼저 포리스트를 구성 하는 경우에 또는 아웃 바운드 포리스트 트러스트를 구축 하는 등 특정 포리스트 차원의 변경을 수행할 때 EA 멤버 자격이 필요 합니다. EA 그룹에 부여된 대부분의 권한과 권한은 권한이 낮은 사용자 및 그룹에 위임할 수 있습니다.
Domain Admins
포리스트의 각 do기본 do기본 관리s(Do기본 관리s) 그룹은 해당 그룹의 구성원이며기본 관리이스트래터 그룹 및 할 일에 조인된 모든 컴퓨터의 로컬 관리istrators 그룹의 구성원입니다기본. do기본 DA 그룹의 유일한 기본 멤버는 기본 제공 관리이 작업을 수행하는 데 사용할 수 있는 기본 계정입니다. DAS는 기본 내에서 "모든 강력한" 반면 EA는 포리스트 전체의 권한을 가집니다. 올바르게 설계되고 구현된 위임 모델에서 Do기본 관리 멤버 자격은 "중단" 시나리오(예: 할 일의 모든 컴퓨터에 높은 수준의 권한이 있는 계정이 필요한 경우기본)에서만 필요합니다. 네이티브 Active Directory 위임 메커니즘을 사용하면 응급 시나리오에서만 DA 계정을 사용할 수 있는 범위까지 위임할 수 있지만 효과적인 위임 모델을 생성하는 데 시간이 오래 걸릴 수 있으며 많은 조직에서 타사 도구를 활용하여 프로세스를 신속하게 처리할 수 있습니다.
관리자
세 번째 그룹은 기본 제공 do기본 BA(로컬 관리istrators) 그룹으로, DA와 EA가 중첩됩니다. 이 그룹에는 디렉터리와 할 일기본 컨트롤러에서 많은 직접 권한과 권한이 부여됩니다. 그러나 관리기본에는 멤버 서버 또는 워크스테이션에 대한 권한이 없습니다. 로컬 권한이 부여되는 것은 컴퓨터의 로컬 관리istrators 그룹의 멤버 자격을 통해서입니다.
참고 항목
이러한 권한 있는 그룹의 기본 구성이지만 세 그룹의 구성원은 디렉터리를 조작하여 다른 그룹의 멤버 자격을 얻을 수 있습니다. 어떤 경우에는 다른 그룹의 멤버 자격을 얻는 것이 사소한 반면, 다른 그룹에서는 더 어렵지만 잠재적 권한의 관점에서 세 그룹 모두 효과적으로 동등한 것으로 간주되어야 합니다.
Schema Admins
네 번째 권한 있는 그룹인 SA(스키마 관리)는 포리스트 루트 do기본에만 존재하며기본 엔터프라이즈 관리 그룹과 유사한 기본 제공 관리istrator 계정을 기본 멤버로 사용합니다. 스키마 관리 그룹은 임시 및 가끔(AD DS 스키마 수정이 필요한 경우) 채워집니다.
SA 그룹은 Active Directory 스키마(즉, 개체 및 특성과 같은 디렉터리의 기본 데이터 구조)를 수정할 수 있는 유일한 그룹이지만 SA 그룹의 권한 및 권한 범위는 이전에 설명한 그룹보다 더 제한적입니다. 또한 그룹의 멤버 자격은 일반적으로 자주 필요하지 않으며 짧은 기간 동안만 필요하기 때문에 조직에서 SA 그룹의 멤버 자격을 관리하는 적절한 사례를 개발한 것이 일반적입니다. 이는 Active Directory의 EA, DA 및 BA 그룹에 대해서도 기술적으로는 사실이지만, 조직에서 SA 그룹과 마찬가지로 이러한 그룹에 대해 유사한 사례를 구현한 경우는 훨씬 덜 일반적입니다.
Active Directory의 보호된 계정 및 그룹
Active Directory 내에서 "보호된" 계정 및 그룹이라는 기본 권한 있는 계정 및 그룹 집합은 디렉터리의 다른 개체와 다르게 보호됩니다. 보호된 그룹에 직접 또는 전이적 멤버 자격이 있는 모든 계정(멤버 자격이 보안 또는 배포 그룹에서 파생되었는지 여부에 관계없이)은 이 제한된 보안을 상속합니다.
예를 들어 사용자가 Active Directory에서 보호된 그룹의 구성원인 메일 그룹의 구성원인 경우 해당 사용자 개체는 보호된 계정으로 플래그가 지정됩니다. 계정에 보호된 계정으로 플래그가 지정되면 개체의 adminCount 특성 값이 1로 설정됩니다.
참고 항목
보호된 그룹의 전이적 멤버 자격은 중첩된 배포 및 중첩된 보안 그룹을 포함하지만 중첩된 메일 그룹의 멤버인 계정은 액세스 토큰에서 보호된 그룹의 SID를 받지 않습니다. 그러나 메일 그룹을 Active Directory의 보안 그룹으로 변환할 수 있으므로 메일 그룹이 보호된 그룹 멤버 열거형에 포함됩니다. 보호된 중첩된 메일 그룹을 보안 그룹으로 변환하는 경우 이전 메일 그룹의 구성원인 계정은 이후에 다음 로그온 시 액세스 토큰에서 부모 보호된 그룹의 SID를 받게 됩니다.
다음 표에서는 운영 체제 버전 및 서비스 팩 수준에 따라 Active Directory의 기본 보호된 계정 및 그룹을 나열합니다.
운영 체제 및 SP(서비스 팩) 버전별 Active Directory의 기본 보호된 계정 및 그룹
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 -Windows Server 2012 |
|---|---|---|---|
| 관리자 | Account Operators | Account Operators | Account Operators |
| 관리자 | 관리자 | 관리자 | |
| 관리자 | 관리자 | 관리자 | |
| Domain Admins | Backup Operators | Backup Operators | Backup Operators |
| Cert Publishers | |||
| Domain Admins | Domain Admins | Domain Admins | |
| Enterprise Admins | 도메인 컨트롤러 하나 이상 | 도메인 컨트롤러 하나 이상 | 도메인 컨트롤러 하나 이상 |
| Enterprise Admins | Enterprise Admins | Enterprise Admins | |
| Krbtgt | Krbtgt | Krbtgt | |
| Print Operators | Print Operators | Print Operators | |
| Read-only Domain Controllers | |||
| Replicator | Replicator | Replicator | |
| Schema Admins | Schema Admins | Schema Admins |
관리SDHolder 및 SDProp
기본 모든 Active Directory의 시스템 컨테이너에서 관리SDHolder라는 개체가 자동으로 만들어집니다. 관리SDHolder 개체의 목적은 보호된 그룹 및 계정이 do기본 있는 위치에 관계없이 보호된 계정 및 그룹에 대한 사용 권한이 일관되게 적용되도록 하는 것입니다.
기본적으로 60분마다 SDProp(Security Descriptor Propagator)라고 하는 프로세스가 do기본 컨트롤러에서 실행되며, 이 프로세스는 do기본 PDC 에뮬레이터 역할을 보유합니다. SDProp은 do기본 관리SDHolder 개체에 대한 사용 권한을 do기본 보호된 계정 및 그룹에 대한 사용 권한과 비교합니다. 보호된 계정 및 그룹에 대한 사용 권한이 관리SDHolder 개체에 대한 사용 권한과 일치하지 않으면 보호된 계정 및 그룹에 대한 사용 권한이 do기본 관리SDHolder 개체의 사용 권한과 일치하도록 다시 설정됩니다.
보호된 그룹 및 계정에서 사용 권한 상속을 사용할 수 없습니다. 즉, 계정 또는 그룹이 디렉터리의 다른 위치로 이동하더라도 새 부모 개체에서 사용 권한을 상속하지 않습니다. 부모 개체에 대한 사용 권한 변경이 관리SDHolder의 사용 권한을 변경하지 않도록 관리SDHolder 개체에서도 상속을 사용할 수 없습니다.
참고 항목
보호된 그룹에서 계정이 제거되면 더 이상 보호된 계정으로 간주되지 않지만 수동으로 변경되지 않으면 해당 adminCount 특성이 1로 다시 기본. 이 구성의 결과는 개체의 ACL이 더 이상 SDProp에 의해 업데이트되지 않지만 개체가 부모 개체에서 사용 권한을 상속하지 않는다는 것입니다. 따라서 개체는 사용 권한이 위임된 OU(조직 구성 단위)에 있을 수 있지만 이전에 보호된 개체는 이러한 위임된 권한을 상속하지 않습니다. do기본 이전에 보호된 개체를 찾아서 다시 설정하는 스크립트는 Microsoft 지원 문서 817433 찾을 수 있습니다.
관리SDHolder 소유권
Active Directory의 대부분의 개체는 do기본 BA 그룹이 소유합니다. 그러나 관리SDHolder 개체는 기본적으로 do기본 DA 그룹이 소유합니다. (이것은 DA가 할 일관리기본의 구성원 자격을 통해 자신의 권리와 권한을 파생시키지 않는 상황입니다.
Windows Server 2008 이전 버전의 Windows에서는 개체 소유자가 원래 가지고 있지 않은 사용 권한을 부여하는 등 개체의 사용 권한을 변경할 수 있습니다. 따라서 do기본 관리SDHolder 개체에 대한 기본 사용 권한은 BA 또는 EA 그룹의 구성원인 사용자가 do기본 관리SDHolder 개체에 대한 사용 권한을 변경하지 못하도록 합니다. 그러나 do기본에 대한 관리istrators 그룹의 멤버는 개체의 소유권을 가져와서 추가 권한을 부여할 수 있습니다. 즉, 이 보호는 초보적인 것이며 do기본 DA 그룹의 구성원이 아닌 사용자가 실수로 수정하지 않도록 개체를 보호합니다. 또한 BA 및 EA(해당하는 경우) 그룹에는 로컬 do기본(EA의 경우 루트 do기본)에서 관리SDHolder 개체의 특성을 변경할 수 있는 권한이 있습니다.
참고 항목
관리SDHolder 개체의 특성인 dSHeuristics는 보호된 그룹으로 간주되고 관리SDHolder 및 SDProp의 영향을 받는 그룹의 제한된 사용자 지정(제거)을 허용합니다. 관리SDHolder에서 dSHeuristics를 수정하는 것이 유용한 유효한 상황이 있지만 구현되는 경우 이 사용자 지정을 신중하게 고려해야 합니다. 관리SDHolder 개체의 dSHeuristics 특성 수정에 대한 자세한 내용은 817433 Microsoft 지원 문서 및 부록 C: Active Directory의 보호된 계정 및 그룹에서 찾을 수 있습니다.
Active Directory에서 가장 권한 있는 그룹이 여기에 설명되어 있지만 상승된 권한 수준을 부여받은 다른 그룹이 많이 있습니다. Active Directory의 모든 기본 및 기본 제공 그룹 및 각각에 할당된 사용자 권한에 대한 자세한 내용은 부록 B: Active Directory의 권한 있는 계정 및 그룹을 참조하세요.