공격으로부터 도메인 컨트롤러 보호

아티클
10/06/2023

적용 대상: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

법 번호 3: 나쁜 사람이 컴퓨터에 무제한 물리적 액세스 권한이 있는 경우, 그것은 더 이상 당신의 컴퓨터. - 변경할 수 없는 10가지 보안 법규(버전 2.0).

할기본 컨트롤러는 기업이 서버, 워크스테이션, 사용자 및 애플리케이션을 효과적으로 관리할 수 있도록 하는 서비스 및 데이터를 제공하는 것 외에도 AD DS(Active Directory 도메인 Services) 데이터베이스에 대한 물리적 스토리지를 제공합니다. do기본 컨트롤러에 대한 권한 있는 액세스 권한을 악의적인 사용자가 가져오는 경우 AD DS 데이터베이스를 수정, 손상 또는 삭제할 수 있으며, 확장하면 Active Directory에서 관리하는 모든 시스템과 계정을 수정하거나 손상할 수 있습니다.

기본 컨트롤러는 AD DS 데이터베이스의 모든 항목을 읽고 쓸 수 있으므로 do기본 컨트롤러의 손상은 알려진 좋은 백업을 사용하여 복구하고 손상이 허용된 간격을 닫을 수 없다면 Active Directory 포리스트를 다시 신뢰할 수 있는 것으로 간주할 수 없다는 것을 의미합니다.

공격자의 준비, 도구 및 기술에 따라 돌이킬 수 없는 손상은 며칠 또는 몇 주가 아닌 몇 분에서 몇 시간 안에 완료할 수 있습니다. 중요한 것은 공격자가 Active Directory에 대한 권한 있는 액세스 권한을 가지고 있는 시간이 아니라 권한 있는 액세스가 획득되는 시점 동안 공격자가 계획한 양입니다. do기본 컨트롤러를 손상하면 멤버 서버, 워크스테이션 및 Active Directory의 소멸에 가장 직접적인 경로를 제공할 수 있습니다. 이러한 위협 때문에 기본 컨트롤러는 일반 인프라보다 별도로 더 엄격하게 보호되어야 합니다.

Do기본 컨트롤러에 대한 물리적 보안

이 섹션에서는 do기본 컨트롤러를 물리적으로 보호하는 방법에 대한 정보를 제공합니다. 할기본 컨트롤러는 데이터 센터, 지사 또는 원격 위치에서 물리적 또는 가상 머신일 수 있습니다.

Datacenter Do기본 컨트롤러

실제 do기본 컨트롤러

데이터 센터에서 물리적 도메인 컨트롤러는 일반 서버 모집단과 별개인 전용 보안 랙 또는 케이지에 설치해야 합니다. 가능하면 도메인 컨트롤러는 TPM(신뢰할 수 있는 플랫폼 모듈) 칩으로 구성해야 하며 도메인 컨트롤러 서버의 모든 볼륨은 BitLocker 드라이브 암호화를 통해 보호되어야 합니다. BitLocker는 한 자릿수 백분율로 성능 오버헤드를 작게 추가하지만 서버에서 디스크가 제거되더라도 디렉터리가 손상되지 않도록 보호합니다. 또한 BitLocker를 사용하면 부팅 파일 수정 시 서버가 복구 모드로 부팅되어 원래 이진 파일을 로드할 수 있으므로 루트킷과 같은 공격으로부터 시스템을 보호할 수 있습니다. do기본 컨트롤러가 소프트웨어 RAID, 직렬 연결 SCSI, SAN/NAS 스토리지 또는 동적 볼륨을 사용하도록 구성된 경우 BitLocker를 구현할 수 없으므로 가능하면 기본 컨트롤러에서 로컬로 연결된 스토리지(하드웨어 RAID 포함 또는 제외)를 사용해야 합니다.

Virtual Do기본 컨트롤러

가상 도메인 컨트롤러를 구현하는 경우 도메인 컨트롤러가 환경의 다른 가상 머신과는 별도의 물리적 호스트에서도 실행되도록 해야 합니다. 타사 가상화 플랫폼을 사용하는 경우에도 Windows Server의 Hyper-V에 가상 do기본 컨트롤러를 배포하는 것이 좋습니다. 이 컨트롤러는 최소한의 공격 표면을 제공하며 나머지 가상화 호스트에서 관리되지 않고 호스트하는 do기본 컨트롤러로 관리할 수 있습니다. 가상화 인프라 관리를 위해 SCVMM(System Center Virtual Machine Manager)을 구현하는 경우 컨트롤러 가상 머신이 상주하는 실제 호스트에 대한 관리를 위임하고기본 권한 있는 관리자에게 컨트롤러를 직접 위임할 수 기본. 또한 스토리지 관리자가 가상 머신 파일에 액세스하지 못하도록 가상 do기본 컨트롤러의 스토리지를 분리하는 것도 고려해야 합니다.

참고 항목

가상화된 do기본 컨트롤러를 동일한 물리적 가상화 서버(호스트)에서 덜 중요한 다른 가상 머신과 공동 배치하려는 경우 Hyper-V의 보호된 VM과 같은 역할 기반 업무 분리를 적용하는 솔루션을 구현하는 것이 좋습니다. 이 기술은 악의적이거나 단서 없는 패브릭 관리자(가상화, 네트워크, 스토리지 및 백업 관리자 포함)에 대한 포괄적인 보호를 제공합니다. 원격 증명 및 보안 VM 프로비저닝을 통해 실제 신뢰 루트를 활용하고 전용 물리적 서버와 동등한 수준의 보안을 효과적으로 보장합니다.

분기 위치

분기의 실제 do기본 컨트롤러

여러 서버가 상주하지만 데이터 센터 서버가 보호되는 정도까지 물리적으로 보호되지 않는 위치에서는 모든 서버 볼륨에 대한 TPM 칩 및 BitLocker 드라이브 암호화를 사용하여 물리적 기본 컨트롤러를 구성해야 합니다. do기본 컨트롤러를 분기 위치의 잠긴 방에 저장할 수 없는 경우 해당 위치에 RODC(읽기 전용 Do기본 Controllers)를 배포하는 것이 좋습니다.

분기의 Virtual Do기본 컨트롤러

가능하면 사이트의 다른 가상 머신과는 다른 실제 호스트의 지사에서 가상 do기본 컨트롤러를 실행해야 합니다. 가상 실행기본 컨트롤러가 가상 서버 모집단의 나머지 부분과는 별도의 물리적 호스트에서 실행될 수 없는 지점의 경우 가상 서버 채우기에서 TPM 칩 및 BitLocker 드라이브 암호화를 구현해야 합니다기본 컨트롤러가 최소한 실행되는 호스트와 가능한 경우 모든 호스트를 구현해야 합니다. 지점의 크기와 실제 호스트의 보안에 따라 지점 위치에 RODC를 배포하는 것이 좋습니다.

제한된 공간 및 보안이 있는 원격 위치

인프라에 단일 물리적 서버만 설치할 수 있는 위치가 포함된 경우 가상화 워크로드를 실행할 수 있는 서버를 설치하고 서버의 모든 볼륨을 보호하도록 BitLocker 드라이브 암호화를 구성해야 합니다. 서버의 한 가상 머신은 RODC로 실행되어야 하며 다른 서버는 호스트에서 별도의 가상 머신으로 실행됩니다. RODC 배포 계획에 대한 정보는 읽기 전용 Do기본 컨트롤러 계획 및 배포 가이드에 제공됩니다. 가상화된 do기본 컨트롤러를 배포하고 보호하는 방법에 대한 자세한 내용은 Hyper-V에서 실행 기본 컨트롤러를 참조하세요. Hyper-V의 보안 강화, 가상 머신 관리 위임 및 가상 머신 보호에 대한 자세한 지침은 Microsoft 웹 사이트의 Hyper-V 보안 가이드 솔루션 가속기를 참조하세요.

Do기본 Controller 운영 체제

조직 내에서 지원되는 최신 버전의 Windows Server에서 모든 기본 컨트롤러를 실행해야 합니다. 조직은 도메인 컨트롤러 모집단에서 레거시 운영 체제의 서비스 해제 우선순위를 지정해야 합니다. do기본 컨트롤러를 최신 상태로 유지하고 레거시 do기본 컨트롤러를 제거하면 새로운 기능과 보안을 활용할 수 있습니다. 이 기능은 레거시 운영 체제를 실행하는 do기본 컨트롤러가 있는 할 일기본 또는 포리스트에서 사용할 수 없습니다.

참고 항목

보안에 민감한 단일 용도 구성의 경우 Server Core 설치 옵션에 운영 체제를 배포하는 것이 좋습니다. 공격 노출 영역 최소화, 성능 향상 및 사용자 오류 가능성 감소와 같은 여러 이점을 제공합니다. PAW(Privileged Access Workstations) 또는 보안 관리 호스트와 같은 보안이 높은 전용 엔드포인트에서 모든 작업 및 관리를 원격으로 수행하는 것이 좋습니다.

Do기본 컨트롤러의 보안 구성

도구를 사용하여 나중에 GPO에서 적용할 수 있는 할 일기본 컨트롤러에 대한 초기 보안 구성 기준을 만들 수 있습니다. 이러한 도구는 Microsoft 운영 체제 설명서 또는 Windows용 DSC(Desired State Configuration)의 관리보안 정책 설정 섹션에 설명되어 있습니다.

RDP 제한

포리스트의 모든 작업기본 컨트롤러 OU에 연결하는 그룹 정책 개체는 권한 있는 사용자 및 점프 서버와 같은 시스템에서만 RDP 연결을 허용하도록 구성되어야 합니다. 정책이 일관되게 적용되도록 GPO를 사용하여 구현된 사용자 권한 설정 및 WFAS 구성의 조합을 통해 제어를 수행할 수 있습니다. 정책이 무시되면 다음 그룹 정책 새로 고침은 시스템을 적절한 구성으로 반환합니다.

도메인 컨트롤러에 대한 패치 및 구성 관리

직관적이지 않은 것처럼 보일 수 있지만 일반 Windows 인프라와 별도로 도메인 컨트롤러와 기타 중요한 인프라 구성 요소를 패치하는 것을 고려해야 합니다. 인프라의 모든 컴퓨터에 대한 엔터프라이즈 구성 관리 소프트웨어를 사용하는 경우 시스템 관리 소프트웨어의 손상은 해당 소프트웨어에 의해 관리되는 모든 인프라 구성 요소를 손상시키거나 삭제하는 데 사용될 수 있습니다. 도메인 컨트롤러에 대한 패치와 시스템 관리를 일반 모집단과 분리하면 도메인 컨트롤러에 설치된 소프트웨어의 양을 줄일 뿐만 아니라 해당 관리를 엄격하게 제어할 수 있습니다.

도메인 컨트롤러에 대한 인터넷 액세스 차단

Active Directory 보안 평가의 일부로 수행되는 검사 중 하나는 do기본 컨트롤러에서 Internet Explorer의 사용 및 구성입니다. 할 일기본 컨트롤러에는 웹 브라우저를 사용할 수 없습니다. 수천 개의 할 일기본 컨트롤러를 분석한 결과 권한 있는 사용자가 Internet Explorer를 사용하여 조직의 인트라넷 또는 인터넷을 검색하는 수많은 사례가 밝혀졌습니다.

이전에 타협할 애비뉴의 "구성 오류" 섹션에서 설명한 것처럼, 높은 권한의 계정을 사용하여 Windows 인프라의 가장 강력한 컴퓨터 중 하나에서 인터넷 또는 감염된 인트라넷을 검색하면 조직의 보안에 특별한 위험이 있습니다. 맬웨어에 감염된 "유틸리티"를 다운로드하거나 다운로드하여 드라이브를 통해 공격자는 Active Directory 환경을 완전히 손상시키거나 파괴하는 데 필요한 모든 항목에 액세스할 수 있습니다.

Windows Server 및 현재 버전의 Internet Explorer는 악의적인 다운로드에 대해 많은 보호를 제공하지만, 대부분의 경우 기본 컨트롤러 및 권한 있는 계정이 인터넷을 검색하는 데 사용되었거나, 할기본 컨트롤러가 Windows Server 2003을 실행 중이거나, 최신 운영 체제 및 브라우저에서 제공하는 보호가 의도적으로 비활성화되었습니다.

할 일기본 컨트롤러에서 웹 브라우저를 시작하는 것은 정책 및 기술 컨트롤에 의해 제한되어야 합니다. 또한 컨트롤러와 기본 일반 인터넷 액세스도 엄격하게 제어해야 합니다.

Microsoft는 모든 조직이 ID 및 액세스 관리에 대한 클라우드 기반 접근 방식으로 이동하고 Active Directory에서 Microsoft Entra ID로 마이그레이션하도록 권장합니다. Microsoft Entra ID는 디렉터리를 관리하고, 온-프레미스 및 클라우드 앱에 대한 액세스를 가능하게 하고, 보안 위협으로부터 ID를 보호하기 위한 완전한 클라우드 ID 및 액세스 관리 솔루션입니다. 또한 Microsoft Entra ID는 다단계 인증, 조건부 액세스 정책, ID 보호, ID 거버넌스 및 Privileged Identity Management와 같은 ID를 보호하는 데 도움이 되는 강력하고 세분화된 보안 컨트롤 집합을 제공합니다.

대부분의 조직은 클라우드로 전환하는 동안 하이브리드 ID 모델에서 작동하며, 여기서 온-프레미스 Active Directory 일부 요소는 Microsoft Entra 커넥트 사용하여 동기화됩니다. 이 하이브리드 모델은 모든 조직에 존재하지만 Microsoft는 Microsoft Defender for Identity를 사용하여 온-프레미스 ID에 대한 클라우드 기반 보호를 권장합니다. do기본 컨트롤러 및 AD FS 서버에서 Defender for Identity 센서를 구성하면 프록시 및 특정 엔드포인트를 통해 클라우드 서비스에 대한 보안이 높은 단방향 연결을 허용합니다. 이 프록시 연결을 구성하는 방법에 대한 전체 설명은 Defender for Identity에 대한 기술 설명서에서 찾을 수 있습니다. 이 엄격하게 제어된 구성은 이러한 서버를 클라우드 서비스에 연결하는 위험을 완화하고 조직에서 Defender for Identity가 제공하는 보호 기능의 증가로 이익을 얻을 수 있도록 합니다. 또한 이러한 서버는 서버용 Microsoft Defender와 같은 클라우드 기반 엔드포인트 검색으로 보호되는 것이 좋습니다.

Active Directory의 온-프레미스 전용 구현을 기본 규정 또는 기타 정책 기반 요구 사항이 있는 조직의 경우 Microsoft는 컨트롤러에 대한 인터넷 액세스를 완전히 제한하는 것이 좋습니다기본.

경계 방화벽 제한

인터넷에 대한 기본 컨트롤러에서 아웃바운드 연결을 차단하도록 경계 방화벽을 구성해야 합니다. 기본 컨트롤러는 사이트 경계를 넘어 통신해야 할 수도 있지만 Active Directory do기본 및 트러스트에 대한 방화벽을 구성하는 방법에 제공된 지침에 따라 사이트 간 통신을 허용하도록 경계 방화벽을 구성할 수 있습니다.

도메인 컨트롤러에서 웹 검색 방지

AppLocker 구성, "블랙홀" 프록시 구성 및 WFAS 구성의 조합을 사용하여 do기본 컨트롤러가 인터넷에 액세스하지 못하도록 방지하고 do기본 컨트롤러에서 웹 브라우저를 사용하지 못하도록 할 수 있습니다.