Windows LAPS의 주요 개념

  • 아티클

다음을 포함하여 Windows LAPS(Windows 로컬 관리자 암호 솔루션)의 기본 디자인 및 보안 개념에 대해 알아봅니다.

  • 아키텍처
  • 기본 시나리오 흐름
  • 백그라운드 정책 처리 주기
  • Microsoft Entra 암호
  • Windows Server Active Directory 암호
  • 인증 후 암호 재설정
  • 계정 암호 변조 보호
  • Windows 안전 모드

Windows LAPS 아키텍처

다음 그림에서는 Windows LAPS 아키텍처를 보여 줍니다.

관리되는 디바이스, Microsoft Entra ID 및 Windows Server Active Directory를 보여 주는 Windows LAPS 아키텍처 다이어그램

Windows LAPS 아키텍처 다이어그램에는 다음과 같은 몇 가지 주요 구성 요소가 있습니다.

  • IT 관리자: Windows LAPS 배포에 포함될 수 있는 다양한 IT 관리자 역할을 전체적으로 나타냅니다. IT 관리자 역할은 정책 구성, 저장된 암호의 만료 또는 검색 및 관리되는 디바이스와의 상호 작용과 관련이 있습니다.

  • 관리되는 디바이스: 로컬 관리자 계정을 관리하려는 Microsoft Entra 조인 또는 Windows Server Active Directory 조인 디바이스를 나타냅니다. 이 기능은 핵심 논리용 laps.dll, CSP(구성 서비스 공급자) 논리용 lapscsp.dll, PowerShell cmdlet 논리용 lapspsh.dll몇 가지 주요 이진 파일로 구성됩니다. 그룹 정책을 사용하여 Windows LAPS를 구성할 수도 있습니다. Windows LAPS는 GPO(그룹 정책 개체) 변경 알림에 응답합니다. 관리되는 디바이스는 Windows Server Active Directory 도메인 컨트롤러일 수 있으며 DSRM(Directory Services 복구 모드) 계정 암호를 백업하도록 구성할 수 있습니다.

  • Windows Server Active Directory: 온-프레미스 Windows Server Active Directory 배포입니다.

  • Microsoft Entra ID: 클라우드에서 실행되는 Microsoft Entra 배포입니다.

  • Microsoft Intune 클라우드에서 실행되는 기본 Microsoft 디바이스 정책 관리 솔루션입니다.

기본 시나리오 흐름

기본 Windows LAPS 시나리오의 첫 번째 단계는 조직에 대한 Windows LAPS 정책을 구성하는 것입니다. 다음 구성 옵션을 사용하는 것이 좋습니다.

  • Microsoft Entra 조인 디바이스: Microsoft Intune을 사용합니다.

  • Windows Server Active Directory 조인 디바이스: 그룹 정책을 사용합니다.

  • Microsoft Intune에 등록된 Microsoft Entra 하이브리드 조인 디바이스: Microsoft Intune을 사용합니다.

관리되는 디바이스가 Windows LAPS를 사용하도록 설정하는 정책으로 구성되면 디바이스가 구성된 로컬 계정 암호를 관리하기 시작합니다. 암호가 만료되면 디바이스는 현재 정책의 길이 및 복잡성 요구 사항을 준수하는 새로운 임의 암호를 생성합니다.

새 암호의 유효성이 검사되면 디바이스는 구성된 디렉터리(Windows Server Active Directory 또는 Microsoft Entra ID)에 암호를 저장합니다. 현재 정책의 암호 사용 기간 설정을 기반으로 하는 연결된 암호 만료 시간도 계산되어 디렉터리에 저장됩니다. 암호 만료 시간에 도달하면 디바이스가 자동으로 암호를 회전합니다.

로컬 계정 암호가 관련 디렉터리에 저장되면 권한 있는 IT 관리자가 암호에 액세스할 수 있습니다. Microsoft Entra ID에 저장된 암호는 역할 기반 액세스 제어 모델을 통해 보호됩니다. Windows Server Active Directory에 저장된 암호는 ACL(액세스 제어 목록) 및 암호 암호화를 통해 선택적으로 보호됩니다.

일반적으로 예상되는 만료 시간 전에 암호를 회전할 수 있습니다. 다음 방법 중 하나를 사용하여 예약된 만료 전에 암호를 회전합니다.

  • cmdlet을 사용하여 Reset-LapsPassword 관리되는 디바이스 자체에서 암호를 수동으로 회전합니다.
  • Windows LAPS CSP에서 ResetPassword Execute 작업을 호출합니다.
  • 디렉터리에서 암호 만료 시간을 수정합니다(Windows Server Active Directory에만 적용됨).
  • 관리되는 계정을 사용하여 관리되는 디바이스에 인증할 때 자동 회전을 트리거합니다.

백그라운드 정책 처리 주기

Windows LAPS는 1시간마다 해제되는 백그라운드 작업을 사용하여 현재 활성 정책을 처리합니다. 이 작업은 Windows 작업 스케줄러 작업으로 구현되지 않으며 구성할 수 없습니다.

백그라운드 작업이 실행되면 다음 기본 흐름을 실행합니다.

Windows LAPS 백그라운드 처리 주기를 설명하는 순서도 다이어그램

Microsoft Entra ID 흐름과 Windows Server Active Directory 흐름 간의 명백한 주요 차이점은 암호 만료 시간을 검사 방법과 관련이 있습니다. 두 시나리오에서 암호 만료 시간은 디렉터리의 최신 암호와 나란히 저장됩니다.

Microsoft Entra 시나리오에서 관리되는 디바이스는 Microsoft Entra ID를 폴링하지 않습니다. 대신 현재 암호 만료 시간은 디바이스에서 로컬로 유지됩니다.

Windows Server Active Directory 시나리오에서 관리되는 디바이스는 정기적으로 디렉터리를 폴링하여 암호 만료 시간을 쿼리하고 암호가 만료되면 작동합니다.

정책 처리 주기 수동 시작

Windows LAPS는 그룹 정책 변경 알림에 응답합니다. 다음 두 가지 방법으로 정책 처리 주기를 수동으로 시작할 수 있습니다.

  • 그룹 정책 새로 고침을 강제로 적용합니다. 예를 들면 다음과 같습니다.

    gpupdate.exe /target:computer /force

  • Invoke-LapsPolicyProcessing cmdlet을 실행합니다. 이 메서드는 범위가 더 높기 때문에 선호됩니다.

이전에 릴리스된 Microsoft LAPS(레거시 Microsoft LAPS)는 GPO(그룹 정책) CSE(클라이언트 쪽 확장)로 빌드되었습니다. GPO CSE는 모든 그룹 정책 새로 고침 주기에서 로드되고 호출됩니다. 레거시 Microsoft LAPS 폴링 주기의 빈도는 그룹 정책 새로 고침 주기의 빈도와 동일합니다. Windows LAPS는 CSE로 빌드되지 않으므로 폴링 주기는 시간당 한 번으로 하드 코딩됩니다. Windows LAPS는 그룹 정책 새로 고침 주기의 영향을 받지 않습니다.

Microsoft Entra 암호

Microsoft Entra ID에 암호를 백업하면 관리되는 로컬 계정 암호가 Microsoft Entra 디바이스 개체에 저장됩니다. Windows LAPS는 관리되는 디바이스의 디바이스 ID를 사용하여 Microsoft Entra ID에 인증합니다. Microsoft Entra ID에 저장된 데이터는 매우 안전하지만 추가 보호를 위해 암호는 유지되기 전에 추가로 암호화됩니다. 이 추가 암호화 계층은 암호가 권한 있는 클라이언트에 반환되기 전에 제거됩니다.

기본적으로 전역 관리자, 클라우드 디바이스 관리자 및 Intune 관리자 역할의 멤버만 일반 텍스트 암호를 검색할 수 있습니다.

Windows Server Active Directory 암호

다음 섹션에서는 Windows Server Active Directory에서 Windows LAPS를 사용하는 방법에 대한 중요한 정보를 제공합니다.

암호 보안

Windows Server Active Directory에 암호를 백업하면 관리되는 로컬 계정 암호가 컴퓨터 개체에 저장됩니다. Windows LAPS는 다음 두 가지 메커니즘을 사용하여 이러한 암호를 보호합니다.

  • ACL
  • 암호화된 암호

ACL

Windows Server Active Directory에서 암호 보안의 최전방은 OU(조직 구성 단위)를 포함하는 컴퓨터 개체에 설정된 ACL을 사용합니다. ACL은 컴퓨터 개체 자체에 상속됩니다. cmdlet을 사용하여 Set-LapsADReadPasswordPermission 다양한 암호 특성을 읽을 수 있는 사용자를 지정할 수 있습니다. 마찬가지로 cmdlet을 사용하여 Set-LapsADResetPasswordPermission 암호 만료 시간 특성을 읽고 설정할 수 있는 사용자를 지정할 수 있습니다.

암호화된 암호

두 번째 암호 보안 줄은 Windows Server Active Directory 암호 암호화 기능을 사용합니다. Windows Server Active Directory 암호 암호화를 사용하려면 도메인이 Windows Server 2016 DFL(도메인 기능 수준) 이상에서 실행되어야 합니다. 사용하도록 설정하면 암호가 먼저 암호화되므로 특정 보안 주체(그룹 또는 사용자)만 암호를 해독할 수 있습니다. 암호 암호화는 디바이스가 디렉터리에 암호를 보내기 전에 관리되는 디바이스 자체에서 발생합니다.

중요

  • Windows Server Active Directory에 Windows LAPS 암호를 저장할 때 암호 암호화를 사용하도록 설정하는 것이 좋습니다.
  • Microsoft는 Windows Server 2016 DFL 이전 버전의 DFL을 실행하는 도메인에서 이전에 암호 해독된 LAPS 암호 검색을 지원하지 않습니다. Windows Server 2016 이전 버전을 실행하는 도메인 컨트롤러가 도메인으로 승격되었는지 여부에 따라 작업이 성공할 수도 있고 그렇지 않을 수도 있습니다.

사용자 그룹 권한

암호 검색 보안 모델을 디자인할 때 다음 그림의 정보를 고려합니다.

Windows LAPS 암호 보안 계층을 보여 주는 다이어그램

다이어그램은 제안된 Windows Server Active Directory 암호 보안 계층과 서로의 관계를 보여 줍니다.

가장 바깥쪽 원(녹색)은 디렉터리의 컴퓨터 개체에서 암호 만료 시간 특성을 읽거나 설정할 수 있는 권한이 부여된 보안 주체로 구성됩니다. 이 기능은 중요한 권한이지만 비폭력 권한으로 간주됩니다. 이 권한을 획득한 공격자는 관리되는 디바이스가 관리되는 디바이스를 더 자주 회전하도록 강제할 수 있습니다.

중간 원(노란색)은 디렉터리의 컴퓨터 개체에 대한 암호 특성을 읽거나 설정할 수 있는 권한이 부여된 보안 주체로 구성됩니다. 이 기능은 중요한 권한이며 주의 깊게 모니터링해야 합니다. 가장 안전한 방법은 Domain Admins 보안 그룹의 구성원에 대해 이 수준의 권한을 예약하는 것입니다.

내부 원(빨간색)은 암호 암호화를 사용하는 경우에만 적용됩니다. 내부 원은 디렉터리의 컴퓨터 개체에서 암호화된 암호 특성에 대한 암호 해독 권한이 부여된 그룹 또는 사용자로 구성됩니다. 중간 원의 권한과 마찬가지로 이 기능은 중요한 권한이며 신중하게 모니터링해야 합니다. 가장 안전한 방법은 Domain Admins 그룹의 구성원에 대해 이 수준의 권한을 예약하는 것입니다.

중요

조직에서 관리되는 컴퓨터의 민감도와 일치하도록 보안 계층을 사용자 지정하는 것이 좋습니다. 예를 들어 지원 센터 관리자가 일선 IT 작업자 디바이스에 액세스할 수 있지만 회사 임원용 랩톱에 대해 더 엄격한 경계를 설정하려고 할 수 있습니다.

암호 암호화

Windows LAPS 암호 암호화 기능은 CNG DPAPI(Cryptography API: 차세대 데이터 보호 API)를 기반으로 합니다. CNG DPAPI는 여러 암호화 모드를 지원하지만 Windows LAPS는 단일 Windows Server Active Directory 보안 주체(사용자 또는 그룹)에 대해서만 암호 암호화를 지원합니다. 기본 암호화는 AES-256(Advanced Encryption Standard 256비트 키) 암호화를 기반으로 합니다.

ADPasswordEncryptionPrincipal 정책 설정을 사용하여 암호를 암호화하기 위한 특정 보안 주체를 설정할 수 있습니다. ADPasswordEncryptionPrincipal을 지정하지 않으면 Windows LAPS는 관리되는 디바이스 도메인의 Domain Admins 그룹에 대해 암호를 암호화합니다. 관리되는 디바이스가 암호를 암호화하기 전에 디바이스는 항상 지정된 사용자 또는 그룹을 확인할 수 있는지 확인합니다.

  • Windows LAPS는 단일 보안 주체에 대해서만 암호 암호화를 지원합니다. CNG DPAPI는 여러 보안 주체에 대한 암호화를 지원하지만 이 모드는 암호화된 암호 버퍼의 크기가 부풀어 오르기 때문에 Windows LAPS에서 지원되지 않습니다. 여러 보안 주체에 암호 해독 권한을 부여해야 하는 경우 제약 조건을 해결하려면 모든 관련 보안 주체를 멤버로 포함하는 래퍼 그룹을 만들 수 있습니다.
  • 암호를 해독할 권한이 있는 보안 주체는 암호를 암호화한 후에는 변경할 수 없습니다.

암호화된 암호 기록

Windows LAPS는 Windows Server Active Directory 도메인 가입 클라이언트 및 도메인 컨트롤러에 대한 암호 기록 기능을 지원합니다. 암호 기록은 암호 암호화를 사용하는 경우에만 지원됩니다. Windows Server Active Directory에 텍스트 지우기 암호를 저장하는 경우 암호 기록은 지원되지 않습니다.

암호화된 암호 기록을 사용하도록 설정하고 암호를 회전해야 하는 경우 관리되는 디바이스는 먼저 Windows Server Active Directory에서 암호화된 암호의 현재 버전을 읽습니다. 그런 다음 현재 암호가 암호 기록에 추가됩니다. 구성된 최대 기록 제한을 준수하기 위해 필요에 따라 기록의 이전 버전의 암호가 삭제됩니다.

암호 기록 기능이 작동하려면 관리되는 디바이스에 Windows Server Active Directory에서 암호화된 암호의 현재 버전을 읽을 수 있는 SELF 권한이 부여되어야 합니다. 이 요구 사항은 cmdlet을 실행할 Set-LapsADComputerSelfPermission 때 자동으로 처리됩니다.

중요

디바이스 자체를 포함하여 모든 디바이스에 대해 암호화된 암호를 해독할 수 있는 권한을 관리 디바이스에 부여하지 않는 것이 좋습니다.

DSRM 암호 지원

Windows LAPS는 Windows Server 도메인 컨트롤러에서 DSRM 계정 암호 백업을 지원합니다. DSRM 계정 암호는 Windows Server Active Directory 및 암호 암호화를 사용하는 경우에만 백업할 수 있습니다. 그렇지 않으면 이 기능은 Windows Server Active Directory 조인 클라이언트에서 암호화된 암호 지원이 작동하는 방식과 거의 동일하게 작동합니다.

Microsoft Entra ID에 DSRM 암호를 백업하는 것은 지원되지 않습니다.

Important

DSRM 암호 백업을 사용하도록 설정하면 해당 도메인에서 하나 이상의 도메인 컨트롤러에 액세스할 수 있는 경우 도메인 컨트롤러에 대한 현재 DSRM 암호를 검색할 수 있습니다.

그러나 도메인의 모든 도메인 컨트롤러가 다운되는 치명적인 시나리오를 고려합니다. 이 시나리오에서는 DSRM 암호를 사용할 수 없습니다. 이러한 이유로 더 큰 도메인 백업 및 복구 전략의 첫 번째 구성 요소로만 Windows LAPS DSRM 지원을 사용하는 것이 좋습니다. DSRM 암호를 디렉터리에서 정기적으로 추출하고 Windows Server Active Directory 외부의 보안 저장소에 백업하는 것이 좋습니다. Windows LAPS에는 외부 저장소 백업 전략이 포함되지 않습니다.

인증 후 암호 재설정

Windows LAPS는 로컬 관리자 계정이 인증에 사용된 것으로 감지되면 로컬 관리자 계정 암호를 자동으로 회전할 수 있도록 지원합니다. 이 기능은 텍스트 지우기 암호를 사용할 수 있는 시간을 제한하기 위한 것입니다. 사용자에게 의도한 작업을 완료할 시간을 제공하도록 유예 기간을 구성할 수 있습니다.

도메인 컨트롤러의 DSRM 계정에 대해 인증 후 암호 재설정이 지원되지 않습니다.

계정 암호 변조 보호

Windows LAPS가 로컬 관리자 계정 암호를 관리하도록 구성된 경우 해당 계정은 우발적이거나 부주의한 변조로부터 보호됩니다. 이 보호는 Windows LAPS가 Windows Server Active Directory에서 해당 계정을 관리하는 경우 DSRM 계정으로 확장됩니다기본 컨트롤러.

Windows LAPS는 (0xC000A08B) 또는 ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) 오류로 STATUS_POLICY_CONTROLLED_ACCOUNT 계정의 암호를 수정하려는 예기치 않은 시도를 거부합니다. 이러한 각 거부는 Windows LAPS 이벤트 로그 채널에서 10031 이벤트로 기록됩니다.

Windows 안전 모드에서 사용 안 함

Windows가 안전 모드, DSRM 모드 또는 다른 비정상 부팅 모드에서 시작되면 Windows LAPS가 비활성화됩니다. 관리되는 계정의 암호는 만료된 상태인 경우에도 이 시간 동안 백업되지 않습니다.

스마트 카드 정책과 Windows LAPS 통합

Windows LAPS 관리 계정은 "대화형 로그온: 비즈니스용 Windows Hello 또는 스마트 카드 필요" 정책(SCForceOption이라고도 함)이 사용하도록 설정된 경우 제외됩니다. 추가 스마트 카드 그룹 정책 설정 및 레지스트리 키를 참조하세요.

Windows LAPS OS 이미지 롤백 검색 및 완화

라이브 OS 이미지가 이전 버전으로 되돌리기 경우 디렉터리에 저장된 암호가 디바이스에 로컬로 저장된 암호와 더 이상 일치하지 않는 "손상된 상태" 상황이 종종 발생합니다. 예를 들어 Hyper-V 가상 머신이 이전 스냅샷 복원될 때 문제가 발생할 수 있습니다.

문제가 발생하면 IT 관리자는 지속형 Windows LAPS 암호를 사용하여 디바이스에 로그인할 수 없습니다. Windows LAPS에서 암호를 회전할 때까지 문제가 해결되지 않지만 현재 암호 만료 날짜에 따라 며칠 또는 몇 주 동안 발생하지 않을 수 있습니다.

Windows LAPS는 새 암호가 유지되는 동시에 디렉터리에 임의의 GUID를 작성한 다음 로컬 복사본을 저장하여 이 문제를 해결합니다. GUID는 msLAPS-CurrentPasswordVersion 특성에 저장됩니다. 모든 처리 주기 동안 msLAPS-CurrentPasswordVersion guid가 쿼리되고 로컬 복사본과 비교됩니다. 두 GUID가 다르면 암호가 즉시 회전됩니다.

이 기능은 Active Directory까지 암호를 백업할 때만 지원됩니다. Microsoft Entra ID는 지원되지 않습니다.

Important

Windows LAPS OS 이미지 롤백 검색 및 완화 기능은 Windows Server 2025 이상에서 지원됩니다. 이 기능은 새 msLAPS-CurrentPasswordVersion 스키마 특성을 Active Directory 스키마에 추가하는 최신 Update-LapsADSchema PowerShell cmdlet이 실행될 때까지 작동하지 않습니다.

참고 항목

다음 단계

이제 Windows LAPS 디자인의 기본 개념을 이해했으므로 다음 시나리오 중 하나를 시작합니다.