자격 증명 보호 및 관리

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

IT 전문가를 위한 이 항목에서는 자격 증명 보호를 위해 Windows Server 2012 R2 및 Windows 8.1에 도입된 기능과 방법에 대해 설명하고 자격 증명 도난을 줄이기 위해 인증 제어를 기본.

원격 데스크톱 연결에 대한 제한된 관리자 모드

제한된 관리자 모드에서는 서버에 자격 증명을 전송하지 않고 원격 호스트 서버에 대화형으로 로그온하는 방법을 제공합니다. 이 방법을 사용하면 서버가 손상된 경우 초기 연결 프로세스 중에 자격 증명이 수집되지 않습니다.

관리자 자격 증명으로 이 모드를 사용하면 원격 데스크톱 클라이언트에서 자격 증명을 보내지 않고 이 모드를 지원하는 호스트에 대화형으로 로그온합니다. 호스트에서 연결하는 사용자 계정에 관리자 권한이 있으며 제한된 관리자 모드를 지원한다는 것을 확인하면 연결에 성공합니다. 그렇지 않으면 연결 시도에 실패합니다. 제한된 관리자 모드에서는 어떤 경우에도 일반 텍스트 또는 다른 형식의 재사용 가능한 자격 증명을 원격 컴퓨터에 보내지 않습니다.

LSA 보호

LSASS(Local Security Authority Subsystem Service) 프로세스 내에 상주하는 LSA(로컬 보안 기관)는 사용자의 로컬 및 원격 로그인에 대한 유효성을 검사하고 로컬 보안 정책을 적용합니다. Windows 8.1 운영 체제는 보호되지 않는 프로세스에 의한 코드 삽입을 방지하기 위해 LSA에 대한 추가 보호를 제공합니다. 이로 인해 LSA에서 저장 및 관리하는 자격 증명에 대한 보안이 강화됩니다. LSA에 대한 보호된 이 프로세스 설정은 Windows 8.1에서 구성할 수 있지만 Windows RT 8.1에서는 기본적으로 설정되며 변경할 수 없습니다.

LSA 보호 구성에 대한 자세한 내용은 Configuring Additional LSA Protection을 참조하세요.

보호된 사용자 보안 그룹

이 새로운 do기본 글로벌 그룹은 Windows Server 2012 R2 및 Windows 8.1을 실행하는 디바이스 및 호스트 컴퓨터에서 구성할 수 없는 새로운 보호를 트리거합니다. 보호된 사용자 그룹은 Windows Server 2012 R2 do기본에서 할기본 컨트롤러 및 할 일기본 대한 추가 보호를 사용하도록 설정합니다. 이는 사용자가 손상되지 않은 컴퓨터에서 네트워크의 컴퓨터에 로그인하는 경우 사용 가능한 자격 증명 유형을 크게 줄여 줍니다.

보호된 사용자 그룹의 구성원은 다음 인증 방법을 통해 추가로 제한됩니다.

  • 보호된 사용자 그룹의 구성원은 Kerberos 프로토콜을 통해서만 서명할 수 있습니다. NTLM, 다이제스트 인증 또는 CredSSP를 사용하여 계정을 인증할 수 없습니다. Windows 8.1을 실행하는 디바이스에서는 암호가 캐시되지 않으므로 계정이 보호된 사용자 그룹의 구성원인 경우 이러한 SSP(보안 지원 공급자) 중 하나를 사용하는 디바이스가 do기본 인증에 실패합니다.

  • Kerberos 프로토콜은 사전 인증 프로세스에서 보다 약한 DES 또는 RC4 암호화 종류를 사용하지 않습니다. 즉, 해당 도메인이 최소한 AES 암호 제품군을 지원하도록 구성되어야 합니다.

  • 사용자의 계정은 Kerberos 제한 또는 제한되지 않은 위임으로 위임할 수 없습니다. 즉, 사용자가 보호된 사용자 그룹의 구성원인 경우 다른 시스템에 대한 이전 연결이 실패할 수 있습니다.

  • ADAC(Active Directory 관리 센터)를 통해 액세스한 인증 정책 및 사일로를 사용하여 기본 Kerberos TGT(허용 티켓) 수명 설정(4시간)을 구성할 수 있습니다. 즉, 4시간이 경과한 경우 사용자가 다시 인증을 받아야 합니다.

Warning

서비스 및 컴퓨터 계정은 보호된 사용자 그룹의 구성원이 될 수 없습니다. 암호 또는 인증서를 호스트에서 항상 사용할 수 있으므로, 이 그룹에는 로컬 보호 기능이 제공되지 않습니다. 보호된 사용자 그룹에 추가된 서비스 또는 컴퓨터에 대해 "사용자 이름 또는 암호가 올바르지 않습니다"라는 오류로 인증이 실패합니다.

이 그룹에 대한 자세한 내용은 Protected Users Security Group을 참조하세요.

인증 정책 및 인증 정책 사일로

포리스트 기반 Active Directory 정책이 도입되며 Windows Server 2012 R2 do기본 기능 수준을 사용하여 할 일기본 계정에 적용할 수 있습니다. 이러한 인증 정책은 사용자가 로그인하는 데 사용할 수 있는 호스트를 제어할 수 있습니다. 보호된 사용자 보안 그룹과 함께 작동하며 관리자는 계정 인증을 위한 액세스 제어 조건을 적용할 수 있습니다. 이러한 인증 정책은 관련 계정을 격리하여 네트워크 범위를 제한합니다.

새 Active Directory 개체 클래스인 인증 정책을 사용하면 Windows Server 2012 R2 do기본 기능 수준을 사용하여 할 일기본 계정 클래스에 인증 구성을 적용할 수 있습니다. 인증 정책은 Kerberos AS 또는 TGS 교환 중에 적용됩니다. Active Directory 계정 클래스는 다음과 같습니다.

  • 사용자

  • 컴퓨터

  • 관리 서비스 계정

  • 그룹 관리 서비스 계정

자세한 내용은 Authentication Policies and Authentication Policy Silos를 참조하세요.

보호된 계정을 구성하는 방법에 대한 자세한 내용은 How to Configure Protected Accounts을 참조하세요.

추가 참조

LSA 및 LSASS에 대한 자세한 내용은 Windows 로그온 및 인증 기술 개요를 참조하세요.