보호된 사용자 보안 그룹
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
IT 전문가를 위한 이 항목에서는 Active Directory 보안 그룹인 보호된 사용자에 대해 알아보고 작동 방식을 설명합니다. 이 그룹은 Windows Server 2012 R2 do기본 컨트롤러에서 도입되었습니다.
개요
이 보안 그룹은 엔터프라이즈 내에서 자격 증명 노출을 관리하기 위한 전략의 일부로 설계되었습니다. 이 그룹의 구성원 계정에는 구성할 수 없는 보호가 자동으로 적용됩니다. 보호된 그룹의 구성원은 기본적으로 사전에 엄격하게 보호됩니다. 계정에 대한 이러한 보호를 수정하려면 보안 그룹에서 해당 계정을 제거하는 방법밖에 없습니다.
Warning
서비스 및 컴퓨터에 대한 계정은 보호된 사용자 그룹의 구성원이 되어서는 안 됩니다. 암호 또는 인증서는 항상 호스트에서 사용할 수 있으므로 이 그룹은 불완전한 보호를 제공합니다. 보호된 사용자 그룹에 추가된 서비스 또는 컴퓨터에 대해 "사용자 이름 또는 암호가 올바르지 않습니다"라는 오류로 인증이 실패합니다.
이렇게 기본 관련 전역 그룹은 Windows Server 2012 R2를 실행하는 기본 do기본기본 컨트롤러를 사용하는 사용자를 위해 Windows Server 2012 R2 및 Windows 8.1 이상을 실행하는 디바이스 및 호스트 컴퓨터에서 구성할 수 없는 보호를 트리거합니다. 이렇게 하면 사용자가 이러한 보호를 사용하여 컴퓨터에 로그인할 때 자격 증명의 기본 메모리 공간이 크게 줄어듭니다.
자세한 내용은 이 항목에서 보호된 사용자 그룹의 작동 방식을 참조하세요.
보호된 사용자 그룹 요구 사항
보호된 사용자 그룹의 구성원에 대한 디바이스 보호를 제공하기 위한 요구 사항은 다음과 같습니다.
보호된 사용자 글로벌 보안 그룹이 계정 도메인의 모든 도메인 컨트롤러에 복제되어야 합니다.
Windows 8.1 및 Windows Server 2012 R2는 기본적으로 지원을 추가했습니다. Microsoft 보안 권고 2871997 Windows 7, Windows Server 2008 R2 및 Windows Server 2012에 대한 지원을 추가합니다.
보호된 사용자 그룹의 구성원에게 도메인 컨트롤러 보호를 제공하기 위한 요구 사항은 다음과 같습니다.
- 사용자는 Windows Server 2012 R2 이상인 할 일기본 있어야 합니다기본 기능 수준입니다.
하위 수준 do기본s에 보호된 사용자 전역 보안 그룹 추가
Windows Server 2012 R2 이전 버전의 운영 체제를 실행하는 컨트롤러를 기본 새 보호된 사용자 보안 그룹에 구성원 추가를 지원할 수 있습니다. 이렇게 하면 사용자가 do기본 업그레이드하기 전에 디바이스 보호를 활용할 수 있습니다.
참고 항목
do기본 컨트롤러는 do기본 보호를 지원하지 않습니다.
보호된 사용자 그룹은 PDC(기본 do기본 컨트롤러) 에뮬레이터 역할을 Windows Server 2012 R2를 실행하는 do기본 컨트롤러로 전송하여 만들 수 있습니다. 해당 그룹 개체를 다른 도메인 컨트롤러에 복제한 후 이전 버전의 Windows Server를 실행하는 도메인 컨트롤러에서 PDC 에뮬레이터 역할을 호스트할 수 있습니다.
보호된 사용자 그룹 AD 속성
다음 표에는 보호된 사용자 그룹의 속성이 나와 있습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-525 |
| Type | 도메인 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| ADMINSDHOLDER에 의해 보호됨? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 기본 사용자 권한 없음 |
보호된 사용자 그룹의 작동 방식
이 섹션에서는 다음과 같은 경우 보호된 사용자 그룹의 작동 방식에 대해 설명합니다.
Windows 디바이스에 로그인
사용자 계정은 기본 Windows Server 2012 R2 이상에 있습니다기본 기능 수준
로그인한 보호된 사용자에 대한 디바이스 보호
로그인한 사용자가 보호된 사용자 그룹의 구성원이면 다음 보호가 적용됩니다.
자격 증명 위임(CredSSP)은 기본 자격 증명 위임 그룹 정책 설정을 사용하도록 설정한 경우에도 사용자의 일반 텍스트 자격 증명 을 캐시하지 않습니다.
Windows 8.1 및 Windows Server 2012 R2부터 Windows 다이제스트는 Windows 다이제스트를 사용하는 경우에도 사용자의 일반 텍스트 자격 증명을 캐시하지 않습니다.
참고 항목
Microsoft 보안 권고 2871997 Windows 다이제스트를 설치한 후 레지스트리 키가 구성될 때까지 자격 증명을 계속 캐시합니다. 지침은 Microsoft 보안 권고: 자격 증명 보호 및 관리를 개선하기 위한 업데이트: 2014년 5월 13일을 참조하세요.
NTLM은 사용자의 일반 텍스트 자격 증명 또는 NTOWF(NT 단방향 함수)를 캐시하지 않습니다.
Kerberos는 더 이상 DES 또는 RC4 키를 만들지 않습니다. 또한 초기 TGT를 획득한 후에는 사용자의 일반 텍스트 자격 증명 또는 장기 키를 캐시하지 않습니다.
캐시된 검증 도구는 로그인 또는 잠금 해제 시 만들어지지 않으므로 오프라인 로그인은 더 이상 지원되지 않습니다.
사용자 계정이 보호된 사용자 그룹에 추가되면 사용자가 디바이스에 로그인할 때 보호가 시작됩니다.
보호된 사용자에 대한 컨트롤러 보호 기본
Windows Server 2012 R2에 인증하는 보호된 사용자 그룹의 구성원인 계정은 다음을 수행할 수 없습니다기본
NTLM 인증을 통한 인증
Kerberos 사전 인증에서 DES 또는 RC4 암호화 종류 사용
제한 없는 위임 또는 제한된 위임을 사용한 위임
초기 4시간의 수명이 지난 후 Kerberos 갱신
보호된 사용자 그룹의 모든 계정에 구성할 수 없는 TGT 만료 설정이 지정됩니다. 일반적으로 도메인 컨트롤러는 사용자 티켓 최대 수명 및 사용자 티켓 갱신 최대 수명 도메인 정책에 따라 TGT 수명 및 갱신을 설정합니다. 보호된 사용자 그룹의 경우 이러한 도메인 정책에 대해 600분이 설정됩니다.
자세한 내용은 How to Configure Protected Accounts를 참조하세요.
문제 해결
보호된 사용자와 관련된 이벤트 문제를 해결하는 데 도움이 되는 두 가지 작업 관리 로그가 있습니다. 이러한 새 로그는 이벤트 뷰어 있으며 기본적으로 사용하지 않도록 설정되며 Applications and Services Logs\Microsoft\Windows\Authentication 아래에 있습니다.
| 이벤트 ID 및 로그 | 설명 |
|---|---|
| 104 ProtectedUser-Client |
이유: 클라이언트의 보안 패키지에 자격 증명이 없습니다. 이 오류는 계정이 보호된 사용자 보안 그룹의 구성원인 경우 클라이언트 컴퓨터에 기록됩니다. 이 이벤트는 보안 패키지가 서버의 인증을 받는 데 필요한 자격 증명을 캐시하지 않음을 나타냅니다. 패키지 이름, 사용자 이름, 도메인 이름 및 서버 이름을 표시합니다. |
| 304 ProtectedUser-Client |
이유: 보안 패키지는 보호된 사용자의 자격 증명을 저장하지 않습니다. 보안 패키지가 사용자의 로그인 자격 증명을 캐시하지 않음을 나타내기 위해 클라이언트에 정보 이벤트가 기록됩니다. 다이제스트(WDigest), 자격 증명 위임(CredSSP) 및 NTLM은 보호된 사용자에 대한 로그온 자격 증명을 유지하지 못합니다. 자격 증명을 묻는 메시지가 나타나는 경우에도 애플리케이션을 실행할 수 있습니다. 패키지 이름, 사용자 이름 및 도메인 이름을 표시합니다. |
| 100 ProtectedUserFailures-Do기본Controller |
이유: 보호된 사용자 보안 그룹에 속한 계정에서 NTLM 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 구성원이기 때문에 NTLM 인증에 실패했음을 나타내는 오류가 도메인 컨트롤러에 기록됩니다. 계정 이름 및 디바이스 이름을 표시합니다. |
| 104 ProtectedUserFailures-Do기본Controller |
이유: DES 또는 RC4 암호화 종류는 Kerberos 인증에 사용되므로 보호된 사용자 보안 그룹의 사용자에 대해서는 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 구성원인 경우에는 DES 또는 RC4 암호화 종류를 사용할 수 없으므로 Kerberos 사전 인증에 실패했습니다. (AES는 허용됩니다.) |
| 303 ProtectedUserSuccesses-Do기본Controller |
이유: 보호된 사용자 그룹의 구성원에게 Kerberos TGT(허용 티켓)가 성공적으로 발급되었습니다. |