보호된 사용자 보안 그룹
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
보호된 사용자는 자격 증명 도난 공격으로부터 보호하도록 설계된 AD(Active Directory)에 대한 글로벌 보안 그룹입니다. 그룹은 그룹 구성원이 로그인할 때 자격 증명이 캐시되지 않도록 디바이스 및 호스트 컴퓨터에서 구성할 수 없는 보호를 트리거합니다.
필수 조건
보호된 사용자 그룹을 배포하려면 먼저 시스템에서 다음 필수 조건을 충족해야 합니다.
호스트는 다음 운영 체제 중 하나를 실행해야 합니다.
- Windows 8.1 이상
- 최신 보안 업데이트가 설치된 Windows Server 2012 R2 이상
do기본 기능 수준은 Windows Server 2012 R2 이상이어야 합니다. 기능 수준에 대한 자세한 내용은 포리스트 및 기본 기능 수준을 참조하세요.
참고 항목
기본 제공 do기본 관리istratorS-1-5-<domain>-500는 인증 정책 사일로에 할당된 경우에도 항상 인증 정책에서 제외됩니다. 자세한 내용은 How to Configure Protected Accounts를 참조하세요.
- 보호된 사용자 전역 보안 그룹 멤버 자격은 구성원이 Kerberos에 AES(고급 암호화 표준)만 사용하도록 제한합니다. 보호된 사용자 그룹의 구성원은 AES를 사용하여 인증할 수 있어야 합니다.
Active Directory에서 적용되는 보호
보호된 사용자 그룹의 구성원이 된다는 것은 AD가 그룹 구성원이 되는 것을 중단하지 않는 한 사용자가 변경할 수 없는 미리 구성된 특정 컨트롤을 자동으로 적용한다는 것을 의미합니다.
로그인한 보호된 사용자에 대한 디바이스 보호
로그인한 사용자가 보호된 사용자 그룹의 구성원인 경우 그룹은 다음과 같은 보호를 제공합니다.
자격 증명 위임(CredSSP)은 사용자가 기본 자격 증명 그룹 정책 위임 허용 설정을 사용하도록 설정한 경우에도 사용자의 일반 텍스트 자격 증명 을 캐시하지 않습니다.
Windows 8.1 이상 및 Windows Server 2012 R2 이상의 경우 Windows 다이제스트는 Windows 다이제스트를 사용하도록 설정한 경우에도 사용자의 일반 텍스트 자격 증명을 캐시하지 않습니다.
NTLM은 사용자의 일반 텍스트 자격 증명 또는 NTOWF(NT 단방향 함수) 캐싱을 중지합니다.
Kerberos는 DES(데이터 암호화 표준) 또는 RC4 키 만들기를 중지합니다. 또한 Kerberos는 초기 TGT(티켓 부여 티켓)를 획득한 후 사용자의 일반 텍스트 자격 증명 또는 장기 키를 캐시하지 않습니다.
시스템은 사용자 로그인 또는 잠금 해제 시 캐시된 검증 도구를 만들지 않으므로 멤버 시스템은 더 이상 오프라인 로그인을 지원하지 않습니다.
보호된 사용자 그룹에 새 사용자 계정을 추가하면 새 보호된 사용자가 디바이스에 로그인할 때 이러한 보호가 활성화됩니다.
보호된 사용자에 대한 컨트롤러 보호 기본
Windows Server 2012 R2 이상을 실행하는 do기본 인증하는 보호된 사용자 계정은 다음을 수행할 수 없습니다.
NTLM 인증을 통한 인증
Kerberos 사전 인증에서 DES 또는 RC4 암호화 종류 사용
제한되지 않거나 제한된 위임을 사용하여 위임합니다.
초기 4시간 수명을 초과하여 Kerberos TGT를 갱신합니다.
보호된 사용자 그룹은 구성 불가능한 설정을 모든 멤버 계정에 대한 TGT 만료에 적용합니다. 일반적으로 do기본 컨트롤러는 다음 두 가지 do기본 정책에 따라 TGT 수명 및 갱신을 설정합니다.
- 사용자 티켓 최대 수명
- 사용자 티켓 갱신 최대 수명
보호된 사용자 구성원의 경우 그룹은 이러한 수명 제한을 600분으로 자동으로 설정합니다. 사용자가 그룹을 나가지 않으면 이 제한을 변경할 수 없습니다.
보호된 사용자 그룹의 작동 방식
다음 방법을 사용하여 보호된 사용자 그룹에 사용자를 추가할 수 있습니다.
- ADAC(Active Directory 관리Istrative Center) 또는 Active Directory 사용자 및 컴퓨터 같은 UI 도구
- PowerShell과 같은 명령줄 도구입니다.
- PowerShell에서는 Add-ADGroupMember cmdlet을 사용합니다.
Important
보호된 사용자 그룹에 서비스 및 컴퓨터에 대한 계정을 추가하지 마세요. 이러한 계정의 경우 호스트에서 암호와 인증서를 항상 사용할 수 있기 때문에 멤버 자격은 로컬 보호를 제공하지 않습니다.
Enterprise 관리 또는 Do기본 관리s 그룹과 같이 권한이 높은 그룹의 구성원인 계정을 추가하지 마세요. 추가하면 부정적인 결과가 발생하지 않습니다. 보호된 사용자의 권한이 높은 사용자는 일반 사용자와 동일한 제한 사항 및 제한 사항이 적용되며 이러한 설정을 해결하거나 변경할 수 없습니다. 해당 그룹의 모든 구성원을 보호된 사용자 그룹에 추가하는 경우 실수로 해당 계정을 잠글 수 있습니다. 시스템을 테스트하여 필수 설정 변경이 이러한 권한 있는 사용자 그룹에 대한 계정 액세스를 방해하지 않는지 확인하는 것이 중요합니다.
보호된 사용자 그룹의 구성원은 AES(고급 암호화 표준)와 함께 Kerberos를 사용하여 인증할 수만 있습니다. 이 방법에는 Active Directory의 계정에 대한 AES 키가 필요합니다. Windows Server 2008 이상을 실행하는 관리 실행 기본 암호가 변경되지 않는 한 기본 제공 관리istrator에는 AES 키가 없습니다. 이전 버전의 Windows Server를 실행하는 do기본 컨트롤러에 의해 암호가 변경된 계정은 인증이 잠깁니다.
잠금 및 누락된 AES 키를 방지하려면 다음 지침을 따르는 것이 좋습니다.
모든 컨트롤러가 Windows Server 2008 이상을 실행하지 않는 한기본기본 테스트를 실행하지 마세요.
다른 do기본에서 계정을 마이그레이션한 경우 계정에 AES 해시가 있도록 암호를 다시 설정해야 합니다. 그렇지 않으면 이러한 계정을 인증할 수 있습니다.
사용자는 Windows Server 2008 이상의 기능 수준을 기본 전환한 후 암호를 변경해야 합니다. 이렇게 하면 보호된 사용자 그룹의 멤버가 되면 AES 암호 해시가 보장됩니다.
하위 수준에 보호된 사용자 전역 보안 그룹 추가기본
Windows Server 2012 R2 이전 버전의 운영 체제를 실행하는 컨트롤러를 기본 새 보호된 사용자 보안 그룹에 구성원 추가를 지원할 수 있습니다. 이러한 방식으로 이러한 멤버는 do기본 업그레이드하기 전에 디바이스 보호를 활용할 수 있습니다.
참고 항목
이전 버전의 Windows Server 2012 R2를 실행하는 컨트롤러는 do기본 보호를 지원하지 기본.
이전 버전의 Windows Server를 실행하는 do기본 컨트롤러에서 보호된 사용자 그룹을 만들려면 다음을 수행합니다.
PDC 에뮬레이터 역할을 Windows Server 2012 R2를 실행하는 do기본 컨트롤러로 전송합니다.
그룹 개체를 다른 do기본 컨트롤러에 복제합니다.
그 후 사용자는 do기본 업그레이드하기 전에 디바이스 보호를 활용할 수 있습니다.
보호된 사용자 그룹 AD 속성
다음 표에서는 보호된 사용자 그룹의 Active Directory 속성을 지정합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-525 |
| Type | 도메인 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| ADMINSDHOLDER에 의해 보호됨? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 기본 사용자 권한 없음 |
이벤트 로그
보호된 사용자와 관련된 이벤트 문제를 해결하는 데 도움이 되는 두 가지 작업 관리 로그가 있습니다. 이러한 새 로그는 이벤트 뷰어 있으며 기본적으로 사용하지 않도록 설정되며 Applications and Services Logs\Microsoft\Windows\Authentication 아래에 있습니다.
이러한 로그 캡처를 사용하도록 설정하려면 다음을 수행합니다.
시작을 마우스 오른쪽 단추로 클릭한 다음 이벤트 뷰어 선택합니다.
애플리케이션 및 서비스 로그\Microsoft\Windows\Authentication을 엽니다.
사용하도록 설정할 각 로그에 대해 로그 이름을 마우스 오른쪽 단추로 클릭한 다음 로그 사용을 선택합니다.
| 이벤트 ID 및 로그 | 설명 |
|---|---|
| 104 ProtectedUser-Client |
이유: 클라이언트의 보안 패키지에 자격 증명이 없습니다. 이 오류는 계정이 보호된 사용자 보안 그룹의 구성원인 경우 클라이언트 컴퓨터에 기록됩니다. 이 이벤트는 보안 패키지가 서버의 인증을 받는 데 필요한 자격 증명을 캐시하지 않음을 나타냅니다. 패키지 이름, 사용자 이름, 도메인 이름 및 서버 이름을 표시합니다. |
| 304 ProtectedUser-Client |
이유: 보안 패키지는 보호된 사용자의 자격 증명을 저장하지 않습니다. 보안 패키지가 사용자의 로그인 자격 증명을 캐시하지 않음을 나타내기 위해 클라이언트에 정보 이벤트가 기록됩니다. 다이제스트(WDigest), 자격 증명 위임(CredSSP) 및 NTLM은 보호된 사용자에 대한 로그온 자격 증명을 유지하지 못합니다. 자격 증명을 묻는 메시지가 나타나는 경우에도 애플리케이션을 실행할 수 있습니다. 패키지 이름, 사용자 이름 및 도메인 이름을 표시합니다. |
| 100 ProtectedUserFailures-Do기본Controller |
이유: 보호된 사용자 보안 그룹에 속한 계정에서 NTLM 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 구성원이기 때문에 NTLM 인증에 실패했음을 나타내는 오류가 도메인 컨트롤러에 기록됩니다. 계정 이름 및 디바이스 이름을 표시합니다. |
| 104 ProtectedUserFailures-Do기본Controller |
이유: DES 또는 RC4 암호화 종류는 Kerberos 인증에 사용되므로 보호된 사용자 보안 그룹의 사용자에 대해서는 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 구성원인 경우에는 DES 또는 RC4 암호화 종류를 사용할 수 없으므로 Kerberos 사전 인증에 실패했습니다. (AES는 허용됩니다.) |
| 303 ProtectedUserSuccesses-Do기본Controller |
이유: 보호된 사용자 그룹의 구성원에게 Kerberos TGT(허용 티켓)가 성공적으로 발급되었습니다. |
추가 리소스
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기