다음을 통해 공유


로컬 계정

이 문서에서는 Windows 운영 체제의 기본 로컬 사용자 계정과 기본 제공 계정을 관리하는 방법을 설명합니다.

로컬 사용자 계정 정보

로컬 사용자 계정은 디바이스에서 로컬로 정의되며 디바이스에 대한 권한 및 권한만 할당할 수 있습니다. 로컬 사용자 계정은 서비스 또는 사용자를 위해 디바이스의 리소스에 대한 액세스를 보호하고 관리하는 데 사용되는 보안 주체입니다.

기본 로컬 사용자 계정

기본 로컬 사용자 계정은 운영 체제가 설치될 때 자동으로 만들어지는 기본 제공 계정입니다. 기본 로컬 사용자 계정은 제거하거나 삭제할 수 없으며 네트워크 리소스에 대한 액세스를 제공하지 않습니다.

기본 로컬 사용자 계정은 계정에 할당된 권한 및 권한에 따라 로컬 디바이스의 리소스에 대한 액세스를 관리하는 데 사용됩니다. 기본 로컬 사용자 계정 및 사용자가 만든 로컬 사용자 계정은 Users 폴더에 있습니다. Users 폴더는 로컬 MMC(컴퓨터 관리 Microsoft 관리 콘솔)의 로컬 사용자 및 그룹 폴더에 있습니다. 컴퓨터 관리는 로컬 또는 원격 디바이스를 관리하는 데 사용할 수 있는 관리 도구의 컬렉션입니다.

기본 로컬 사용자 계정은 다음 섹션에 설명되어 있습니다. 자세한 내용은 각 섹션을 확장합니다.

관리자

기본 로컬 관리자 계정은 시스템 관리를 위한 사용자 계정입니다. 모든 컴퓨터에는 관리자 계정(SID S-1-5-domain-500, 표시 이름 관리자)이 있습니다. 관리자 계정은 Windows 설치 중에 만들어진 첫 번째 계정입니다.

관리자 계정은 로컬 디바이스의 파일, 디렉터리, 서비스 및 기타 리소스를 완전히 제어할 수 있습니다. 관리자 계정은 다른 로컬 사용자를 만들고, 사용자 권한을 할당하고, 권한을 할당할 수 있습니다. 관리자 계정은 사용자 권한 및 권한을 변경하여 언제든지 로컬 리소스를 제어할 수 있습니다.

기본 관리자 계정은 삭제하거나 잠글 수 없지만 이름을 바꾸거나 사용하지 않도록 설정할 수 있습니다.

Windows 설치 프로그램은 기본 제공 관리자 계정을 사용하지 않도록 설정하고 Administrators 그룹의 구성원인 다른 로컬 계정을 만듭니다.

관리자 그룹의 구성원은 관리자 권한 으로 실행 옵션을 사용하지 않고도 관리자 권한으로 앱을 실행할 수 있습니다. 빠른 사용자 전환은 사용 runas 또는 다른 사용자 권한 상승보다 더 안전합니다.

계정 그룹 멤버 자격

기본적으로 관리자 계정은 Administrators 그룹의 구성원입니다. 관리자 그룹의 구성원이 디바이스에 대한 모든 권한을 가지므로 관리자 그룹의 사용자 수를 제한하는 것이 가장 좋습니다.

관리자 계정은 관리자 그룹에서 제거할 수 없습니다.

보안 고려 사항

관리자 계정은 여러 버전의 Windows 운영 체제에 있는 것으로 알려져 있으므로 악의적인 사용자가 서버 또는 클라이언트 컴퓨터에 액세스하기 어렵게 만들 수 있는 경우 관리자 계정을 사용하지 않도록 설정하는 것이 좋습니다.

관리자 계정의 이름을 바꿀 수 있습니다. 그러나 이름이 바뀐 관리자 계정은 악의적인 사용자가 검색할 수 있는 동일한 자동으로 할당된 SID(보안 식별자)를 계속 사용합니다. 사용자 계정의 이름을 바꾸거나 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 로컬 사용자 계정 사용 안 함 또는 활성화 및 로컬 사용자 계정이름 바꾸기를 참조하세요.

보안 모범 사례로 로컬(관리자가 아닌) 계정을 사용하여 로그인한 다음 관리자 권한으로 실행을 사용하여 표준 사용자 계정보다 높은 수준의 권한이 필요한 작업을 수행합니다. 완전히 필요한 경우가 아니면 관리자 계정을 사용하여 컴퓨터에 로그인하지 마세요. 자세한 내용은 관리 자격 증명을 사용하여 프로그램 실행을 참조하세요.

그룹 정책 사용하여 로컬 관리자 그룹의 사용을 자동으로 제어할 수 있습니다. 그룹 정책 대한 자세한 내용은 그룹 정책 개요를 참조하세요.

중요

  • 빈 암호는 허용되지 않습니다.
  • 관리자 계정을 사용하지 않도록 설정한 경우에도 안전 모드를 사용하여 컴퓨터에 액세스하는 데 계속 사용할 수 있습니다. 복구 콘솔 또는 안전 모드에서 관리자 계정이 자동으로 사용하도록 설정됩니다. 정상 작업이 다시 시작되면 사용하지 않도록 설정됩니다.

게스트

게스트 계정을 사용하면 컴퓨터에 계정이 없는 가끔 또는 일회성 사용자가 제한된 사용자 권한으로 로컬 서버 또는 클라이언트 컴퓨터에 일시적으로 로그인할 수 있습니다. 기본적으로 게스트 계정은 사용하지 않도록 설정되며 빈 암호가 있습니다. 게스트 계정은 익명 액세스를 제공할 수 있으므로 보안 위험으로 간주됩니다. 이러한 이유로 게스트 계정을 사용할 필요가 없는 한 게스트 계정을 사용하지 않도록 두는 것이 가장 좋습니다.

게스트 계정 그룹 멤버 자격

기본적으로 게스트 계정은 사용자가 디바이스에 로그인할 수 있는 기본 게스트 그룹 SID S-1-5-32-546의 유일한 멤버입니다.

게스트 계정 보안 고려 사항

게스트 계정을 사용하도록 설정하는 경우 제한된 권한 및 권한만 부여합니다. 보안상의 이유로 게스트 계정은 네트워크를 통해 사용해서는 안 되며 다른 컴퓨터에서 액세스할 수 있습니다.

또한 게스트 계정의 게스트 사용자는 이벤트 로그를 볼 수 없습니다. 게스트 계정을 사용하도록 설정한 후에는 게스트 계정을 자주 모니터링하여 다른 사용자가 서비스 및 기타 리소스를 사용할 수 없도록 하는 것이 좋습니다. 여기에는 이전 사용자가 의도치 않게 사용할 수 있는 리소스가 포함됩니다.

HelpAssistant

HelpAssistant 계정은 원격 지원 세션을 실행할 때 사용하도록 설정된 기본 로컬 계정입니다. 이 계정은 원격 지원 요청이 보류 중이면 자동으로 비활성화됩니다.

HelpAssistant는 원격 지원 세션을 설정하는 데 사용되는 기본 계정입니다. 원격 지원 세션은 Windows 운영 체제를 실행하는 다른 컴퓨터에 연결하는 데 사용되며 초대를 통해 시작됩니다. 요청된 원격 지원을 위해 사용자는 컴퓨터에서 전자 메일 또는 파일로 지원을 제공할 수 있는 사람에게 초대를 보냅니다. 원격 지원 세션에 대한 사용자의 초대가 수락되면 지원을 제공하는 사용자에게 컴퓨터에 대한 제한된 액세스 권한을 부여하기 위해 기본 HelpAssistant 계정이 자동으로 만들어집니다. HelpAssistant 계정은 원격 데스크톱 도움말 세션 관리자 서비스에서 관리됩니다.

HelpAssistant 계정 보안 고려 사항

기본 HelpAssistant 계정과 관련된 SID는 다음과 같습니다.

  • SID: S-1-5-<domain>-13, 표시 이름 터미널 서버 사용자입니다. 이 그룹에는 원격 데스크톱 서비스를 사용하도록 설정된 서버에 로그인하는 모든 사용자가 포함됩니다.
  • SID: S-1-5-<domain>-14, 표시 이름 원격 대화형 로그온. 이 그룹에는 원격 데스크톱 연결을 사용하여 컴퓨터에 연결하는 모든 사용자가 포함됩니다. 이 그룹은 대화형 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함됩니다.

Windows Server 운영 체제의 경우 원격 지원은 기본적으로 설치되지 않은 선택적 구성 요소입니다. 원격 지원을 사용하려면 먼저 설치해야 합니다.

HelpAssistant 계정 특성에 대한 자세한 내용은 다음 표를 참조하세요.

HelpAssistant 계정 특성

특성
SID/RID Well-Known S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon)
Type 사용자
기본 컨테이너 CN=Users, DC=<domain>
기본 멤버 없음
의 기본 멤버 도메인 게스트

게스트
ADMINSDHOLDER로 보호되는가요? 아니오
기본 컨테이너에서 안전하게 이동할 수 있나요? 이동할 수 있지만 권장하지는 않습니다.
이 그룹의 관리를 비 서비스 관리자에게 위임하는 것이 안전합니까? 아니오

DefaultAccount

DSMA(기본 시스템 관리 계정)라고도 하는 DefaultAccount 계정은 잘 알려진 사용자 계정 유형입니다. DefaultAccount는 다중 사용자 인식 또는 사용자 중립적인 프로세스를 실행하는 데 사용할 수 있습니다.

DSMA는 데스크톱 버전 및 데스크톱 환경이 있는 서버 운영 체제에서 기본적으로 사용하지 않도록 설정됩니다.

DSMA에는 의 잘 알려진 RID가 있습니다 503. 따라서 DSMA의 SID(보안 식별자)에는 형식 S-1-5-21-\<ComputerIdentifier>-503으로 잘 알려진 SID가 있습니다.

DSMA는 잘 알려진 그룹 시스템 관리 계정 그룹의 구성원으로, 의 잘 알려진 SID S-1-5-32-581가 있습니다.

계정 자체를 만들기 전에 오프라인 스테이징 중에 DSMA 별칭에 리소스에 대한 액세스 권한을 부여할 수 있습니다. 계정 및 그룹은 SAM(보안 계정 관리자) 내에서 컴퓨터의 첫 번째 부팅 중에 만들어집니다.

Windows에서 DefaultAccount를 사용하는 방법

사용 권한 관점에서 DefaultAccount는 표준 사용자 계정입니다. 여러 사용자 매니페스트 앱(MUMA 앱)을 실행하려면 DefaultAccount가 필요합니다. MUMA 앱은 항상 실행되며 디바이스에서 로그인하고 로그아웃하는 사용자에 반응합니다. 앱이 사용자의 컨텍스트에서 실행되고 사용자가 로그오프할 때 종료되는 Windows Desktop과 달리 MUMA 앱은 DSMA를 사용하여 실행됩니다.

MUMA 앱은 Xbox와 같은 공유 세션 SKU에서 작동합니다. 예를 들어 Xbox 셸은 MUMA 앱입니다. 현재 Xbox는 게스트 계정으로 자동으로 로그인되며 모든 앱은 이 컨텍스트에서 실행됩니다. 모든 앱은 다중 사용자 인식이며 사용자 관리자가 발생시킨 이벤트에 응답합니다. 앱은 게스트 계정으로 실행됩니다.

마찬가지로 휴대폰은 Windows의 표준 사용자 계정과 비슷하지만 몇 가지 추가 권한으로 DefApps 계정으로 자동 로그인됩니다. 브로커, 일부 서비스 및 앱은 이 계정으로 실행됩니다.

수렴형 사용자 모델에서 다중 사용자 인식 앱 및 다중 사용자 인식 브로커는 사용자와 다른 컨텍스트에서 실행해야 합니다. 이를 위해 시스템은 DSMA를 만듭니다.

도메인 컨트롤러에서 DefaultAccount를 만드는 방법

Windows Server 2016 실행하는 도메인 컨트롤러를 사용하여 도메인을 만든 경우 DefaultAccount는 도메인의 모든 도메인 컨트롤러에 존재합니다. 이전 버전의 Windows Server를 실행하는 도메인 컨트롤러를 사용하여 도메인을 만든 경우 PDC 에뮬레이터 역할이 Windows Server 2016 실행되는 도메인 컨트롤러로 전송된 후 DefaultAccount가 만들어집니다. 그런 다음 DefaultAccount는 도메인의 다른 모든 도메인 컨트롤러에 복제됩니다.

DSMA(기본 계정) 관리를 위한 권장 사항

Microsoft는 계정이 비활성화된 기본 구성을 변경하지 않는 것이 좋습니다. 계정이 비활성화된 상태인 경우 보안 위험이 없습니다. 기본 구성을 변경하면 이 계정에 의존하는 향후 시나리오가 방해가 될 수 있습니다.

기본 로컬 시스템 계정

시스템

SYSTEM 계정은 운영 체제 및 Windows에서 실행되는 서비스에서 사용됩니다. Windows 운영 체제에는 Windows 설치 중과 같이 내부적으로 로그인하는 기능이 필요한 많은 서비스 및 프로세스가 있습니다. SYSTEM 계정은 이러한 용도로 설계되었으며 Windows는 SYSTEM 계정의 사용자 권한을 관리합니다. 사용자 관리자에 표시되지 않는 내부 계정이며 그룹에 추가할 수 없습니다.

반면에 시스템 계정은 보안 메뉴의 사용 권한 부분에 있는 파일 관리자의 NTFS 파일 시스템 볼륨에 표시됩니다. 기본적으로 SYSTEM 계정에는 NTFS 볼륨의 모든 파일에 대한 모든 권한이 부여됩니다. 여기서 SYSTEM 계정에는 관리자 계정과 동일한 기능 권한 및 권한이 있습니다.

참고

관리자 그룹 파일 권한을 계정에 부여하려면 SYSTEM 계정에 대한 권한을 암시적으로 부여하지 않습니다. 시스템 계정의 사용 권한은 파일에서 제거할 수 있지만 제거하지 않는 것이 좋습니다.

NETWORK SERVICE

NETWORK SERVICE 계정은 SCM(서비스 제어 관리자)에서 사용하는 미리 정의된 로컬 계정입니다. NETWORK SERVICE 계정의 컨텍스트에서 실행되는 서비스는 컴퓨터의 자격 증명을 원격 서버에 제공합니다. 자세한 내용은 NetworkService 계정을 참조하세요.

로컬 서비스

LOCAL SERVICE 계정은 서비스 제어 관리자가 사용하는 미리 정의된 로컬 계정입니다. 로컬 컴퓨터에 대한 최소 권한이 있으며 네트워크에서 익명 자격 증명을 제공합니다. 자세한 내용은 LocalService 계정을 참조하세요.

로컬 사용자 계정을 관리하는 방법

기본 로컬 사용자 계정 및 사용자가 만든 로컬 사용자 계정은 Users 폴더에 있습니다. Users 폴더는 로컬 사용자 및 그룹에 있습니다. 로컬 사용자 계정을 만들고 관리하는 방법에 대한 자세한 내용은 로컬 사용자 관리를 참조하세요.

로컬 사용자 및 그룹을 사용하여 로컬 서버에 대한 권한 및 권한을 할당하여 로컬 사용자 및 그룹이 특정 작업을 수행할 수 있는 기능을 제한할 수 있습니다. 권한은 사용자에게 파일 및 폴더 백업 또는 서버 종료와 같은 특정 작업을 수행할 수 있는 권한을 부여합니다. 액세스 권한은 개체(일반적으로 파일, 폴더 또는 프린터)와 연결된 규칙입니다. 서버의 개체에 액세스할 수 있는 사용자와 어떤 방식으로 액세스할 수 있는지를 제어합니다.

도메인 컨트롤러에서는 로컬 사용자 및 그룹을 사용할 수 없습니다. 그러나 도메인 컨트롤러에서 로컬 사용자 및 그룹을 사용하여 네트워크의 도메인 컨트롤러가 아닌 원격 컴퓨터를 대상으로 지정할 수 있습니다.

참고

Active Directory 사용자 및 컴퓨터 사용하여 Active Directory에서 사용자 및 그룹을 관리합니다.

NET.EXE USER를 사용하거나 NET.EXE LOCALGROUP을 사용하거나 다양한 PowerShell cmdlet 및 기타 스크립팅 기술을 사용하여 로컬 그룹을 관리하여 로컬 사용자를 관리할 수도 있습니다.

관리 권한으로 로컬 계정 제한 및 보호

관리자는 악의적인 사용자가 도난당한 암호 또는 암호 해시와 같은 도난당한 자격 증명을 사용하지 못하도록 여러 가지 방법을 사용할 수 있습니다. 한 컴퓨터의 로컬 계정이 관리 권한이 있는 다른 컴퓨터에서 인증하는 데 사용되지 않습니다. 이를 횡적 이동이라고도 합니다.

가장 간단한 방법은 작업에 관리자 계정을 사용하는 대신 표준 사용자 계정으로 컴퓨터에 로그인하는 것입니다. 예를 들어 표준 계정을 사용하여 인터넷을 찾아보거나, 전자 메일을 보내거나, 워드 프로세서를 사용합니다. 새 프로그램 설치 또는 다른 사용자에게 영향을 주는 설정 변경과 같은 관리 작업을 수행하려는 경우 관리자 계정으로 전환할 필요가 없습니다. 다음 섹션에 설명된 대로 UAC(사용자 계정 컨트롤)를 사용하여 작업을 수행하기 전에 권한 또는 관리자 암호를 묻는 메시지를 표시할 수 있습니다.

관리 권한으로 사용자 계정을 제한하고 보호하는 데 사용할 수 있는 다른 방법은 다음과 같습니다.

  • 원격 액세스에 대한 로컬 계정 제한 적용
  • 모든 로컬 관리자 계정에 대한 네트워크 로그온 거부
  • 관리 권한이 있는 로컬 계정에 대한 고유한 암호 만들기

이러한 각 방법은 다음 섹션에 설명되어 있습니다.

참고

이러한 방법은 모든 관리 로컬 계정을 사용하지 않도록 설정한 경우 적용되지 않습니다.

원격 액세스에 대한 로컬 계정 제한 적용

UAC(사용자 계정 제어)는 프로그램이 관리 권한이 필요한 변경을 수행할 때 알려주는 보안 기능입니다. UAC는 사용자 계정의 사용 권한 수준을 조정하여 작동합니다. 기본적으로 UAC는 애플리케이션이 컴퓨터를 변경하려고 할 때 사용자에게 알리도록 설정되지만 UAC가 사용자에게 알릴 때 변경할 수 있습니다.

UAC를 사용하면 관리자 권한이 있는 계정이 권한 상승이라고도 하는 전체 권한이 요청 및 승인될 때까지 표준 사용자 비관리자 계정으로 처리될 수 있습니다. 예를 들어 UAC를 사용하면 관리자가 관리자가 비관리자의 사용자 세션 중에 자격 증명을 입력하여 사용자를 전환하거나 로그아웃하거나 실행 명령을 사용하지 않고도 가끔 관리 작업을 수행할 수 있습니다.

또한 UAC는 관리자의 사용자 세션에서도 해당 애플리케이션을 실행할 수 있는 권한이 부여되기 전에 시스템 전체에서 변경하는 애플리케이션을 특별히 승인하도록 관리자에게 요구할 수 있습니다.

예를 들어 로컬 계정이 네트워크 로그온을 사용하여 원격 컴퓨터에서 로그인할 때(예: NET.EXE USE 사용) UAC의 기본 기능이 표시됩니다. 이 instance 관리자 권한은 없지만 권한 상승을 요청하거나 받을 수 없는 표준 사용자 토큰을 발급합니다. 따라서 네트워크 로그온을 사용하여 로그인하는 로컬 계정은 C$, ADMIN$와 같은 관리 공유에 액세스하거나 원격 관리를 수행할 수 없습니다.

UAC에 대한 자세한 내용은 사용자 계정 컨트롤을 참조하세요.

다음 표에서는 원격 액세스에 대한 로컬 계정 제한을 적용하는 데 사용되는 그룹 정책 및 레지스트리 설정을 보여 줍니다.

아니요. 설정 자세한 설명
정책 위치 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션
1 정책 이름 사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드
정책 설정 Enabled
2 정책 위치 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션
정책 이름 사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행
정책 설정 Enabled
3 레지스트리 키 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
레지스트리 값 이름 LocalAccountTokenFilterPolicy
레지스트리 값 형식 DWORD
레지스트리 값 데이터 0

참고

보안 템플릿에서 사용자 지정 ADMX를 사용하여 LocalAccountTokenFilterPolicy의 기본값을 적용할 수도 있습니다.

원격 액세스에 대한 로컬 계정 제한을 적용하려면

  1. GPMC(그룹 정책 관리 콘솔) 시작

  2. 콘솔 트리에서 Forest>\Domains\<Domain>을 확장 < 한 다음, 포리스트가 포리스트의 이름이고 도메인이 gpO(그룹 정책 Object)를 설정하려는 도메인의 이름인 개체를 그룹 정책.

  3. 콘솔 트리에서 그룹 정책 개체 새로 만들기를 마우스 오른쪽 단추로 > 클릭합니다.

  4. 새 GPO 대화 상자에서 gpo_name> 입력하고 >gpo_name 새 GPO의 이름인 경우 확인을 입력 < 합니다. GPO 이름은 GPO가 로컬 관리자 권한이 다른 컴퓨터로 이월되는 것을 제한하는 데 사용됨을 나타냅니다.

  5. 세부 정보 창에서 gpo_name>> 마우스 오른쪽 단추로 클릭하고 <편집

  6. 다음 단계에 따라 UAC를 사용하도록 설정하고 기본 관리자 계정에 UAC 제한이 적용되는지 확인합니다.

    • 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\, >보안 옵션으로 이동합니다.
    • 사용자 계정 컨트롤을 두 번 클릭합니다. 모든 관리자를 관리 승인 모드>사용>확인으로 실행
    • 사용자 계정 컨트롤을 두 번 클릭합니다. 기본 제공 관리자 계정에> 대한 관리 승인 모드사용>확인
  7. 다음 단계에 따라 로컬 계정 제한이 네트워크 인터페이스에 적용되는지 확인합니다.

    • 컴퓨터 구성\기본 설정 및 Windows 설정 및 >레지스트리로 이동합니다.
    • 레지스트리 및 >>레지스트리 항목을 마우스 오른쪽 단추로 클릭합니다.
    • 새 레지스트리 속성 대화 상자의 일반 탭에서 작업 상자의 설정을 바꾸기로 변경합니다.
    • Hive 상자가 HKEY_LOCAL_MACHINE 설정되었는지 확인합니다.
    • (...)를 선택하고 키 경로>선택 에서 다음 위치를 찾습니다. SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • 값 이름 영역에 를 입력합니다.LocalAccountTokenFilterPolicy
    • 값 형식 상자의 드롭다운 목록에서 REG_DWORD 선택하여 값을 변경합니다.
    • 값 데이터 상자에서 값이 0으로 설정되어 있는지 확인합니다.
    • 이 구성을 > 확인하고 확인합니다.
  8. 다음을 수행하여 GPO를 첫 번째 OU( Workstations 조직 구성 단위)에 연결합니다.

    • 경로로 이동합니다.*Forest*\<Domains>\*Domain*\*OU*
    • 워크스테이션 > 기존 GPO 연결을 마우스 오른쪽 단추로 클릭합니다.
    • 만든 GPO를 > 선택하고 확인을 선택합니다.
  9. 첫 번째 OU의 워크스테이션에서 엔터프라이즈 애플리케이션의 기능을 테스트하고 새 정책으로 인한 문제를 resolve.

  10. 워크스테이션을 포함하는 다른 모든 OU에 대한 링크 만들기

  11. 서버를 포함하는 다른 모든 OU에 대한 링크 만들기

모든 로컬 관리자 계정에 대한 네트워크 로그온 거부

로컬 계정에 네트워크 로그온을 수행하는 기능을 거부하면 로컬 계정 암호 해시가 악의적인 공격에 다시 사용되지 않도록 방지할 수 있습니다. 이 절차는 손상된 운영 체제에서 로컬 계정에 대해 도난당한 자격 증명을 사용하여 동일한 자격 증명을 사용하는 다른 컴퓨터를 손상할 수 없도록 하여 횡적 이동을 방지하는 데 도움이 됩니다.

참고

이 절차를 수행하려면 먼저 기본 사용자 이름 "Administrator"가 아닐 수 있는 로컬, 기본 관리자 계정 및 로컬 관리자 그룹의 구성원인 다른 계정의 이름을 식별해야 합니다.

다음 표에서는 모든 로컬 관리자 계정에 대한 네트워크 로그온을 거부하는 데 사용되는 그룹 정책 설정을 보여 줍니다.

아니요. 설정 자세한 설명
정책 위치 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당
1 정책 이름 네트워크에서 이 컴퓨터 액세스 거부
정책 설정 로컬 계정 및 관리자 그룹의 구성원
2 정책 위치 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당
정책 이름 원격 데스크톱 서비스를 통한 로그온 거부
정책 설정 로컬 계정 및 관리자 그룹의 구성원

모든 로컬 관리자 계정에 대한 네트워크 로그온을 거부하려면

  1. GPMC(그룹 정책 관리 콘솔) 시작

  2. 콘솔 트리에서 Forest>\Domains\<Domain>을 확장 < 한 다음 개체를 그룹 정책. 여기서 포리스트는 포리스트의 이름이고 도메인은 그룹 정책 개체(GPO)를 설정하려는 도메인의 이름입니다.

  3. 콘솔 트리에서 그룹 정책 개체새로 만들기를 > 마우스 오른쪽 단추로 클릭합니다.

  4. 새 GPO 대화 상자에서 gpo_name> 입력한 다음>, gpo_name 새 GPO의 이름이면 로컬 관리 계정이 컴퓨터에 대화형으로 로그인하지 못하도록 제한하는 데 사용 중임을 나타내는 확인을 입력 < 합니다.

  5. 세부 정보 창에서 gpo_name>> 마우스 오른쪽 단추로 클릭하고 <편집

  6. 다음과 같이 관리 로컬 계정에 대한 네트워크 로그온을 거부하도록 사용자 권한을 구성합니다.

  7. 컴퓨터 구성\Windows 설정\보안 설정\, >사용자 권한 할당으로 이동합니다.

  8. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 두 번 클릭합니다.

  9. 사용자 또는 그룹 추가를 선택하고 로컬 계정 및 관리자 그룹의 구성원을 입력하고 >확인을 선택합니다.

  10. 다음과 같이 관리 로컬 계정에 대한 원격 데스크톱(원격 대화형) 로그온을 거부하도록 사용자 권한을 구성합니다.

  11. 컴퓨터 구성\정책\Windows 설정 및 로컬 정책으로 이동한 다음, 사용자 권한 할당을 선택합니다.

  12. 원격 데스크톱 서비스를 통해 로그온 거부를 두 번 클릭합니다.

  13. 사용자 또는 그룹 추가를 선택하고 로컬 계정 및 관리자 그룹의 구성원을 입력하고 >확인을 선택합니다.

  14. 다음과 같이 GPO를 첫 번째 워크스테이션 OU에 연결합니다.

    • < Forest>\Domains\Domain>\<OU 경로로 이동합니다.
    • 워크스테이션 OU > 를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결
    • 만든 GPO를 > 선택하고 확인을 선택합니다.
  15. 첫 번째 OU의 워크스테이션에서 엔터프라이즈 애플리케이션의 기능을 테스트하고 새 정책으로 인한 문제를 resolve.

  16. 워크스테이션을 포함하는 다른 모든 OU에 대한 링크 만들기

  17. 서버를 포함하는 다른 모든 OU에 대한 링크 만들기

참고

워크스테이션 및 서버에서 기본 관리자 계정의 사용자 이름이 다른 경우 별도의 GPO를 만들어야 할 수 있습니다.

관리 권한이 있는 로컬 계정에 대한 고유한 암호 만들기

암호는 개별 계정별로 고유해야 합니다. 개별 사용자 계정에는 사실이지만 대부분의 기업에서는 기본 관리자 계정과 같은 일반 로컬 계정에 대해 동일한 암호를 가지고 있습니다. 이는 운영 체제를 배포하는 동안 로컬 계정에 동일한 암호를 사용하는 경우에도 발생합니다.

암호가 동일하게 유지되도록 변경되지 않거나 동기적으로 변경된 암호는 조직에 상당한 위험을 초래합니다. 암호를 임의로 지정하면 로컬 계정에 다른 암호를 사용하여 "해시 통과" 공격을 완화할 수 있으며, 이는 악의적인 사용자가 해당 계정의 암호 해시를 사용하여 다른 컴퓨터를 손상시키는 기능을 방해합니다.

암호는 다음을 통해 임의로 지정할 수 있습니다.

  • 이 작업을 수행하기 위해 엔터프라이즈 도구를 구매하고 구현합니다. 이러한 도구를 일반적으로 "권한 있는 암호 관리" 도구라고 합니다.
  • 이 작업을 수행하도록 LAPS(로컬 관리자 암호 솔루션) 구성
  • 로컬 계정 암호를 임의로 만드는 사용자 지정 스크립트 또는 솔루션 만들기 및 구현