Active Directory 계정
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
Windows Server 운영 체제는 기본 로컬 계정으로 설치됩니다. 또한 조직의 요구 사항을 충족하는 사용자 계정을 만들 수 있습니다.
이 참조 문서에서는 도메인 컨트롤러에 로컬로 저장되어 Active Directory에 사용되는 Windows Server 기본 로컬 계정에 대해 설명합니다. 멤버, 독립 실행형 서버 또는 Windows 클라이언트에 대한 기본 로컬 사용자 계정은 설명하지 않습니다. 자세한 내용은 로컬 계정을 참조하세요.
Active Directory의 기본 로컬 계정
기본 로컬 계정은 Windows Server 도메인 컨트롤러가 설치되고 도메인이 만들어질 때 자동으로 생성되는 기본 제공 계정이에요. 이러한 기본 로컬 계정에는 Active Directory에 대응하는 계정이 있습니다. 또한 도메인 전체에 액세스할 수 있으며 멤버 또는 독립 실행형 서버의 기본 로컬 사용자 계정과는 완전히 별개입니다.
특정 도메인 컨트롤러의 기본 로컬 계정에만 해당 도메인 컨트롤러에 대한 권한(rights) 및 권한(permissions)을 할당할 수 있습니다. 이러한 계정들은 도메인에 로컬입니다. 기본 로컬 계정이 설치되면 Active Directory 사용자 및 컴퓨터의 사용자 컨테이너에 저장됩니다. 기본 로컬 계정을 사용자 컨테이너에 유지하고 이러한 계정을 다른 OU(조직 구성 단위)와 같은 곳으로 이동하지 않는 것이 좋습니다.
사용자 컨테이너의 기본 로컬 계정에는 관리자, 게스트 및 KRBTGT가 포함됩니다. 원격 지원 세션이 설정되면 헬프 어시스턴트 계정이 설치됩니다. 다음 섹션에서는 Active Directory의 기본 로컬 계정과 그 사용에 대해 설명합니다.
기본 로컬 계정에서는 다음 작업을 수행합니다:
도메인이 고유한 자격 증명(사용자 이름 및 암호)을 사용하여 계정에 할당된 사용자의 ID를 표시, 식별, 인증할 수 있도록 합니다. 보안의 효과를 극대화하려면 각 사용자를 단일 계정에 할당하는 것이 가장 좋습니다. 여러 사용자가 하나의 계정을 공유할 수는 없습니다. 사용자 계정을 통해 사용자가 컴퓨터, 네트워크 또는 도메인에서 인증할 수 있는 고유 식별자를 사용하여 컴퓨터, 네트워크 및 도메인에 로그인할 수 있습니다.
리소스에 대한 액세스 권한을 부여(승인 또는 거부)합니다. 사용자의 자격 증명이 인증되면 사용자에게 네트워크 및 리소스에 대한 명시적으로 할당된 권한에 따라 도메인 리소스에 액세스할 수 있는 권한이 부여됩니다.
사용자 계정에서 수행된 작업을 감사하세요.
Active Directory에서 관리자는 기본 로컬 계정을 사용하여 전용 관리 워크스테이션에서 직접 도메인 및 구성원 서버를 관리합니다. Active Directory 계정은 네트워크 리소스에 대한 액세스를 제공합니다. Active Directory 사용자 계정 및 컴퓨터 계정은 컴퓨터나 사용자와 같은 물리적 개체를 나타내거나 일부 애플리케이션에 대한 전용 서비스 계정으로 작동할 수 있습니다.
각 기본 로컬 계정은 특정 작업을 수행할 수 있는 적절한 권한(rights)과 권한(permissions)으로 미리 구성된 보안 그룹에 자동으로 할당됩니다. Active Directory 보안 그룹은 사용자 계정, 컴퓨터 계정, 그리고 기타 그룹을 관리 가능한 단위로 수집합니다. 자세한 내용은 Active Directory 보안 그룹을 참조하세요.
Active Directory 도메인 컨트롤러에서 각 기본 로컬 계정을 보안 주체로 지칭합니다. 보안 주체는 도메인 컨트롤러 리소스에 대한 액세스를 제공하는 Active Directory 서비스를 보호하고 관리하는 데 사용되는 디렉터리 개체입니다. 보안 주체에는 사용자 계정, 컴퓨터 계정, 보안 그룹, 사용자 또는 컴퓨터 계정의 보안 컨텍스트에서 실행되는 스레드나 프로세스와 같은 개체가 포함됩니다. 자세한 내용은 의 보안 원칙을 참조하세요.
보안 주체는 고유한 SID(보안 식별자)로 표시됩니다. Active Directory의 각 기본 로컬 계정과 관련된 SID는 다음 섹션에서 설명합니다.
일부 기본 로컬 계정은 특정 보안 설명자를 주기적으로 확인하고 적용하는 백그라운드 프로세스에 의해 보호됩니다. 보안 설명자는 보호된 개체와 관련된 보안 정보를 포함하는 데이터 구조입니다. 이 프로세스는 기본 로컬 계정 또는 그룹 중 하나에서 보안 설명자를 무단으로 수정하려는 시도가 성공하면 보호된 설정으로 덮어쓰도록 합니다.
이 보안 설명자는 AdminSDHolder 객체에 있습니다. 서비스 관리자 그룹 중 하나 또는 해당 구성원 계정에 대한 권한을 수정하려는 경우 AdminSDHolder 개체의 보안 설명자를 수정하여 일관되게 적용되도록 해야 합니다. 이러한 수정 작업을 수행할 때는 모든 보호된 계정에 적용되는 기본 설정도 변경하므로 주의해야 합니다.
관리자 계정
관리자 계정은 모든 컴퓨터 및 디바이스의 모든 버전의 Windows 운영 체제에서 사용되는 기본 계정입니다. 관리자 계정은 시스템 관리자가 관리 자격 증명이 필요한 작업에 사용됩니다. 이 계정은 삭제하거나 잠글 수는 없지만 계정 이름을 변경하거나 비활성화할 수는 있습니다.
관리자 계정은 사용자에게 해당 로컬 서버에 있는 파일, 디렉터리, 서비스 및 기타 리소스에 대한 전체 액세스 권한(전체 제어 권한)을 사용자에게 부여합니다. 관리자 계정을 사용하여 로컬 사용자를 만들고 사용자 권한 및 액세스 제어 권한을 할당할 수 있습니다. 또한 이 계정을 사용하여 사용자 권한(rights) 및 권한(permissions)을 변경함으로써 언제든지 로컬 리소스를 제어할 수 있습니다. 파일과 디렉터리는 관리자 계정으로부터 일시적으로 보호할 수 있지만, 액세스 권한을 변경하여 언제든지 해당 계정이 이러한 리소스를 제어할 수 있습니다.
계정 그룹 멤버십
이 문서의 뒷부분의 관리자 계정 속성 표에 설명된 대로 관리자 계정에는 기본 보안 그룹의 구성원 자격이 있습니다.
보안 그룹을 사용하면 각 관리자 계정을 변경하지 않고도 관리자 권한을 제어할 수 있습니다. 대부분의 경우 이 계정에 대한 기본 설정은 변경할 필요가 없습니다. 그러나 특정 그룹의 멤버십과 같은 고급 설정을 변경해야 할 수 있습니다.
보안 고려 사항
서버 운영 체제를 설치한 후 가장 먼저 해야 할 작업은 관리자 계정 속성을 안전하게 설정하는 것입니다. 여기에는 특히 길고 강력한 암호를 설정하고 원격 제어 및 원격 데스크톱 서비스 프로필 설정을 보호하는 것이 포함됩니다.
관리자 계정은 필요하지 않은 경우 비활성화할 수도 있습니다. 관리자 계정의 이름을 바꾸거나 비활성화하면 악의적인 사용자가 계정에 액세스하는 것이 더 어려워집니다. 그러나 관리자 계정을 사용하지 않도록 설정한 경우에도 안전 모드를 사용하여 도메인 컨트롤러에 액세스하는 데 사용할 수 있습니다.
도메인 컨트롤러에서 관리자 계정은 도메인 관리자 계정이 됩니다. 도메인 관리자 계정은 도메인 컨트롤러에 로그인하는 데 사용되며 이 계정에는 강력한 암호가 필요합니다. 도메인 관리자 계정으로 도메인 리소스에 액세스할 수 있습니다.
참고 항목
도메인 컨트롤러가 처음 설치되면 로그인하고 서버 관리자를 사용하여 할당하려는 권한(rights)과 권한(permissions)이 있는 로컬 관리자 계정을 설정할 수 있습니다. 예를 들어 운영 체제를 처음 설치할 때 로컬 관리자 계정을 사용하여 운영 체제를 관리할 수 있습니다. 이 방법을 사용하면 잠기지 않고 운영 체제를 설정할 수 있습니다. 일반적으로 설치 후에는 계정을 사용할 필요가 없습니다. 도메인 컨트롤러에서 로컬 사용자 계정은 Active Directory 도메인 Services가 설치되기 전에만 만들 수 있으며 그 후에는 만들 수 없습니다.
도메인의 첫 번째 도메인 컨트롤러에 Active Directory가 설치되면 Active Directory에 대한 관리자 계정이 만들어집니다. 관리자 계정은 도메인에서 가장 강력한 계정입니다. 컴퓨터와 도메인을 관리할 수 있는 도메인 전체 액세스 및 관리 권한이 부여되며 도메인에 대한 가장 광범위한 권한(rights)과 권한(permissions)을 가집니다. 컴퓨터에 Active Directory 도메인 서비스를 설치하는 사람은 설치하는 동안 이 계정에 대한 암호를 만듭니다.
관리자 계정 속성
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-<domain>-500 |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 해당 없음 |
| 기본 소속 | 관리자, 도메인 관리자, 엔터프라이즈 관리자, 도메인 사용자(모든 사용자 계정의 기본 그룹 ID는 도메인 사용자) 그룹 정책 작성자 소유자 및 Active Directory 도메인 사용자 그룹의 스키마 관리자 |
| ADMINSDHOLDER에 의해 보호됨? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 사람에게 위임해도 안전한가요? | 아니요 |
게스트 계정
게스트 계정은 컴퓨터에 대한 액세스 권한이 제한된 기본 로컬 계정으로, 기본적으로 비활성화되어 있습니다. 기본적으로 게스트 계정 암호는 비워 둡니다. 암호를 비워두면 사용자가 암호를 입력하지 않아도 게스트 계정에 액세스할 수 있습니다.
게스트 계정을 사용하면 컴퓨터에 개별 계정이 없는 비정기적 또는 일회성 사용자가 제한된 권한(rights)과 권한(permissions)으로 로컬 서버 또는 도메인에 로그인할 수 있습니다. 게스트 계정을 사용 설정할 수 있으며 필요한 경우 암호를 설정할 수 있지만 도메인의 관리자 그룹 구성원만 설정할 수 있습니다.
게스트 계정 그룹 멤버십
게스트 계정에는 다음 게스트 계정 속성 표에 설명된 기본 보안 그룹에 대한 멤버십을 가지고 있습니다. 기본적으로 게스트 계정은 사용자가 서버에 로그인할 수 있는 기본 게스트 그룹과 사용자가 도메인에 로그인할 수 있는 도메인 게스트 글로벌 그룹의 유일한 구성원 입니다.
관리자 그룹 또는 도메인 관리자 그룹의 구성원은 하나 이상의 컴퓨터에서 게스트 계정을 가진 사용자를 설정할 수 있습니다.
게스트 계정 보안 고려 사항
게스트 계정은 익명 액세스를 제공할 수 있으므로 보안상 위험합니다. 잘 알려진 SID도 있습니다. 따라서 게스트 계정은 꼭 필요한 경우가 아니라면 비활성화한 상태로 두었다가 매우 제한된 기간 동안만 제한된 권한(rights)과 사용 권한(permissions)으로만 사용하는 것이 가장 좋습니다.
게스트 계정이 필요한 경우 도메인 컨트롤러의 관리자가 게스트 계정을 사용하도록 설정 해야합니다. 게스트 계정은 암호를 요구하지 않고 사용하도록 설정하거나 강력한 암호를 사용하도록 설정할 수 있습니다. 또한 관리자는 게스트 계정에 대해 제한된 권한(rights)과 권한(permissions)을 부여합니다. 무단 액세스를 방지하기 위해:
시스템 종료 권한을 게스트 계정에 부여하지 마세요. 컴퓨터가 종료되거나 시작될 때 게스트 사용자 또는 악의적인 사용자와 같은 로컬 액세스 권한이 있는 모든 사용자가 이 컴퓨터에 무단으로 액세스할 수 있습니다.
이벤트 로그를 볼 수 있는 기능을 게스트 계정에 제공하지 마세요. 게스트 계정을 사용 설정한 후에는 이 계정을 자주 모니터링하여 실수로 이전 사용자가 사용할 수 있는 리소스와 같은 서비스 및 기타 리소스를 다른 사용자가 사용할 수 없도록 하는 것이 가장 좋습니다.
서버에 외부 네트워크 액세스 또는 다른 컴퓨터에 대한 액세스 권한이 있는 경우 게스트 계정을 사용하지 마세요.
게스트 계정을 사용하도록 설정한 경우에는 사용을 제한하고 암호를 정기적으로 변경해야 합니다. 관리자 계정과 마찬가지로 추가적인 보안 예방 조치로 계정 이름을 변경하는 것이 좋습니다.
추가로, 관리자는 게스트 계정을 관리할 책임이 있습니다. 관리자는 게스트 계정을 모니터링하고, 더 이상 사용하지 않는 게스트 계정을 비활성화하고, 필요에 따라 암호를 변경하거나 제거합니다.
게스트 계정 속성에 대한 자세한 내용은 다음 표를 참조하세요:
게스트 계정 속성
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-<domain>-501 |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | 게스트, 도메인 게스트 |
| ADMINSDHOLDER에 의해 보호됨? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 밖으로 이동할 수는 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 사람에게 위임해도 안전한가요? | 아니요 |
HelpAssistant 계정(원격 지원 세션과 함께 설치됨)
HelpAssistant 계정은 원격 지원 세션이 실행될 때 사용 설정되는 기본 로컬 계정입니다. 대기 중인 원격 지원 요청이 없는 경우 이 계정은 자동으로 비활성화됩니다.
HelpAssistant는 원격 지원 세션을 설정하는 데 사용되는 기본 계정입니다. 원격 지원 세션은 Windows 운영 체제를 실행하는 다른 컴퓨터에 연결하는 데 사용되며 초대를 통해 시작됩니다. 요청된 원격 지원의 경우 사용자는 자신의 컴퓨터에서 이메일 또는 파일로 지원을 제공할 수 있는 사람에게 초대를 보냅니다. 원격 지원 세션에 대한 사용자의 초대가 수락되면 지원을 제공하는 사람에게 컴퓨터에 대한 제한된 액세스 권한을 부여하기 위해 기본 HelpAssistant 계정이 자동으로 만들어집니다. HelpAssistant 계정은 원격 데스크톱 도움말 세션 관리자 서비스에 의해 관리됩니다.
HelpAssistant 보안 고려 사항
기본 HelpAssistant 계정과 관련된 SID는 다음과 같습니다:
SID: S-1-5-13
<domain>, 이름 터미널 서버 사용자 표시. 이 그룹에는 원격 데스크톱 서비스를 사용하도록 설정된 서버에 로그인하는 모든 사용자가 포함됩니다. Windows Server 2008에서는 원격 데스크톱 서비스를 터미널 서비스라고 합니다.SID: S-1-5-14
<domain>, 이름 원격 대화형 로그온을 표시. 이 그룹에는 원격 데스크톱 연결을 사용하여 컴퓨터에 연결하는 모든 사용자가 포함됩니다. 이 그룹은 인터랙티브 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함되어 있습니다.
Windows Server 운영 체제의 경우 원격 지원은 기본으로 설치되지 않는 구성 요소로서 옵션으로 선택할 수 있습니다. 원격 지원을 사용하려면 먼저 원격 지원을 설치해야 합니다.
HelpAssistant 계정 속성에 대한 자세한 내용은 다음 표를 참조하세요:
HelpAssistant 계정 속성
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-13<domain>(터미널 서버 사용자), S-1-5-14<domain>(원격 대화형 로그온) |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | 도메인 게스트 게스트 |
| ADMINSDHOLDER에 의해 보호됨? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 밖으로 이동할 수는 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 사람에게 위임해도 안전한가요? | 아니요 |
KRBTGT 계정
KRBTGT 계정은 KDC(키 배포 센터) 서비스의 서비스 계정 역할을 하는 로컬 기본 계정입니다. 이 계정은 삭제할 수 없으며 계정 이름도 변경할 수 없습니다. Active Directory에서는 KRBTGT 계정을 활성화할 수 없습니다.
KRBTGT는 RFC 4120에 지정된 대로 Windows Server 도메인에 대해 KDC에서 사용하는 보안 주체 이름이기도 합니다. KRBTGT 계정은 KRBTGT 보안 주체의 엔터티이며 새 도메인을 만들 때 자동으로 생성됩니다.
Windows Server Kerberos 인증은 대칭 키로 암호화된 특수 Kerberos TGT(티켓 부여 티켓)를 사용하여 이루어집니다. 이 키는 액세스가 요청된 서버 또는 서비스의 암호에서 파생됩니다. KRBTGT 계정의 TGT 암호는 Kerberos 서비스에서만 알 수 있습니다. 세션 티켓을 요청하려면 TGT를 KDC에 제시해야 합니다. TGT는 KDC에서 Kerberos 클라이언트로 발급됩니다.
KRBTGT 계정 유지 관리 고려 사항
KRBTGT 및 트러스트 계정에 강력한 비밀번호가 자동으로 할당됩니다. 다른 권한 있는 서비스 계정과 마찬가지로 조직은 이러한 암호를 정기적으로 변경해야 합니다. KDC 계정의 암호는 발급된 TGT 요청을 암호화하고 해독하기 위한 비밀 키를 도출하는 데 사용됩니다. 도메인 트러스트 계정의 암호는 추천 티켓을 암호화하기 위한 도메인 간 키를 도출하는 데 사용됩니다.
암호를 재설정하려면 Domain Admins 그룹의 구성원이거나 적절한 권한을 위임받아야 합니다. 또한 로컬 관리자 그룹의 구성원이거나 적절한 권한을 위임받아야 합니다.
KRBTGT 암호를 재설정한 후 (Kerberos) Key-Distribution-Center(키 배포 센터) 이벤트 소스의 이벤트 ID 9가 시스템 이벤트 로그에 기록되는지 확인합니다.
KRBTGT 계정 보안 고려 사항
또한 새로 복원된 도메인 컨트롤러가 손상된 도메인 컨트롤러로 복제되지 않도록 KRBTGT 계정 암호를 재설정하는 것이 좋습니다. 이 경우 여러 위치에 분산되어 있는 대규모 포리스트 복구에서는 모든 도메인 컨트롤러가 종료되었는지 보장할 수 없으며, 종료된 경우 적절한 복구 단계가 모두 수행되기 전까지는 다시 재부팅할 수 없습니다. KRBTGT 계정을 재설정하면 다른 도메인 컨트롤러가 이전 암호를 사용하여 이 계정 암호를 복제할 수 없습니다.
KRBTGT 계정의 도메인 침해가 의심되는 조직은 전문 인시던트 대응 서비스의 사용을 고려해야 합니다. 계정 소유권을 복원하는 작업은 도메인 전체의 영향을 미치고 노동 집약적입니다. 따라서 더 큰 복구 노력의 일환으로 수행해야 합니다.
KRBTGT 암호는 Kerberos의 모든 신뢰가 연결되는 키입니다. KRBTGT 암호를 재설정하는 것은 루트 CA 인증서를 새 키로 갱신하고 이전 키를 즉시 신뢰하지 않는 것으로 설정하는 것과 유사하므로 거의 모든 후속 Kerberos 작업이 영향을 받습니다.
모든 계정 유형(사용자, 컴퓨터 및 서비스)의 경우
이미 발급되어 배포된 모든 TGT는 DC가 이를 거부하므로 무효화됩니다. 이러한 티켓은 KRBTGT로 암호화되어 있으므로 모든 DC가 유효성을 검사할 수 있습니다. 암호가 변경되면 티켓이 무효화됩니다.
로그인한 사용자가 서비스 티켓을 기반으로 리소스(예: 파일 공유, SharePoint 사이트 또는 Exchange server)에 설정한 현재 인증된 모든 세션은 서비스 티켓의 재인증이 요구될 때까지 유효합니다.
NTLM 인증된 연결은 영향을 받지 않습니다.
프로덕션 운영 환경에서 특정 사용자에게 발생할 특정 오류를 예측하는 것은 불가능하므로 모든 컴퓨터와 사용자가 영향을 받는다고 가정해야 합니다.
Important
컴퓨터를 재부팅하면 사용자 계정 모두 다시 로그인 해야 합니다. 따라서 컴퓨터를 재부팅하는 것이 이 기능을 복구할 수 있는 유일한 안정적인 방법입니다. 다시 로그인하면 새 KRBTGT에 유효한 새 TGT를 요청하여, 해당 컴퓨터의 KRBTGT 관련 작동 문제를 해결합니다.
읽기 전용 도메인 컨트롤러 및 KRBTGT 계정
Windows Server 2008에는 RODC(읽기 전용 도메인 컨트롤러)가 도입되었습니다. RODC는 지사의 KDC(키 배포 센터)로 등록됩니다. RODC는 TGT(티켓 부여 티켓) 요청에 서명하거나 암호화할 때 쓰기 가능한 도메인 컨트롤러의 KDC와는 다른 KRBTGT 계정 및 암호를 사용합니다. 계정이 성공적으로 인증되면 RODC는 암호 복제 정책을 사용하여 사용자의 자격 증명 또는 컴퓨터의 자격 증명을 쓰기 가능한 도메인 컨트롤러에서 RODC로 복제할 수 있는지 여부를 결정합니다.
자격 증명이 RODC에 캐시된 후에는 자격 증명이 변경될 때까지 RODC가 해당 사용자의 로그인 요청을 수락할 수 있습니다. TGT가 RODC의 KRBTGT 계정으로 서명하면 RODC는 캐시된 자격 증명 사본이 있음을 인식합니다. 다른 도메인 컨트롤러가 TGT에 서명하면 RODC는 쓰기 가능한 도메인 컨트롤러로 요청을 전달합니다.
KRBTGT 계정 속성
KRBTGT 계정 속성에 대한 자세한 내용은 다음 표를 참조하세요:
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-<domain>-502 |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | 도메인 사용자 그룹(모든 사용자 계정의 기본 그룹 ID는 도메인 사용자) |
| ADMINSDHOLDER에 의해 보호됨? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 밖으로 이동할 수는 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 사람에게 위임해도 안전한가요? | 아니요 |
Active Directory의 기본 로컬 계정 설정
Active Directory의 각 기본 로컬 계정에는 다음 표에 설명된 대로 암호 설정 및 보안 관련 정보를 구성하는 데 사용할 수 있는 몇 가지 계정 설정이 있습니다.
| 계정 설정 | 설명 |
|---|---|
| 다음 로그온할 때 반드시 암호 변경 | 사용자가 다음에 네트워크에 로그인할 때 암호를 강제로 변경합니다. 사용자만 자신의 암호를 알 수 있도록 하려면 이 옵션을 사용하세요. |
| 사용자가 암호를 변경할 수 없음 | 사용자가 암호를 변경할 수 없도록 합니다. 게스트 또는 임시 계정과 같은 사용자 계정에 대한 제어권을 유지하려는 경우 이 옵션을 사용합니다. |
| Password never expires | 사용자 암호가 만료되지 않도록 합니다. 서비스 계정으로 이 옵션을 사용하도록 설정하고 강력한 암호를 사용하는 것이 가장 좋습니다. |
| 해독 가능한 암호화를 사용하여 암호 저장 | 사용자 암호의 일반 텍스트 형식에 대한 지식이 필요한 프로토콜을 사용하는 애플리케이션에 대해 인증 목적의 지원을 제공합니다. 이 옵션은 IAS(인터넷 인증 서비스)에서 CHAP(챌린지 핸드셰이크 인증 프로토콜)를 사용하는 경우와 IIS(인터넷 정보 서비스)에서 다이제스트 인증을 사용하는 경우에 필요합니다. |
| 계정 사용 안 함 | 사용자가 선택한 계정으로 로그인할 수 없도록 합니다. 관리자는 비활성화된 계정을 일반 사용자 계정의 템플릿으로 사용할 수 있습니다. |
| 대화형 로그온에 스마트 카드 필요 | 네트워크에 대화형으로 로그온하려면 사용자는 스마트 카드를 가지고 있어야 합니다. 또 해당 사용자 컴퓨터에 스마트 카드 판독기도 부착되어 있어야 하며 해당 스마트 카드에 대한 유효한 PIN(개인 식별 번호)도 있어야 합니다. 이 속성이 계정에 적용되면 다음과 같은 효과가 나타납니다: |
| 위임에 대해 계정 신뢰할 수 있음 | 이 계정으로 실행되는 서비스가 네트워크의 다른 사용자 계정을 대신하여 작업을 수행하도록 허용합니다. 위임에 대해 신뢰할 수 있는 사용자 계정(서비스 계정이라고도 함)으로 실행되는 서비스는 클라이언트를 가장하여 서비스가 실행 중인 컴퓨터 또는 다른 컴퓨터의 리소스에 액세스할 수 있습니다. 예를 들어, Windows Server 2003 기능 수준으로 설정된 포리스트에서는 이 설정을 위임 탭에서 찾을 수 있습니다. 이 설정은 Windows 지원 도구에서 setspn 명령을 사용하여 서비스 프린시플 이름(SPN)을 할당받은 계정에만 사용할 수 있습니다. 이 설정은 보안에 민감하므로 신중하게 지정해야 합니다. |
| 계정이 민감하므로 위임할 수 없습니다. | 게스트 계정이나 임시 계정 등의 사용자 계정을 제어할 수 있습니다. 이 옵션은 이 계정을 다른 계정에 위임할 수 없는 경우에 사용할 수 있습니다. |
| 이 계정에 DES 암호화 유형 사용 | DES(데이터 암호화 표준)에 대한 지원을 제공합니다. DES는 Microsoft MPPE(Microsoft Point-to-Point Encryption, 지점간 암호화) 표준(40비트 및 56비트), MPPE 표준(56비트), MPPE Strong(128비트), IPSec(인터넷 프로토콜 보안) DES(40비트), IPSec 56비트 DES 및 3DES(IPSec Triple DES) 등 여러 수준의 암호화를 지원합니다. |
| Kerberos로 미리 인증될 필요 없음 | Kerberos 프로토콜의 대체 구현에 대한 지원을 제공합니다. 사전 인증은 추가적인 보안을 제공하므로 이 옵션을 사용하도록 설정할 때는 주의하세요. Windows 2000 또는 Windows Server 2003을 실행하는 도메인 컨트롤러는 다른 메커니즘을 사용하여 시간을 동기화할 수 있습니다. |
참고 항목
DES는 Windows Server 운영 체제(Windows Server 2008 R2부터) 또는 Windows 클라이언트 운영 체제(Windows 7부터)에서 기본적으로 사용하도록 설정되어 있지 않습니다. 이러한 운영 체제의 경우 컴퓨터는 기본적으로 DES-CBC-MD5 또는 DES-CBC-CRC 암호 그룹을 사용하지 않습니다. 사용자 환경에 DES가 필요한 경우 이 설정은 사용자 환경의 클라이언트 컴퓨터 또는 서비스 및 애플리케이션과의 호환성에 영향을 줄 수 있습니다.
자세한 내용은 Kerberos를 안전하게 배포하기 위해 DES를 제거하는 방법을 참조하십시오.
Active Directory에서 기본 로컬 계정 관리
기본 로컬 계정이 설치된 후, 이러한 계정은 Active Directory 사용자 및 컴퓨터의 User 컨테이너에 위치하게 됩니다. Active Directory 사용자 및 컴퓨터 MMC(Microsoft Management Console)를 사용하거나 명령줄 도구를 사용하여 기본 로컬 계정을 생성, 비활성화, 재설정, 삭제할 수 있습니다.
Active Directory 사용자 및 컴퓨터를 사용하여 지정된 로컬 도메인 컨트롤러 및 해당 도메인 컨트롤러에만 권한 및 사용 권한을 할당하여 로컬 사용자 및 그룹의 특정 작업을 수행할 수 있는 기능을 제한할 수 있습니다. 권한은 컴퓨터에서 파일 및 폴더 백업이나 컴퓨터 종료와 같은 특정 작업을 수행할 수 있는 권한을 사용자에게 부여합니다. 반면에 액세스 권한은 일반적으로 파일, 폴더 또는 프린터와 같은 개체에 연결된 규칙으로, 어떤 사용자가 어떤 방식으로 개체에 액세스할 수 있는지를 규제합니다.
Active Directory에서 로컬 사용자 계정을 만들고 관리하는 방법에 대한 자세한 내용은 로컬 사용자 관리를 참조하세요.
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 사용하여 네트워크의 도메인 컨트롤러가 아닌 원격 컴퓨터를 대상으로 지정할 수도 있습니다.
SCM(보안 준수 관리자) 도구를 사용하여 배포할 수 있는 도메인 컨트롤러 구성에 대한 Microsoft의 권장 사항을 얻을 수 있습니다. 자세한 내용은 Microsoft Security Compliance Manager를 참조하세요.
기본 로컬 사용자 계정 중 일부는 보호 대상과 관련된 보안 정보를 포함하는 데이터 구조인 특정 보안 설명자를 주기적으로 확인하고 적용하는 백그라운드 프로세스에 의해 보호됩니다. 이 보안 설명자는 AdminSDHolder 객체에 있습니다.
즉, 서비스 관리자 그룹 또는 그 구성원 계정에 대한 사용 권한을 수정하려면 AdminSDHolder 개체의 보안 설명자도 수정해야 합니다. 이 접근 방식은 사용 권한이 일관되게 적용되도록 보장합니다. 이러한 수정 작업은 보호된 모든 관리 계정에 적용되는 기본 설정에도 영향을 미칠 수 있으므로 주의하세요.
민감한 도메인 계정 제한 및 보호
도메인 환경에서 도메인 계정을 제한하고 보호하려면 다음과 같은 모범 사례 접근 방식을 채택하고 구현해야 합니다:
구성원 자격을 관리자, 도메인 관리자 및 엔터프라이즈 관리자 그룹으로 엄격하게 제한합니다.
도메인 계정의 사용 위치와 방법을 엄격하게 통제합니다.
도메인 또는 포리스트의 관리자, 도메인 관리자 및 엔터프라이즈 관리자 그룹의 구성원 계정은 악의적인 사용자의 주요 공격 대상입니다. 노출을 제한하려면 이러한 관리자 그룹의 구성원 자격을 최소한의 계정으로 엄격하게 제한하는 것이 좋습니다. 이러한 그룹의 구성원 자격을 제한하면 관리자가 의도치 않게 이러한 자격 증명을 오용하여 악의적인 사용자가 악용할 수 있는 취약점을 발생시킬 가능성을 줄일 수 있습니다.
또한 중요한 도메인 계정이 사용되는 위치와 방법을 엄격하게 관리하는 것이 좋습니다. 도메인 관리자 계정 및 기타 관리자 계정의 사용을 제한하여 관리되는 시스템과 동일한 수준의 보안이 적용되는 관리 시스템 및 워크스테이션에 로그인하는 데 사용하지 못하도록 합니다. 관리자 계정이 이러한 방식으로 제한되지 않는 경우 도메인 관리자가 로그인하는 각 워크스테이션은 악의적인 사용자가 악용할 수 있는 다른 위치를 제공합니다.
이 모범 사례의 구현은 다음 작업으로 구분됩니다:
도메인 환경과의 통합 문제가 예상되는 경우를 대비해 각 작업은 최소, 더 나은, 이상적인 구현을 위한 요구 사항에 따라 설명되어 있습니다. 프로덕션 환경의 모든 중요한 변경 사항과 마찬가지로 이러한 변경 사항을 구현하고 배포하기 전에 철저히 테스트해야 합니다. 그런 다음 기술적 문제가 발생할 경우, 변경 사항을 롤백할 수 있는 방식으로 배포를 단계적으로 진행하세요.
사용자 계정과 관리자 계정 분리
도메인 관리자 계정 및 기타 민감한 계정을 제한하여 신뢰도가 낮은 서버 및 워크스테이션에 로그인하는 데 사용되지 못하도록 합니다. 관리자 계정을 일반 사용자 계정과 분리하고, 관리 업무를 다른 업무와 분리하고, 이러한 계정의 사용을 제한하여 관리자 계정을 제한하고 보호하세요. 특정 관리 작업을 수행하기 위해 관리자 자격 증명이 필요한 관리 담당자를 위한 전용 계정을 만든 다음, 다음 지침에 따라 다른 표준 사용자 작업을 위한 별도의 계정을 만드세요:
권한 있는 계정: 관리자 계정을 할당하여 다음 관리 업무만 수행합니다.
최소한: 도메인 또는 포리스트 내에서 도메인 관리자, 엔터프라이즈 관리자 또는 이에 상응하는 역할에 대해 적절한 관리자 권한을 가진 별도의 계정을 생성하세요. 민감한 관리자 권한이 부여된 계정은 도메인 데이터 및 도메인 컨트롤러를 관리할 때만 사용하세요.
더 나은 방법: 워크스테이션 관리자의 계정과 같이 관리 권한이 축소된 관리자 계정 및 특정 Active Directory OU(조직 구성 단위)에 대한 사용자 권한을 가진 계정을 별도로 생성하세요.
이상적인 방법: 서로 다른 신뢰 수준이 필요한 여러 가지 업무를 담당하는 관리자를 위해 여러 개의 별도 계정을 생성하세요. 워크스테이션 관리, 서버 관리, 도메인 관리 등 각 관리자 계정을 서로 다른 사용자 권한으로 설정하여 관리자가 업무 책임에 따라 지정된 워크스테이션, 서버, 도메인 컨트롤러에 로그인할 수 있도록 하세요.
일반 사용자 계정: 이메일, 웹 검색, 업무용(LOB) 애플리케이션 사용과 같은 표준 사용자 작업에 대한 표준 사용자 권한을 부여하세요. 이러한 계정에는 관리자 권한을 부여해서는 안됩니다.
Important
다음 섹션에 설명된 대로 민감한 관리자 계정으로 이메일에 액세스하거나 인터넷을 검색할 수 없도록 하세요.
권한 있는 액세스에 대해 더 알아보려면 권한이 있는 액세스 장치를 참조하세요.
서버 및 워크스테이션에 대한 관리자 로그인 액세스 제한
관리자가 민감한 관리자 계정을 사용하여 신뢰도가 낮은 서버 및 워크스테이션에 로그인하지 못하도록 제한하는 것이 가장 좋습니다. 이 제한은 관리자가 신뢰도가 낮은 컴퓨터에 로그인하여 실수로 자격 증명 도용의 위험을 높이는 것을 방지합니다.
Important
도메인 컨트롤러에 대한 로컬 액세스 권한이 있거나 전용 관리 워크스테이션을 하나 이상 구축했는지 확인하세요.
다음 가이드라인을 사용하여 신뢰도가 낮은 서버 및 워크스테이션에 대한 로그인 액세스를 제한하세요:
최소한: 도메인 관리자에게 서버 및 워크스테이션에 대한 로그인 액세스를 제한하세요. 이 절차를 시작하기 전에 도메인에서 워크스테이션과 서버를 포함하는 모든 OU를 식별하세요. 식별되지 않은 조직 단위(OU)에 있는 모든 컴퓨터는 민감한 계정을 가진 관리자들의 로그인을 제한하지 않습니다.
더 나은 방법: 도메인 컨트롤러가 아닌 서버 및 워크스테이션에서 도메인 관리자의 접근을 제한합니다.
이상적인 방법: 도메인 관리자 외에도 서버 관리자가 워크스테이션에 로그인하지 못하도록 제한하세요.
참고 항목
이 절차에서는 절대로 관리 작업만 수행하는 관리자의 워크스테이션이 포함된 OU에 계정을 연결하지 말고, 인터넷 또는 이메일 액세스를 제공하지 마세요.
워크스테이션에서 도메인 관리자를 제한하려면(최소)
도메인 관리자로서 그룹 정책 관리 콘솔(GPMC)을 엽니다.
그룹 정책 관리를 열고 <포리스트>\도메인\
<domain>을 확장합니다.그룹 정책 개체를 마우스 오른쪽 버튼으로 클릭한 다음 새로 만들기를 선택합니다.
새 GPO 창에서, 관리자가 워크스테이션에 로그인하는 것을 제한하는 GPO의 이름을 지정한 후, 확인을 선택하세요.
새 GPO를 마우스 오른쪽 버튼으로 클릭한 다음 편집을 선택합니다.
도메인 관리자의 로그인을 로컬에서 거부하도록 사용자 권한을 구성합니다.
컴퓨터 구성>을 선택하고,정책>을 선택한 후, Windows 설정>을 선택하고, 로컬 정책을 선택한 후, 사용자 권한 할당을 선택하고, 다음을 수행합니다:
a. 로컬 로그온 거부를 더블 클릭하고, 이 정책 설정 정의를 선택합니다. b. 사용자 또는 그룹 추가를 선택하고, 찾아보기를 선택한 후, Enterprise Admins를 입력한 다음, 확인. 을 선택합니다. 사용자 또는 그룹 추가를 선택하고, 찾아보기를 선택한 후, Domain Admins를 입력한 다음, 확인을 선택합니다.
팁
워크스테이션에 로그인하지 못하도록 제한하려는 서버 관리자가 포함된 그룹을 선택적으로 추가할 수 있습니다.
참고 항목
이 단계를 완료하면 예약된 작업으로 실행되는 관리자 작업이나 도메인 관리자 그룹의 계정으로 실행되는 서비스에서 문제가 발생할 수 있습니다. 도메인 관리자 계정을 사용하여 워크스테이션에서 서비스 및 작업을 실행하는 관행은 자격 증명 도용 공격의 상당한 위험을 초래하므로 예약된 작업이나 서비스를 실행하는 대체 수단으로 대체해야 합니다.
d. 확인을 선택하여 구성을 완료합니다.
GPO를 첫 번째 워크스테이션 OU에 연결하세요. <포리스트>\Domains
<domain>\OU 경로로 이동한 후, 다음을 수행하세요.a. 워크스테이션 OU를 마우스 오른쪽 단추로 클릭한 다음, 기존 GPO 연결을 선택합니다.
b. 방금 생성한 GPO를 선택한 후, 확인을 선택합니다.
첫 번째 OU의 워크스테이션에서 엔터프라이즈 애플리케이션의 기능을 테스트하고 새 정책으로 인해 발생하는 문제를 해결하세요.
워크스테이션을 포함하는 다른 모든 OU를 연결하세요.
그러나, 널대로 관리 작업 전용이며 인터넷이나 이메일 액세스가 없는 관리 워크 스테이션을 위한 관리 워크스테이션 OU에 링크를 생성하지 마세요.
Important
나중에 이 솔루션을 확장하는 경우에도, 절대로 Domain Users 그룹의 로그인 권한을 거부하지 마세요. 도메인 사용자 그룹에는 사용자, 도메인 관리자 및 엔터프라이즈 관리자를 포함하여 도메인의 모든 사용자 계정이 포함됩니다.
민감한 관리자 계정에 대한 계정 위임 권한 비활성화
사용자 계정은 기본적으로 위임용으로 표시되지 않지만 Active Directory 도메인의 계정은 위임용으로 할 수 있습니다. 즉, 위임을 위해 신뢰할 수 있는 서비스 또는 컴퓨터가 자신을 인증하는 계정을 사칭하여 네트워크의 다른 리소스에 액세스할 수 있습니다.
Active Directory의 관리자, 도메인 관리자 또는 엔터프라이즈 관리자 그룹의 구성원에 속한 계정과 같은 민감한 계정의 경우 위임은 권한 에스컬레이션의 상당한 위험을 초래할 수 있습니다. 예를 들어 도메인 관리자 그룹의 계정을 사용하여 위임이 신뢰된 손상된 멤버 서버에 로그인하는 경우 해당 서버는 도메인 관리자 계정의 컨텍스트에서 리소스에 대한 액세스를 요청하고 해당 멤버 서버의 손상을 도메인 손상으로 에스컬레이션할 수 있습니다.
Active Directory에서 모든 민감한 계정에 대해 사용자 객체를 구성할 때, 계정이 민감하며 위임할 수 없음 체크박스를 계정 옵션 아래에서 선택하여 계정이 위임되지 않도록 설정하는 것이 모범 사례 입니다. 자세한 내용은 Active Directory에서 기본 로컬 계정 설정을 참조하세요.
모든 구성 변경과 마찬가지로 이 활성화 설정을 구현하기 전에 올바르게 작동하는지 완전히 테스트하세요.
도메인 컨트롤러의 보안 및 관리
사용자 환경의 도메인 컨트롤러에 대한 제한을 엄격하게 적용하는 것이 가장 좋습니다. 이렇게 하면 도메인 컨트롤러가 다음을 수행합니다:
- 필요한 소프트웨어만 실행합니다.
- 소프트웨어를 정기적으로 업데이트해야 합니다.
- 적절한 보안 설정으로 구성되어 있습니다.
도메인 컨트롤러를 보호하고 관리하는 한 가지 측면은 기본 로컬 사용자 계정이 완전히 보호되도록 하는 것입니다. 이전 섹션에서 설명한 대로 중요한 모든 민감한 도메인 계정을 제한하고 보호하는 것이 가장 중요합니다.
도메인 컨트롤러는 도메인에 있는 모든 계정의 자격 증명 암호 해시를 저장하므로 악의적인 사용자에게는 매우 중요한 표적이 됩니다. 도메인 컨트롤러가 엄격하게 적용되는 제한을 사용하여 잘 관리되고 보안이 유지되지 않으면 악의적인 사용자가 도메인 컨트롤러를 손상시킬 수 있습니다. 예를 들어, 악의적인 사용자가 한 도메인 컨트롤러에서 중요한 도메인 관리자 자격 증명을 도용한 다음 이 자격 증명을 사용하여 도메인 및 포리스트를 공격할 수 있습니다.
또한 도메인 컨트롤러에 설치된 애플리케이션 및 관리 에이전트는 악의적인 사용자가 관리 서비스 또는 해당 서비스의 관리자를 손상시키는 데 사용할 수 있는 권한을 에스컬레이션하는 경로를 제공할 수 있습니다. 조직에서 도메인 컨트롤러 및 해당 관리자를 관리하는 데 사용하는 관리 도구 및 서비스도 도메인 컨트롤러 및 도메인 관리자 계정의 보안에도 똑같이 중요합니다. 이러한 서비스 및 관리자가 동일한 노력을 기울여 보안을 완벽하게 유지하도록 하세요.