Active Directory 공격에 대한 취약성 줄이기
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
이 섹션에서는 Active Directory 설치의 공격 표면을 줄이기 위해 구현할 기술 컨트롤에 중점을 둡니다. 섹션에는 다음 정보가 포함됩니다.
최소 권한 관리 모델 구현은 권한 있는 계정이 제공하는 위험을 줄이기 위해 구현할 권장 사항을 제공하는 것 외에도 일상적인 관리를 위해 높은 권한의 계정을 사용하는 경우 제공되는 위험을 식별하는 데 중점을 둡니다.
보안 관리 호스트 구현은 보안 관리 호스트 배포에 대한 몇 가지 샘플 접근 방식 외에도 전용 보안 관리 시스템을 배포하기 위한 원칙을 설명합니다.
공격에 대한 도메인 컨트롤러 보호는 보안 관리 호스트 구현의 권장 사항과 유사하지만 도메인 컨트롤러 및 이를 관리하는 데 사용되는 시스템이 잘 보호되도록 하는 데 도움이 되는 일부 도메인 컨트롤러 관련 권장 사항을 포함하는 정책과 설정을 설명합니다.
Active Directory의 권한 있는 계정 및 그룹
이 섹션에서는 Active Directory의 권한 있는 계정과 그룹 간의 공통점과 차이점을 설명하기 위한 Active Directory의 권한 있는 계정 및 그룹에 대한 배경 정보를 제공합니다. 이러한 차이점을 이해하면 최소 권한 관리 모델 구현에서 권장 사항을 그대로 구현하거나 조직에 맞게 사용자 지정하도록 선택할지 여부에 관계없이 각 그룹과 계정을 적절하게 보호하는 데 필요한 도구가 있습니다.
기본 제공 계정 및 그룹 권한
Active Directory는 관리 위임을 용이하게 하고 권한 및 사용 권한을 할당할 때 최소 권한 원칙을 지원합니다. 도메인에 계정이 있는 "일반" 사용자는 기본적으로 디렉터리에 저장된 대부분의 내용을 읽을 수 있지만 디렉터리의 매우 제한된 데이터 집합만 변경할 수 있습니다. 추가 권한이 필요한 사용자는 디렉터리에 제공 되는 다양한 "권한 있는" 그룹의 구성원 자격을 부여받아 역할에 관련된 특정 작업을 수행할 수 있으나, 업무와 관련없는 작업은 수행하지 못합니다. 또한 조직은 특정 작업 책임에 맞게 조정된 그룹을 만들 수 있으며 IT 직원이 해당 기능에 필요한 권한을 초과하는 권한과 권한을 부여하지 않고도 일상적인 관리 기능을 수행할 수 있도록 하는 세분화된 권한과 권한을 부여할 수 있습니다.
Active Directory에는 디렉터리에서 가장 높은 권한 그룹인 세 가지 기본 제공 그룹, 엔터프라이즈 관리자, 도메인 관리자 및 관리자가 있습니다. 이러한 각 그룹의 기본 구성 및 기능은 다음 섹션에 설명되어 있습니다.
Active Directory에서 가장 높은 권한 그룹
Enterprise Admins
EA(엔터프라이즈 관리자)는 포리스트 루트 도메인에만 존재하는 그룹이며, 기본적으로 포리스트의 모든 도메인에서 관리자 그룹의 구성원입니다. 포리스트 루트 도메인에 기본 제공 관리자 계정은 EA 그룹의 유일한 기본 멤버입니다. EA에는 도메인 추가 또는 제거, 포리스트 트러스트 설정 또는 포리스트 기능 수준 올리기 등의 포리스트 전체 변경(즉, 포리스트의 모든 도메인에 영향을 주는 변경)을 구현할 수 있는 권한과 사용 권한이 부여됩니다. 제대로 설계 및 구현 된 위임 모델에서는 먼저 포리스트를 구성 하는 경우에 또는 아웃 바운드 포리스트 트러스트를 구축 하는 등 특정 포리스트 차원의 변경을 수행할 때 EA 멤버 자격이 필요 합니다. EA 그룹에 부여된 대부분의 권한과 권한은 권한이 낮은 사용자 및 그룹에 위임할 수 있습니다.
Domain Admins
포리스트의 각 도메인에는 고유한 DA(도메인 관리자) 그룹이 있으며, 이 그룹은 해당 도메인의 관리자 그룹의 구성원이자 도메인에 가입된 모든 컴퓨터에서 로컬 관리자 그룹의 구성원입니다. 도메인에 대 한 DA 그룹의 유일한 기본 멤버는 해당 도메인에 대 한 기본 제공 관리자 계정입니다. DA는 도메인 내에서는 "가장 강력"하지만, EA는 포리스트 전체에서 모든 권한을 가집니다. 적절하게 디자인되고 구현된 위임 모델에서 도메인 관리자 구성원 자격은 "비상 시나리오"(예: 도메인의 모든 컴퓨터에서 높은 수준의 권한을 가진 계정이 필요한 상황)에서만 필요해야 합니다. 네이티브 Active Directory 위임 메커니즘은 긴급 시나리오에서만 DA 계정을 사용할 수 있는 범위 내에서 위임을 허용하지만 효과적인 위임 모델을 구성하는 데는 시간이 많이 걸릴 수 있으며 많은 조직에서 타사 도구를 활용하여 프로세스를 가속화합니다.
관리자
세 번째 그룹은 DA 및 EA가 중첩되는 기본 제공 도메인 BA(로컬 관리자) 그룹입니다. 이 그룹에는 디렉터리 및 도메인 컨트롤러에 대한 많은 직접 권한과 권한이 부여됩니다. 그러나 도메인의 관리자 그룹에는 구성원 서버 또는 워크스테이션에 대한 권한이 없습니다. 컴퓨터의 로컬 관리자 그룹의 멤버 자격을 통해 로컬 권한이 부여됩니다.
참고 항목
이러한 권한 있는 그룹의 기본 구성이지만 세 그룹 중 하나의 구성원은 디렉터리를 조작하여 다른 그룹의 구성원 자격을 얻을 수 있습니다. 어떤 경우에는 다른 그룹의 구성원 자격을 얻는 것이 사소한 반면 다른 경우에는 더 어렵지만 잠재적 권한의 관점에서 세 그룹 모두 실질적으로 동등한 것으로 간주되어야 합니다.
Schema Admins
네 번째 권한 있는 그룹인 SA(스키마 관리자)는 포리스트 루트 도메인에만 존재하며 엔터프라이즈 관리자 그룹과 마찬가지로 해당 도메인의 기본 제공 관리자 계정만 기본 구성원으로 있습니다. 스키마 관리자 그룹은 임시 및 가끔(AD DS 스키마 수정이 필요한 경우) 채워집니다.
SA 그룹은 Active Directory 스키마(즉, 개체 및 특성과 같은 디렉터리의 기본 데이터 구조)를 수정할 수 있는 유일한 그룹이지만 SA 그룹의 권한 및 권한 범위는 이전에 설명한 그룹보다 더 제한적입니다. 또한 그룹의 멤버 자격은 일반적으로 자주 필요하지 않으며 짧은 기간 동안만 필요하기 때문에 조직에서 SA 그룹의 멤버 자격을 관리하는 적절한 사례를 개발한 것이 일반적입니다. 이는 Active Directory의 EA, DA 및 BA 그룹에 대해서도 기술적으로는 사실이지만, 조직에서 SA 그룹과 마찬가지로 이러한 그룹에 대해 유사한 사례를 구현한 경우는 훨씬 덜 일반적입니다.
Active Directory의 보호된 계정 및 그룹
Active Directory 내에서 "보호된" 계정 및 그룹이라는 기본 권한 있는 계정 및 그룹 집합은 디렉터리의 다른 개체와 다르게 보호됩니다. 보호된 그룹에 직접 또는 전이적 멤버 자격이 있는 모든 계정(멤버 자격이 보안 또는 배포 그룹에서 파생되었는지 여부에 관계없이)은 이 제한된 보안을 상속합니다.
예를 들어 사용자가 Active Directory에서 보호된 그룹의 구성원인 메일 그룹의 구성원인 경우 해당 사용자 개체는 보호된 계정으로 플래그가 지정됩니다. 계정에 보호된 계정으로 플래그가 지정되면 개체의 adminCount 특성 값이 1로 설정됩니다.
참고 항목
보호된 그룹의 전이적 멤버 자격은 중첩된 배포 및 중첩된 보안 그룹을 포함하지만 중첩된 메일 그룹의 멤버인 계정은 액세스 토큰에서 보호된 그룹의 SID를 받지 않습니다. 그러나 메일 그룹을 Active Directory의 보안 그룹으로 변환할 수 있으므로 메일 그룹이 보호된 그룹 멤버 열거형에 포함됩니다. 보호된 중첩된 메일 그룹을 보안 그룹으로 변환하는 경우 이전 메일 그룹의 구성원인 계정은 이후에 다음 로그온 시 액세스 토큰에서 부모 보호된 그룹의 SID를 받게 됩니다.
다음 표에서는 운영 체제 버전 및 서비스 팩 수준에 따라 Active Directory의 기본 보호된 계정 및 그룹을 나열합니다.
운영 체제 및 SP(서비스 팩) 버전별 Active Directory의 기본 보호된 계정 및 그룹
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 -Windows Server 2012 |
|---|---|---|---|
| 관리자 | Account Operators | Account Operators | Account Operators |
| 관리자 | 관리자 | 관리자 | |
| 관리자 | 관리자 | 관리자 | |
| Domain Admins | Backup Operators | Backup Operators | Backup Operators |
| Cert Publishers | |||
| Domain Admins | Domain Admins | Domain Admins | |
| Enterprise Admins | 도메인 컨트롤러 하나 이상 | 도메인 컨트롤러 하나 이상 | 도메인 컨트롤러 하나 이상 |
| Enterprise Admins | Enterprise Admins | Enterprise Admins | |
| krbtgt | krbtgt | krbtgt | |
| Print Operators | Print Operators | Print Operators | |
| Read-only Domain Controllers | |||
| Replicator | Replicator | Replicator | |
| Schema Admins | Schema Admins | Schema Admins |
AdminSDHolder 및 SDProp
모든 Active Directory 도메인의 시스템 컨테이너에서 AdminSDHolder라는 개체가 자동으로 만들어집니다. AdminSDHolder 개체의 목적은 보호된 그룹 및 계정이 도메인에 있는 위치에 관계없이 보호된 계정 및 그룹에 대한 사용 권한이 일관되게 적용되도록 하는 것입니다.
기본적으로 60분마다 SDProp(보안 설명자 전파자)라는 프로세스가 도메인의 PDC 에뮬레이터 역할을 보유하는 도메인 컨트롤러에서 실행됩니다. SDProp은 도메인의 AdminSDHolder 개체에 대한 사용 권한을 도메인의 보호된 계정 및 그룹에 대한 사용 권한과 비교합니다. 보호된 계정 및 그룹에 대한 사용 권한이 AdminSDHolder 개체에 대한 사용 권한과 일치하지 않으면 보호된 계정 및 그룹에 대한 사용 권한이 도메인의 AdminSDHolder 개체와 일치하도록 다시 설정됩니다.
보호된 그룹 및 계정에서 사용 권한 상속을 사용할 수 없습니다. 즉, 계정 또는 그룹이 디렉터리의 다른 위치로 이동하더라도 새 부모 개체에서 사용 권한을 상속하지 않습니다. 부모 개체에 대한 사용 권한 변경이 AdminSDHolder의 사용 권한을 변경하지 않도록 AdminSDHolder 개체에서도 상속을 사용할 수 없습니다.
참고 항목
보호된 그룹에서 계정이 제거되면 더 이상 보호된 계정으로 간주되지 않지만 수동으로 변경되지 않은 경우 해당 adminCount 특성은 1로 설정됩니다. 이 구성의 결과는 개체의 ACL이 더 이상 SDProp에 의해 업데이트되지 않지만 개체가 부모 개체에서 사용 권한을 상속하지 않는다는 것입니다. 따라서 개체는 사용 권한이 위임된 OU(조직 구성 단위)에 있을 수 있지만 이전에 보호된 개체는 이러한 위임된 권한을 상속하지 않습니다. 도메인에서 이전에 보호된 개체를 찾아서 다시 설정하는 스크립트는 Microsoft 지원 문서 817433에서 찾을 수 있습니다.
AdminSDHolder 소유권
Active Directory의 대부분의 개체는 도메인의 BA 그룹이 소유합니다. 그러나 AdminSDHolder 개체는 기본적으로 도메인의 DA 그룹이 소유합니다. (이것은 DA가 도메인에 대한 Administrators 그룹의 멤버 자격을 통해 권한과 권한을 파생시키지 않는 상황입니다.)
Windows Server 2008 이전 버전의 Windows에서는 개체 소유자가 원래 가지고 있지 않은 사용 권한을 부여하는 등 개체의 사용 권한을 변경할 수 있습니다. 따라서 도메인의 AdminSDHolder 개체에 대한 기본 권한은 BA 또는 EA 그룹의 구성원인 사용자가 도메인의 AdminSDHolder 개체에 대한 사용 권한을 변경하지 못하도록 합니다. 그러나 도메인에 대한 Administrators 그룹의 구성원은 개체의 소유권을 가져와서 추가 권한을 부여할 수 있습니다. 즉, 이 보호는 초보이며 도메인의 DA 그룹 구성원이 아닌 사용자가 실수로 수정하지 않도록 개체를 보호합니다. 또한 BA 및 EA(해당하는 경우) 그룹은 로컬 도메인(EA의 루트 도메인)에서 AdminSDHolder 개체의 특성을 변경할 수 있는 권한이 있습니다.
참고 항목
AdminSDHolder 개체의 특성인 dSHeuristics는 보호된 그룹으로 간주되고 AdminSDHolder 및 SDProp의 영향을 받는 그룹의 제한된 사용자 지정(제거)을 허용합니다. AdminSDHolder에서 dSHeuristics를 수정하는 것이 유용한 유효한 상황이 있지만 구현된 경우 이 사용자 지정을 신중하게 고려해야 합니다. AdminSDHolder 개체의 dSHeuristics 특성 수정에 대한 자세한 내용은 Microsoft 지원 문서 817433 및 부록 C: Active Directory의 보호된 계정 및 그룹에서 확인할 수 있습니다.
Active Directory에서 가장 권한 있는 그룹이 여기에 설명되어 있지만 상승된 권한 수준을 부여받은 다른 그룹이 많이 있습니다. Active Directory의 모든 기본 및 기본 제공 그룹 및 각각에 할당된 사용자 권한에 대한 자세한 내용은 부록 B: Active Directory의 권한 있는 계정 및 그룹을 참조하세요.