보호된 사용자 보안 그룹
보호된 사용자는 자격 증명 도난 공격으로부터 보호하도록 설계된 Active Directory(AD)에 대한 글로벌 보안 그룹입니다. 그룹은 그룹 구성원이 로그인할 때 자격 증명이 캐시되지 않도록 디바이스 및 호스트 컴퓨터에서 구성할 수 없는 보호를 트리거합니다.
필수 조건
보호된 사용자 그룹을 배포하려면 먼저 시스템에서 다음 필수 조건을 충족해야 합니다.
호스트에서 다음 운영 체제 중 하나를 실행해야 합니다.
- Windows 8.1 이상
- 최신 보안 업데이트가 설치된 Windows Server 2012 R2 이상
도메인 기능 수준이 Windows Server 2012 R2 이상 버전 기능 수준에 대한 자세한 내용은 포리스트 및 도메인 기능 수준을 참조하세요.
참고 항목
기본 제공 도메인 관리자(S-1-5-<domain>-500)는 인증 정책 사일로에 할당된 경우에도 항상 인증 정책에서 제외됩니다. 자세한 내용은 How to Configure Protected Accounts를 참조하세요.
- 보호된 사용자 전역 보안 그룹 구성원 자격은 구성원이 Kerberos에 고급 암호화 표준(AES)만 사용하도록 제한합니다. 보호된 사용자 그룹의 구성원은 AES를 사용하여 인증할 수 있어야 합니다.
Active Directory에서 적용되는 보호
보호된 사용자 그룹의 구성원이 된다는 것은 AD가 그룹 구성원 상태를 중단하지 않는 한 사용자가 변경할 수 없는 미리 구성된 특정 제어를 자동으로 적용한다는 것을 의미합니다.
로그인한 보호된 사용자에 대한 디바이스 보호
로그인한 사용자가 보호된 사용자 그룹의 구성원인 경우 그룹은 다음과 같은 보호를 제공합니다.
자격 증명 위임(CredSSP)은 사용자가 기본 자격 증명 위임 허용 그룹 정책 설정을 활성화한 경우에도 사용자의 일반 텍스트 자격 증명을 캐시하지 않습니다.
Windows 8.1 이상 및 Windows Server 2012 R2 이상의 경우 Windows Digest는 Windows Digest를 활성화한 경우에도 사용자의 일반 텍스트 자격 증명을 캐시하지 않습니다.
NTLM은 사용자의 일반 텍스트 자격 증명 또는 NT 단방향 함수(NTOWF) 캐시를 중지합니다.
Kerberos는 데이터 암호화 표준(DES) 또는 RC4 키 만들기를 중지합니다. 또한 Kerberos는 초기 티켓 부여 티켓(TGT)을 획득한 후 사용자의 일반 텍스트 자격 증명 또는 장기 키를 캐시하지 않습니다.
시스템은 사용자 로그인 또는 잠금 해제 시 캐시된 검증 도구를 만들지 않으므로 구성원 시스템은 더 이상 오프라인 로그인을 지원하지 않습니다.
보호된 사용자 그룹에 새 사용자 계정을 추가하면 새 보호된 사용자가 디바이스에 로그인할 때 이러한 보호가 활성화됩니다.
보호된 사용자에 대한 도메인 컨트롤러 보호
Windows Server 2012 R2 이상을 실행하는 도메인에 인증하는 보호된 사용자 계정은 다음을 수행할 수 없습니다.
NTLM 인증을 통한 인증
Kerberos 사전 인증에서 DES 또는 RC4 암호화 종류 사용
제한 없는 위임 또는 제한된 위임을 사용한 위임
초기 4시간의 수명이 지난 후 Kerberos 갱신
보호된 사용자 그룹은 모든 구성원 계정의 TGT 만료에 구성할 수 없는 설정을 적용합니다. 일반적으로 도메인 컨트롤러는 다음 두 도메인 정책에 따라 TGT 수명 및 갱신을 설정합니다.
- 사용자 티켓 최대 수명
- 사용자 티켓 갱신 최대 수명
보호된 사용자 구성원의 경우 그룹은 이러한 수명 제한을 600분으로 자동으로 설정합니다. 사용자가 그룹을 나가지 않으면 이 제한을 변경할 수 없습니다.
보호된 사용자 그룹의 작동 방식
다음 방법을 사용하여 보호된 사용자 그룹에 사용자를 추가할 수 있습니다.
- Active Directory 관리 센터(ADAC) 또는 Active Directory 사용자 및 컴퓨터와 같은 UI 도구
- PowerShell과 같은 명령줄 도구
- PowerShell에서는 Add-ADGroupMember cmdlet를 사용
Important
서비스 및 컴퓨터에 대한 계정을 보호된 사용자 그룹에 추가하지 마십시오. 이러한 계정의 경우 암호와 인증서가 호스트에서 항상 사용 가능하므로 구성원 자격은 로컬 보호 기능을 제공하지 않습니다.
Enterprise Admins 또는 Domain Admins 그룹과 같이 권한이 높은 그룹의 구성원인 계정의 경우, 해당 계정 추가 시 부정적인 결과가 발생하지 않음을 보장할 수 있게 되기 전에는 계정을 추가하지 마십시오. 보호된 사용자의 권한이 높은 사용자는 일반 사용자와 동일한 제한 및 제약 사항이 적용되며 이러한 설정을 해결하거나 변경할 수 없습니다. 해당 그룹의 모든 구성원을 보호된 사용자 그룹에 추가하는 경우 실수로 해당 계정을 잠글 수 있습니다. 시스템을 테스트하여 필수 설정 변경이 이러한 권한 있는 사용자 그룹에 대한 계정 액세스를 방해하지 않는지 확인하는 것이 중요합니다.
보호된 사용자 그룹의 구성원은 고급 암호화 표준(AES)이 적용된 Kerberos를 사용하여 인증하는 것만 가능합니다. 이 방법에는 Active Directory의 계정에 대한 AES 키가 필요합니다. 기본 제공 관리자에는 Windows Server 2008 이상을 실행하는 도메인의 암호가 변경되지 않는 한 AES 키가 없습니다. 이전 버전의 Windows Server를 실행하는 도메인 컨트롤러에서 암호를 변경한 계정은 인증이 잠깁니다.
잠금 및 누락된 AES 키를 방지하려면 다음 지침을 따르는 것이 좋습니다.
모든 도메인 컨트롤러가 Windows Server 2008 이상을 실행하지 않는 한 도메인에서 테스트를 실행하지 않습니다.
다른 도메인에서 계정을 마이그레이션한 경우 계정에 AES 해시가 있도록 암호를 다시 설정해야 합니다. 그렇지 않으면 이러한 계정을 인증할 수 있게 됩니다.
사용자는 Windows Server 2008 이상의 도메인 기능 수준으로 전환한 후 암호를 변경해야 합니다. 이렇게 하면 보호된 사용자 그룹의 구성원이 되었을 때 AES 암호 해시가 보장됩니다.
하위 수준 도메인에 보호된 사용자 전역 보안 그룹 추가
Windows Server 2012 R2 이전 운영 체제를 실행하는 도메인 컨트롤러는 새로운 보호된 사용자 보안 그룹에 구성원을 추가할 수 있습니다. 이러한 방식으로 이러한 구성원은 도메인을 업그레이드하기 전에 디바이스 보호를 활용할 수 있습니다.
참고 항목
이전 버전의 Windows Server 2012 R2를 실행하는 도메인 컨트롤러는 도메인 보호를 지원하지 않습니다.
이전 버전의 Windows Server를 실행하는 도메인 컨트롤러에서 보호된 사용자 그룹을 만들려면 다음을 수행합니다.
PDC 에뮬레이터 역할을 Windows Server 2012 R2를 실행하는 도메인 컨트롤러로 전송합니다.
그룹 개체를 다른 도메인 컨트롤러에 복제합니다.
그런 다음 사용자는 도메인을 업그레이드하기 전에 디바이스 보호를 활용할 수 있습니다.
보호된 사용자 그룹 AD 속성
다음 표에는 보호된 사용자 그룹의 Active Directory 속성이 나와 있습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-525 |
| Type | 도메인 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| ADMINSDHOLDER에 의해 보호됨? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 기본 사용자 권한 없음 |
이벤트 로그
보호된 사용자와 관련된 이벤트 문제를 해결하는 데 도움이 되는 두 가지 작업 관리 로그가 있습니다. 이러한 새 로그는 이벤트 뷰어에 위치하고 기본적으로 비활성화되어 있으며 Applications and Services Logs\Microsoft\Windows\Authentication 아래에 위치합니다.
이러한 로그를 캡처하도록 설정하는 방법은 다음과 같습니다.
마우스 오른쪽 버튼으로 시작을 클릭하고 이벤트 뷰어를 선택합니다.
Applications and Services Logs\Microsoft\Windows\Authentication을 엽니다.
사용하도록 설정할 각 로그에 대해 로그 이름을 마우스 오른쪽 단추로 클릭한 다음 로그 활성화를 선택합니다.
| 이벤트 ID 및 로그 | 설명 |
|---|---|
| 104 ProtectedUser-Client |
이유: 클라이언트의 보안 패키지에 자격 증명이 없습니다. 이 오류는 계정이 보호된 사용자 보안 그룹의 구성원인 경우 클라이언트 컴퓨터에 기록됩니다. 이 이벤트는 보안 패키지가 서버의 인증을 받는 데 필요한 자격 증명을 캐시하지 않음을 나타냅니다. 패키지 이름, 사용자 이름, 도메인 이름 및 서버 이름을 표시합니다. |
| 304 ProtectedUser-Client |
이유: 보안 패키지가 보호된 사용자의 자격 증명을 저장하지 않습니다. 보안 패키지가 사용자의 로그인 자격 증명을 캐시하지 않음을 나타내는 정보 이벤트가 클라이언트에 기록됩니다. 다이제스트(WDigest), 자격 증명 위임(CredSSP) 및 NTLM은 보호된 사용자에 대한 로그온 자격 증명을 유지하지 못합니다. 자격 증명을 묻는 메시지가 나타나는 경우에도 애플리케이션을 실행할 수 있습니다. 패키지 이름, 사용자 이름 및 도메인 이름을 표시합니다. |
| 100 ProtectedUserFailures-DomainController |
이유: 보호된 사용자 보안 그룹에 속한 계정에서 NTLM 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 구성원이기 때문에 NTLM 인증에 실패했음을 나타내는 오류가 도메인 컨트롤러에 기록됩니다. 계정 이름 및 디바이스 이름을 표시합니다. |
| 104 ProtectedUserFailures-DomainController |
이유: DES 또는 RC4 암호화 종류는 Kerberos 인증에 사용되므로 보호된 사용자 보안 그룹의 사용자에 대해서는 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 구성원인 경우에는 DES 또는 RC4 암호화 종류를 사용할 수 없으므로 Kerberos 사전 인증에 실패했습니다. (AES는 허용됩니다.) |
| 303 ProtectedUserSuccesses-DomainController |
이유: 보호된 사용자 그룹의 구성원에게 Kerberos TGT(허용 티켓)가 성공적으로 발급되었습니다. |