북마크에 있음
연락처사이트 정보

시스템 관리자가 저장된 자격 증명을 사용하여 로그인하는 것을 금지했습니다. 관리자 계정 제어

오늘날 네트워크에는 수백, 수천 개의 관리자 계정이 있습니다. 이 모든 계좌를 통제 할 수 있습니까? 그리고 그 계좌가 할 수있는 것을 알고 계십니까?

관리자 계정을 제어해야하는 이유는 무엇입니까?

관리자 인 경우 windows network그런 다수가 있다면 기업의 Active Directory 엔터프라이즈에주의를 기울여야합니다. 도메인 컨트롤러, 서버, 서비스, 응용 프로그램 및 인터넷 연결에 대한 이러한 모든 우려로 인해 관리자 계정이 제대로 제어되도록 할 시간이 거의 없습니다.

이러한 계정을 관리해야하는 이유는 매우 다양합니다. 첫째, 이러한 계정 중 수천 또는 대형은 잠재적으로 대기업 또는 중간 규모 네트워크에 존재할 수 있으므로 이러한 계정이 통제에서 벗어날 가능성이 큽니다. 둘째, 대부분의 회사는 일반 사용자가 계정   문제를 일으킬 수있는 로컬 관리자 셋째, 원래 관리자 계정은주의해서 처리해야하므로 권한 제한은 훌륭한 사전 예방 조치입니다.

몇 명의 관리자 계정이 있습니까?

이 질문에 답하기 위해 몇 가지 계산을해야합니다 (Jethro Bodine이 말한 것처럼). 이후 모든 Windows 컴퓨터에 로컬 관리자 계정이 있으면 여기부터 시작합니다. 이 컴퓨터에는 Windows NT, 2000, XP 및 Vista가 포함됩니다. 관리자, 개발자, 직원이 사용하고 심지어 서버 룸이나 응용 프로그램 장치에있는 모든 클라이언트 컴퓨터를 켜십시오. 키오스크, 테스트 컴퓨터, 중앙 집중식 워크 스테이션 등이있는 경우 계산에 모두 포함시켜야합니다. 아직 사용자 계정을 읽을 필요가 없습니다. 왜냐하면 장치 수는 사용자 수와 일치하지 않을 수 있습니다.

이제 가지고있는 서버의 수를 고려해야합니다. 이 목록에 도메인 컨트롤러를 포함 할 필요는 없습니다. 모든 서버 중에서 데이터 저장소, 인쇄 서버, 응용 프로그램 서버, 메일 서버, 사무실 서버 등의 작업을 수행하는 서버를 선택해야합니다. 각 서버에는 로컬 SAM이 있으므로 로컬 관리자 계정이 있습니다. 이 계정은 자주 사용되지 않을 수도 있지만 권한이 제어되어야하는 이유가 더 중요 할 수 있습니다.

마지막으로 도메인 컨트롤러를 고려해야합니다. 여기에는 Active Directory를 제어하는 ​​계정 인 매우 중요한 관리자 계정이 있습니다. 이 관리자 계정은 Active Directory를 제어 할뿐만 아니라 회사 관리자 계정뿐만 아니라 루트 도메인도 제어합니다. 두 개 이상의 도메인이있는 경우 각 도메인에 대해 하나의 관리자 계정이 있어야합니다. 해당 관리자 계정은 해당 관리자 계정이 위치한 도메인에서만 유효하지만 여전히 매우 중요한 계정입니다.

참가 제한

이러한 관리자 계정에 대한 로그인 권한을 물리적으로 제한 할 수있는 방법은 많지 않습니다. 그러나 이러한 계정은 매일 사용하면 안됩니다. 따라서 사용을 제한하기 위해 몇 가지 조치를 취할 필요가 있습니다. 분명한 선택은이 계정의 암호를 아는 사용자 수를 제한하는 것입니다. Active Directory와 관련된 관리자 계정의 경우 사용자가 전체 암호를 모르는 경우 암호를 할당하는 프로세스를 개발하는 것이 좋습니다. 두 명의 다른 관리자가 암호의 일부를 입력 한 다음이 부분을 문서화하면 쉽게 수행 할 수 있습니다. 이 계정이 필요한 경우 암호의 두 부분을 모두 가져와야합니다. 또 다른 옵션은 프로그램을 사용하여 복잡한 암호를 생성 할 수있는 암호를 자동으로 생성하는 것입니다.

로컬 관리자 계정에 대한 액세스 제한

일반 사용자가 워크 스테이션에 액세스 할 수 있는지 여부에 관계없이 로컬 관리자 계정에 대한 액세스를 제한해야합니다. 이 작업을 수행하는 두 가지 쉬운 방법은 로컬 관리자 계정의 이름을 변경하고 암호를 자주 변경하는 것입니다. 이러한 각 설정에 대한 그룹 정책 개체가 있습니다. 첫 번째 매개 변수는 그림 1과 같이 컴퓨터 구성 | Windows 설정 | 보안 설정 | 로컬 정책 | 보안 옵션에 있습니다. 구성해야하는 정책을 계정 : 관리자 계정 이름 바꾸기라고합니다.

그림 1 : 로컬 관리자 계정 이름 변경 정책

구성해야하는 두 번째 정책은 2007 년에 나타날 새로운 정책 설정 모음 (정책 설정 집합)의 일부입니다.이 정책은 PolicyMaker 제품군 패키지의 일부로, 컴퓨터 구성 | Windows | 제어판 | 로컬 사용자 및 그룹으로 구성됩니다 (그림 2 참조).

그림 2 : 로컬 Administrator 계정 관리자 계정의 암호 재설정 정책

참고 :이 정책은 일반 사용자가이 계정을 지속적으로 모니터링하는 것을 금지하지 않습니다. 이 작업을 수행하는 유일한 방법은 일반 사용자   관리자 그룹의

네트워크 액세스 제한

모두가 아는 것처럼 (그러나 모든 사람이 기억하는 것은 아님) 관리자 계정은 매일 사용해서는 안됩니다. 따라서이 계정으로 네트워크에 액세스 할 수 있도록 네트워크를 구성 할 필요가 없습니다. 하나 좋은 길   이 계정에 대한 권한을 제한하려면 네트워크상의 서버 및 도메인 컨트롤러에 대한 관리자 계정 액세스를 거부해야합니다. 이 작업은 GPO 구성을 통해 쉽게 수행 할 수 있습니다. 이 GPO 설정은 그림 3과 같이 컴퓨터 구성 | Windows 설정 | 보안 설정 | 로컬 정책 | 사용자 권한 할당에 있습니다. 구성해야하는 정책은 네트워크에서이 컴퓨터에 대한 액세스 거부라고합니다. .

그림 3 : 관리자가 네트워크에서 컴퓨터에 액세스하는 것을 방지하는 정책

기타 설정

또한 회사 내의 관리자 계정에 대한 액세스를 제한 할 수 있습니다. 액세스를 제한 할 수있는 다른 예는 다음과 같습니다.

  • 관리자 계정을 서비스 계정으로 사용하지 마십시오.
  • 서버 및 도메인 컨트롤러에서 터미널 서비스에 대한 액세스 거부
  • 관리자가 서버 및 도메인 컨트롤러에 서비스로 로그인하지 못하도록 방지
  • 일괄 작업으로 관리자 계정 로그인 사용 중지

이 설정은 관리자 계정이 네트워크상의 컴퓨터에 미치는 영향을 제한합니다. 이 설정으로 관리자 권한이있는 사용자가이 액세스를 구성 할 수 있습니다. 이 경우 감사를 구성하여 관리자 계정을 구성하고 해당 계정이 로그인 및 사용자 권한 사용에 사용 된시기를 확인해야합니다. 다시 말하지만 이러한 설정은 GPO를 사용하여 수행 할 수 있습니다. 그림 4와 같이 컴퓨터 설정 | Windows 설정 | 보안 설정 | 로컬 정책 | 감사 정책에서 이러한 설정을 찾을 수 있습니다.


그림 4 : 계정 관리 및 사용을위한 감사 설정 정책

요약

관리자 계정은 Windows 운영 체제의 세계에 존재하는 가장 중요한 계정입니다. 이 계정은 너무 강력하여 응급 복구 또는 초기 설정과 같은 실제 필요가 발생할 때까지 사용해서는 안됩니다. 이 계정의 영향 범위를 제한하기 위해 다음을 수행 할 수 있습니다. 고급 설정   귀하의 계정을 보호하고 액세스하십시오. 그룹 정책은 관리자 권한을 제한해야하는 모든 컴퓨터에 이러한 축소 된 권한을 배포하는 데 사용되는 메커니즘입니다. 이러한 설정을 한 후에는 관리자 계정 만 모니터링 할뿐만 아니라이 계정으로 네트워크 해킹 시도를 탐지 할 수도 있습니다.

로컬 보안 정책에 대한 이전 기사에서 계정 정책 및 감사 정책의 원칙에 대해 배웠습니다. 습득 한 지식을 소유함으로써 사용자의 자격 증명을 보호하고 무단 액세스 시도를 추적 할 수 있습니다. 사용자가 보안에 대한 충분한 지식 기반을 갖고 있지 않으며 일반 사용자조차도 시스템과 인트라넷의 컴퓨터를 손상시킬 수있는 충분한 권한을 가질 수 있다는 점을 감안할 때 가치가 있습니다. 이러한 문제를 피하는 것이 도움이됩니다. 지역 정책 실제로,이 기사에서 논의 될 사용자 권리의 보안. 사용자 권한 할당 정책을 사용하면 어떤 사용자 또는 그룹의 사용자에게 다양한 권한과 권한이 부여되는지 확인할 수 있습니다. 이러한 정책을 사용하면 사용자가 수행하지 않아도되는 작업을 수행한다는 사실에 대해 걱정할 필요가 없습니다. 권한 할당을 위해 44 가지 보안 정책을 사용할 수 있으며, 그 적용 방법은 나중에 논의 될 것입니다.

사용자 권한 할당 정책

위에서 언급 한 것처럼 사용자 권한 할당을위한 44 가지 보안 정책이 있습니다. 그런 다음 조직의 사용자 나 그룹에 다양한 권한을 할당하는 18 가지 보안 정책을 숙지 할 수 있습니다.

  1. 파일 및 디렉토리 보관. 이 정책을 사용하여 파일, 디렉토리, 레지스트리 키 및 아카이브 될 다른 오브젝트에 대한 백업 조작을 수행 할 사용자 또는 그룹을 지정할 수 있습니다. 이 정책   다음 사용 권한에 대한 액세스 권한을 제공합니다.
    • 폴더 찾아보기 / 파일 실행
    • 폴더 내용 / 데이터 읽기
    • 속성 읽기
    • 확장 속성 읽기
    • 읽기 권한

    2. 워크 스테이션 및 서버에서 이러한 권한은 그룹에 부여됩니다. "관리자"   및 "백업 운영자", 도메인 컨트롤러에서 - "백업 운영자"   및 "서버 운영자".

  2. 메모리에서 페이지 잠그기. 이 보안 정책을 사용하면 프로세스를 사용하여 실제 메모리에 데이터를 저장하도록 허용 된 특정 사용자 또는 그룹을 지정하여 데이터가 디스크의 가상 메모리로 덤프되지 않도록 할 수 있습니다. 기본적으로 워크 스테이션과 서버에는 모두 이에 대한 허가가 없습니다.
  3. 파일 및 디렉토리 복구. 이 정책을 사용하면 파일, 아카이브 파일 버전에있는 잠금 파일, 디렉토리, 레지스트리 키 및 기타 오브젝트를 건너 뛰고 파일 및 디렉토리를 복원 할 수있는 사용자 및 그룹을 지정할 수 있습니다. 워크 스테이션 및 서버에서는 이러한 권한이 그룹에 부여됩니다 "관리자"   및 "백업 운영자", 도메인 컨트롤러에서 - "백업 운영자"   및 "서버 운영자".
  4. 일괄 작업으로 로그인. 작업 스케줄러를 사용하여 작업을 만들 때 운영 체제는 사용자를 일괄 로그인 한 사용자로 시스템에 등록합니다. 이 정책을 사용하면 그룹이나 특정 사용자가이 방법으로 로그인 할 수 있습니다. 기본적으로 워크 스테이션과 도메인 컨트롤러에서 이러한 권한은 그룹에 부여됩니다 "관리자"   및 "백업 운영자".
  5. 서비스로 로그인. 일부 시스템 서비스가 로그인합니다. 운영 체제   다른 계좌로 예를 들어, 서비스 "Windows 오디오"   계정으로 운영된다. "지역 서비스"서비스 전화 통신   계정을 사용합니다. "네트워크 서비스". 이 보안 정책은 프로세스를 서비스로 등록 할 수있는 서비스 계정을 결정하며 기본적으로 워크 스테이션과 서버 모두이 그룹에 대한 사용 권한을 가지고 있지 않습니다.
  6. 볼륨 유지 관리 작업 수행. 이 정책을 사용하여 구성원이 볼륨을 유지 보수하도록 설계된 조작을 수행 할 수있는 사용자 또는 그룹을 지정할 수 있습니다. 이러한 권한을 가진 사용자는 추가 파일을 열어 요청한 데이터를 읽고 변경할 수있는 권한이 있으며, 디스크를 찾아보고 다른 데이터가 차지하는 메모리에 파일을 추가 할 수도 있습니다. 기본적으로 워크 스테이션 및 도메인 컨트롤러의 관리자 만 이러한 권한을가집니다.
  7. 도메인에 워크 스테이션 추가. 이 정책은 사용자 나 그룹이 Active Directory 도메인에 컴퓨터를 추가하도록 허용합니다. 이러한 권한을 가진 사용자는 최대 10 대의 컴퓨터를 도메인에 추가 할 수 있습니다. 기본적으로 도메인 컨트롤러의 모든 인증 된 사용자는 최대 10 대의 컴퓨터를 추가 할 수 있습니다.
  8. 신뢰할 수있는 발신자 대신 자격증 관리자에 액세스합니다.. Credential Manager는 네트워크상의 웹 사이트 또는 다른 컴퓨터에 로그온하는 데 사용되는 사용자 이름 및 암호와 같은 자격 증명을 저장하는 구성 요소입니다. 이 정책은 백업 및 복구 중에 신임 관리자가 사용하며 사용자에게 제공하는 것은 좋지 않습니다 기본적으로 워크 스테이션과 서버는 모두이 그룹에 대한 사용 권한이 없습니다.
  9. 네트워크에서 컴퓨터 액세스. 이 보안 정책은 지정된 사용자 나 그룹이 네트워크를 통해 컴퓨터에 연결할 수있게하는 역할을 담당합니다. 워크 스테이션과 서버에서는 이러한 권한이 그룹에 부여됩니다 "관리자"   및 "백업 운영자", "사용자"   및 "모두". 도메인 컨트롤러 - "관리자", "확인 된 사용자", "엔터프라이즈 도메인 컨트롤러"   및 "모두".
  10. 시스템 종료. 이 정책 설정을 사용하면 명령 사용 권한이있는 사용자 목록을 만들 수 있습니다 "일의 완수"   로그인 성공 후 워크 스테이션 및 서버에서 이러한 권한은 그룹에 부여됩니다. "관리자", "백업 운영자"   및 "사용자"   (워크 스테이션에서만) 및 도메인 컨트롤러에서 - "관리자", "백업 운영자", "서버 운영자"   및 "인쇄 운영자".
  11. 장치 드라이버로드 및 언로드. 현재 정책을 사용하면 커널 모드에서 장치 드라이버를 동적으로로드 및 언로드 할 수있는 권한을 부여받는 사용자를 지정할 수 있으며이 정책은 PnP 장치에는 적용되지 않습니다. 워크 스테이션 및 서버에서는 이러한 권한이 그룹에 부여됩니다 "관리자", 도메인 컨트롤러에서 - "관리자"   및 "인쇄 운영자".
  12. 프로세스 수준 마커 대체. 이 보안 정책을 사용하여 사용자 또는 그룹이 CreateProcessAsUser API 함수를 사용하지 못하도록 제한하여 한 서비스에서 다른 함수, 프로세스 또는 서비스를 시작할 수 있습니다. 이러한 응용 프로그램은 다음과 같은 사실에주의를 기울일 필요가 있습니다. "작업 스케줄러"   작업은 이러한 권한을 사용합니다. 기본적으로 워크 스테이션과 도메인 컨트롤러에서 이러한 권한은 계정에 부여됩니다 "네트워크 서비스"   및 "지역 서비스".
  13. 원격 데스크톱을 통해 시스템에 로그온 거부. 이 보안 정책을 사용하면 사용자 또는 그룹이 원격 데스크톱 클라이언트로 로그인하는 것을 제한 할 수 있습니다. 기본적으로 워크 스테이션과 서버 모두에서 모든 사람이 원격 데스크톱 클라이언트로 로그온 할 수 있습니다.
  14. 로컬 로그인 거부. 이 정책은 개별 사용자 또는 그룹이 시스템에 로그온하지 못하게합니다. 기본적으로 모든 사용자는 로그온 할 수 있습니다.
  15. 객체 레이블 변경. 이 권한 할당 정책 덕분에 지정된 사용자 나 그룹이 파일, 레지스트리 키 또는 프로세스와 같은 다른 사용자의 개체의 무결성 태그를 변경할 수 있습니다 기본적으로 아무도 개체 레이블을 변경할 수 없습니다.
  16. 제조업체 환경 변경. 이 보안 정책을 사용하여 하드웨어 환경의 변수를 읽을 수있는 사용자 또는 그룹을 지정할 수 있습니다. 하드웨어 환경 변수는 아키텍처가 x86과 다른 컴퓨터의 비 휘발성 메모리에 저장된 매개 변수로 워크 스테이션과 도메인 컨트롤러에서는 기본적으로 그룹에 부여됩니다 "관리자".
  17. 시스템 시간 변경. 이 정책은 시스템 시간을 변경하는 책임이 있습니다. 제공함으로써 주어진 권리   사용자 나 그룹에게 내부 시계의 날짜와 시간을 변경시키는 것 외에도 스냅 샷으로 모니터링되는 이벤트의 해당 시간을 변경할 수 있습니다 "이벤트 뷰어"워크 스테이션 및 서버에서 이러한 권한은 그룹에 부여됩니다. "관리자"   및 "지역 서비스", 도메인 컨트롤러에서 - "관리자", "서버 운영자"   및 "지역 서비스".
  18. 시간대 변경. 현재 보안 정책을 사용하면 컴퓨터의 시스템 표준 시간대와 표준 시간대 오프셋의 합계 인 로컬 시간을 표시하도록 컴퓨터의 표준 시간대를 변경할 수있는 사용자 또는 그룹을 지정할 수 있습니다. 기본적으로 워크 스테이션 및 도메인 컨트롤러에서 이러한 권한은 그룹에 부여됩니다 "관리자"   및 "사용자".

사용자 권한 정책 할당 적용

이 예에서는 도메인 컨트롤러에서 조직의 그룹 중 하나에 권한을 할당하는 방법을 설명합니다. 다음을 수행하십시오.



결론

이 기사에서는 보안 정책을 계속 연구 했으므로 사용자 권한 할당 정책에 대해 배웠습니다. 사용자 권한 할당 정책을 사용하면 어떤 사용자 또는 그룹의 사용자에게 다양한 권한과 권한이 부여되는지 확인할 수 있습니다. 18/44 개의 보안 정책에 대해 자세히 설명합니다. 이 기사의 예제에서는 조직에 이러한 정책을 적용하는 방법도 배웠습니다. 다음 기사에서는 이벤트 로그를 관리하는 정책에 대해 설명합니다.

RDP를 통해 원격 데스크톱에 연결할 때마다 자격 증명을 저장할 때마다 자격 증명을 입력하지 않아도됩니다. 하지만 한 가지 미묘함이 있습니다. 따라서 도메인에있는 컴퓨터에서 작업 그룹의 컴퓨터로 연결하면 저장된 데이터를 사용할 수 없게되며 다음과 유사한 메시지가 나타납니다.

"시스템 관리자는 신뢰성이 완전히 검증되지 않았기 때문에 저장된 자격 증명을 사용하여 원격 컴퓨터에 로그온하는 것을 금지했습니다. 새 자격 증명을 입력하십시오. "

사실은에 연결할 때 자격 증명을 저장하는 것입니다. 원격 컴퓨터   기본 도메인 정책에 의해 금지되어 있습니다. 그러나이 상황은 변경 될 수 있습니다.

연결하려는 컴퓨터에서 시작을 클릭하십시오. 승리 + R   명령을 입력하십시오.   gpedit.msc확인을 클릭하십시오. 또한 관리자 암호를 입력하거나 확인해야 할 수 있습니다.

로컬 그룹 정책 편집기의 열린 창에서 관리 템플릿 -\u003e 시스템 -\u003e 자격 증명 전달 섹션으로 이동하십시오. 우리는 서버 인증이 "NTLM 만있는"저장된 자격 증명 위임 허용 정책 (한국어 버전의 NTLM 전용 서버 인증과 함께 저장된 자격 증명 위임 허용) 정책에 관심이 있습니다.


정책을 켠 다음 표시 버튼을 클릭하여 연결하려는 서버를 목록에 추가하십시오.


목록을 작성하는 방법에는 여러 가지가 있습니다. 예 :

TERMSRV / remote_pc - 특정 컴퓨터에 대한 자격 증명을 저장할 수 있습니다.
   TERMSRV / *. Contoso.com - contoso.com 도메인에있는 모든 컴퓨터의 데이터 저장을 허용합니다.
   TERMSRV / * - 예외없이 모든 컴퓨터의 데이터를 저장할 수 있습니다.

주의 :   이 예 에서처럼 TERMSRV에서 대문자를 사용하십시오. 특정 컴퓨터가 지정되면 remote_pc 값은 정확히 일치하다   이름은 원격 데스크톱의 "컴퓨터"필드에 입력하십시오.


목록을 작성하고 확인을 클릭 한 다음 그룹 정책 편집기를 닫습니다. 명령 콘솔을 열고 명령으로 정책을 업데이트하십시오. gpupdate / force. 모든 것, 당신은 연결할 수 있습니다.

그리고 더. 로컬 사용 그룹 정책   특정 컴퓨터에만 자격 증명을 저장할 수 있습니다. 여러 컴퓨터의 경우 도메인에 별도의 OU를 만들고 해당 도메인 정책을 도메인에 연결하는 것이 좋습니다.

1 별2 별3 별4 별별 5 개 5,00 / 3
Windows 10 시스템 관리자가 저장된 자격 증명을 사용하여 로그인하는 것을 금지했습니다. 관리자 계정 제어
관련 기사 :