최소 권한 관리 정의

  • 5분

IT 보안 전문가로 구성된 한 업체가 Contoso에서 작업했고, 메인보드에 대한 보고서를 생성했습니다. 이 보고서는 최근 Contoso에서 발생한 대부분의 보안 위반 또는 데이터 손실 인시던트가 사용자 오류, 악의적인 작업 또는 둘 다의 결과임을 나타냅니다.

여기에는 관리자 권한으로 로그인, 표준 사용자 작업 수행 등 여러 예가 나와 있습니다. 한 가지 예로, 사용자가 Enterprise Admins 권한으로 로그인하고 메일 첨부 파일을 열었는데 악성 코드가 실행되었습니다. 해당 코드를 실행한 사용자가 모든 관리 권한을 가지고 있으므로 이 코드도 Contoso라는 기업에 대한 모든 관리 권한을 갖습니다.

개요

최소 권한은 특정 작업이나 작업 역할을 수행하는 데 필요한 권한으로만 액세스 권한을 제한하는 개념입니다. 이 원칙을 다음 항목에 적용할 수 있습니다.

  • 사용자 계정
  • 서비스 계정
  • 컴퓨팅 프로세스

이 원칙은 쉽게 이해할 수 있는 반면에 구현이 복잡할 수 있습니다. 따라서 많은 경우 최소 권한이 적용되지 않고 있습니다.

원칙에 따르면 모든 사용자는 딱 현재 작업을 완료하는 데 필요한 최소한의 권한을 가진 사용자 계정으로 로그인해야 합니다. 이 원칙은 여러 공격 중에서도 악성 코드로부터 보호하고 컴퓨터 및 해당 컴퓨터의 사용자에게 적용됩니다.

문제는 관리자가 일상적인 작업을 수행하기 위해 표준 사용자 계정으로 로그인했다가 사용자 암호를 재설정해야 하는 경우 로그아웃한 다음 다시 관리자로 로그인하기를 원치 않는다는 사실입니다. 시간이 걸리고 번거롭기 때문입니다. 이 문제를 해결하려면 일반적인 보안 위험을 식별하는 방법을 찾아야 합니다. 그런 다음 작업 방해가 적은 최소 권한 원칙을 계획해야 합니다.

보안 주체 식별

온-프레미스 환경에서는 어떤 보안 주체(사용자 및 그룹)가 관리 그룹에 속할지 결정해야 합니다. AD DS(Active Directory Domain Services)에는 여러 가지 중요한 관리 그룹이 있습니다. 관련 내용은 다음 표에 설명되어 있습니다.

그룹 설명
Enterprise Admins 이 범용 보안 그룹은 AD DS 포리스트 루트 도메인의 사용자 폴더에 있습니다. 구성원은 포리스트 내 아무 곳에서 모든 관리 작업을 수행할 수 있습니다. Enterprise Admins 구성원 자격이 필요한 관리 작업은 거의 없습니다. 기본적으로 포리스트 루트 도메인의 Administrator 사용자 계정만 Enterprise Admins에 속합니다.
Domain Admins 이 글로벌 보안 그룹은 AD DS 포리스트에 있는 모든 도메인의 사용자 폴더에 있습니다. 구성원은 로컬 도메인 내 아무 곳에서 모든 관리 작업을 수행할 수 있습니다. 기본적으로 로컬 도메인의 Administrator 사용자 계정만 Domain Admins에 속합니다.
Schema Admins 이 범용 보안 그룹은 포리스트 루트 도메인의 사용자 폴더에 있습니다. 구성원은 AD DS 스키마의 속성을 수정할 수 있습니다. 스키마 변경은 드물게 발생하지만 그 영향은 상당합니다. 기본적으로 포리스트 루트 도메인의 Administrator 사용자 계정만 Schema Admins에 속합니다.
관리자 이 도메인 로컬 보안 그룹은 AD DS의 Builtin 폴더에 있습니다. 또한 Administrators 로컬 그룹은 AD DS 포리스트의 모든 컴퓨터에 존재합니다. Administrators는 도메인(또는 컴퓨터)에 제한 없이 액세스할 수 있습니다. 일반적으로 Enterprise Admins 및 Domain Admins 그룹은 포리스트에 있는 모든 컴퓨터에서 Administrators 그룹에 추가됩니다.

참고 항목

AD DS 스키마는 개체 및 해당 속성(클래스 및 특성이라고도 함)의 컬렉션입니다.

보안 권한이 있는 다른 기본 제공 그룹은 다음과 같습니다.

  • Account Operators
  • Server Operators
  • Key Admins
  • Enterprise Key Admins

Active Directory 관리 센터 스크린샷. 관리자가 Contoso (local)\Users에서 Enterprise Admins 그룹을 선택했습니다. 사용자 폴더의 다른 그룹도 표시됩니다.

그룹 구성원 자격 수정

어떤 사용자 및 그룹이 관리 그룹에 속할지 확인한 후에 필요한 사항을 변경할 수 있습니다. AD DS 환경에서 GPO(그룹 정책 개체)를 사용하여 이 프로세스를 신속하게 수행할 수 있습니다. 제한된 그룹 기능을 사용하여 GPO의 영향을 받는 모든 컴퓨터에서 그룹의 구성원 자격을 제어할 수 있습니다. 이렇게 하려면 다음 절차를 수행합니다.

  1. 그룹 정책 관리를 열고 GPO를 만들어 도메인 개체에 연결합니다.
  2. 편집할 GPO를 엽니다.
  3. 컴퓨터 구성, 정책, Windows 설정, 보안 설정, 제한된 그룹을 찾습니다.
  4. 제한된 그룹의 상황에 맞는 메뉴를 마우스 오른쪽 단추로 클릭하거나 활성화하고 그룹 추가를 선택합니다.
  5. 그룹 추가 대화 상자에서 필요한 그룹을 추가합니다.
  6. 구성원을 그룹에 추가하거나 그룹을 다른 그룹에 구성원으로 추가합니다.
  7. 확인을 선택하여 프로세스를 완료합니다.

그룹 정책 관리 편집기 스크린샷. 관리자가 컴퓨터 구성, 정책, Windows 설정, 보안 설정, 제한된 그룹으로 이동합니다. 관리자가 Administrators라는 그룹을 추가했고 구성원으로 Domain Admins, Enterprise Admins, ContosoAdmin을 추가했습니다.

현재 할당된 권한 확인

환경에서 보안 주체를 수정한 후에는 해당 보안 주체에 이미 있는 권한이 있는지 확인해야 합니다. 확실하게 사용자가 Administrators와 같은 중요한 관리 그룹에 속하는 경우 해당 사용자는 그룹이 있는 컴퓨터 또는 도메인에서 모든 작업을 수행하고 권한을 실행할 수 있습니다.

참고

권한은 관리 작업을 수행하는 능력입니다. 사용 권한은 파일 시스템, AD DS 또는 다른 위치에 있는 개체에 액세스할 수 있는 능력입니다.

그러나 사용자는 권한이 할당된 다른 그룹에 속할 수 있습니다. 사용자에게 권한이 직접 할당되는 경우도 있습니다.

로컬 보안 정책 콘솔을 사용하여 할당된 권한을 확인할 수 있습니다. 이렇게 하려면 다음 절차를 수행합니다.

  1. 시작을 선택한 다음 Windows 관리 도구를 선택합니다.
  2. 로컬 보안 정책을 선택합니다.
  3. 로컬 보안 정책에서 로컬 정책을 확장한 다음 사용자 권한 할당을 확장합니다.
  4. 검토하고 필요한 경우 나열된 각 정책에 대한 보안 설정 값을 편집합니다.

로컬 보안 정책 콘솔 스크린샷 관리자가 사용자 권한 할당 노드를 선택하고 세부 정보 창에 정책 및 보안 설정이 표시되었습니다.

항상 사용자에게 직접 할당하는 것이 아니라 그룹에 정책을 할당합니다. 이는 지속적인 관리에 도움이 됩니다. 다른 사람의 작업 역할이 변경되면 사용자 계정에 할당한 모든 사용자 권한 할당을 다시 살펴보는 대신 구성원 자격을 변경해야 합니다.

사용자 계정 컨트롤 구현

UAC(사용자 계정 컨트롤)는 사용자가 관리 계정의 상태를 표준 사용자 계정의 상태로 제한할 수 있는 방법을 제공하는 보안 기능입니다. 그러나 사용자가 관리 기능을 필요로 하는 작업을 수행하려는 경우(권한 상승이라고 함)에는 사용자에게 권한 상승을 확인하라는 메시지가 표시됩니다. 기본적으로 UAC는 다음과 같이 사용자가 권한 상승을 시도할 때 사용자에게 메시지를 표시합니다.

  • 사용자가 관리자인 경우 권한 상승을 확인하라는 메시지가 표시됩니다.
  • 사용자가 표준 사용자인 경우 관리자 자격 증명을 입력하라는 메시지가 표시됩니다.

GPO를 사용하여 UAC 프롬프트 및 동작을 제어할 수 있습니다.

  1. 편집을 위해 적절하게 연결된 GPO를 열고 컴퓨터 구성, 정책, Windows 설정, 보안 설정, 로컬 정책, 보안 옵션으로 이동합니다.
  2. 관리자 계정의 경우 사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 프롬프트의 동작 설정을 열고 이 정책 설정 정의를 선택한 다음 필요한 설정을 선택합니다.
  3. 표준 사용자의 경우 사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 프롬프트의 동작 설정을 열고 이 정책 설정 정의를 선택한 다음 필요한 설정을 선택합니다.

그룹 정책 관리 편집기의 보안 옵션 노드 스크린샷 사용자 계정 컨트롤 값이 표시됩니다.

Just Enough Administration 구현

JEA(Just Enough Administration)는 Windows PowerShell 원격 세션을 통해 RBAC(역할 기반 액세스 제어) 원칙을 적용할 수 있도록 하는 관리 기술입니다. 사용자가 작업 요구 사항과 직접적인 관련이 없는 작업을 수행할 수 있도록 허용하는 일반적인 역할을 허용하는 대신 JEA를 사용하면 특정 작업을 수행하는 데 필요한 기능을 제공하는 특수 Windows PowerShell 엔드포인트를 구성할 수 있습니다.

JEA를 사용하면 특정 작업 세트만 원격 Windows PowerShell 세션을 통해 수행할 수 있도록 관리 세션을 잠글 수 있습니다. JEA는 수행할 수 있는 작업을 제한하여 보안을 강화합니다. 역할 기능 파일과 세션 구성 파일을 만들고 수정하여 JEA를 구성합니다.

중요

JEA는 Windows PowerShell 원격만 지원합니다.