Privileged Access Workstation 사용

완료됨

컨설턴트가 Contoso에 대해 작성한 보안 보고서를 검토하면서 여러분은 악의적인 해커가 인프라에 대한 높은 수준의 액세스 권한을 가진 관리자가 정기적으로 사용하는 워크스테이션을 공격 목표로 삼는다는 사실을 알았습니다. 따라서 해당 워크스테이션의 보안을 유지하는 것이 중요합니다.

Privileged Access Workstation이란?

PAW(Privileged Access Workstation)는 ID 시스템, 클라우드 서비스 및 기타 중요한 기능 관리와 같은 관리 작업을 수행하는 데 사용할 수 있는 컴퓨터입니다. 이 컴퓨터는 인터넷을 연결할 수 없고 잠겨 있으므로 필요한 관리 앱만 실행할 수 있습니다.

주의

관리자 계정을 표준 사용자 계정으로 사용할 수 없도록 합니다.

웹 검색, 메일 및 기타 일반적인 최종 사용자 앱에 이 워크스테이션을 사용하지 않아야 하며 엄격한 애플리케이션 제어를 사용해야 합니다. 무선 네트워크 또는 외부 USB 디바이스에 대한 연결을 허용하면 안 됩니다. PAW는 MFA(다단계 인증)와 같은 보안 기능을 구현해야 합니다.

팁

권한 없는 워크스테이션의 연결을 허용하지 않도록 권한 있는 서버를 구성해야 합니다.

Microsoft는 PAW에 Windows 11 Enterprise를 사용하는 것을 권장합니다. Windows 11 Enterprise가 다른 버전에서 사용할 수 없는 보안 기능을 지원하기 때문입니다. 다음 표에서는 해당 Windows Defender 기능에 대해 설명합니다.

기능	설명
Windows Defender Application Control	모든 애플리케이션은 기본적으로 신뢰할 수 있다고 가정하는 기존의 애플리케이션 신뢰 모델에서 벗어나 실행하기 위해서는 애플리케이션이 신뢰를 얻어야 한다는 모델로 이전합니다.
Windows Defender Credential Guard	애플리케이션에서 도메인 자격 증명으로 저장하는 NTLM 암호 해시, Kerberos Ticket Granting Ticket과 자격 증명을 보호합니다. 더 이상 LSA(로컬 보안 기관)에 저장되지 않으므로 손상된 시스템에서도 자격 증명 탈취를 차단할 수 있습니다.
Windows Defender Device Guard	Windows Application Control의 기능을 Windows Hyper-V 하이퍼바이저를 사용하여 악성 또는 확인되지 않은 코드의 삽입 및 실행으로부터 Windows 커널 모드 프로세스를 보호하는 기능과 결합합니다.
Windows Defender Exploit Guard	관리자가 공격 경로와 악용을 줄이기 위한 정책, 네트워크 보호 정책과 의심스러운 앱이 일반적으로 공격 목표가 된 폴더에 액세스하지 못하도록 방지하는 정책을 정의하고 관리하도록 합니다.

PAW 하드웨어 프로필

관리자 역시 사용자라는 점을 잊지 말아야 합니다. 즉, 관리자도 메일을 사용하고, 웹을 탐색하고, Microsoft Office와 같은 생산성 앱을 실행합니다. 올바르게 구성된 PAW는 수정되지 않은 작업에서 생산성을 높이는 사용자의 기능에 심각한 영향을 줍니다.

주의

사용자는 생산성을 향상하는 안전하지 않은 솔루션을 실행하기 위해 생산성을 제한하는 보안 솔루션을 사용하지 않는 경향이 있습니다.

이러한 경우 보안을 유지하려면 관리자에게 워크스테이션 두 대를 제공해야 합니다. 워크스테이션 하나는 PAW로 사용하고 다른 하나는 권한 상승이 필요 없는 일상적인 작업에 사용됩니다. PAW 하드웨어 프로필을 사용하여 이와 같이 분리할 수 있습니다. 다음 하드웨어 프로필 중 하나를 사용하는 것이 좋습니다.

• 전용 하드웨어. 사용자 작업과 관리 작업을 위한 별도의 전용 디바이스입니다. 관리 워크스테이션은 TPM(신뢰할 수 있는 플랫폼 모듈)과 같은 하드웨어 보안 메커니즘을 지원하고 이미 설명한 Windows 10 Enterprise 보안 기능을 구현해야 합니다.
• 동시 사용 운영 체제 두 개를 실행하여 사용자 작업 및 관리 작업을 동시에 실행할 수 있는 단일 디바이스입니다. 여기서 하나는 사용자 시스템이고 다른 하나는 관리자 시스템입니다. 매일 사용하기 위해 VM에서 별도의 운영 체제를 실행하여 이 작업을 수행할 수 있습니다.

주의

단일 디바이스를 사용하는 경우 PAW는 물리적 컴퓨터에서 실행되고, 일반 워크스테이션은 VM으로 실행되고 있는지 확인합니다. 이렇게 하면 올바른 보안을 제공할 수 있습니다.

다음 표에서는 이와 같은 접근 방식의 장점과 단점을 설명합니다.

시나리오	장점	단점
전용 하드웨어	강력한 보안 분리	2개의 디바이스가 필요합니다. 이렇게 하려면 더 많은 공간과 더 많은 구현 비용이 필요합니다.
동시 사용	하드웨어 비용 감소	동일한 키보드와 마우스를 공유하면 오류가 발생하여 보안 위험이 발생할 수 있습니다.

빠른 검토

1.

로그인 프로세스 중에 사용자 자격 증명을 보호하는 데 도움이 되는 Windows 10 Enterprise 기능은 무엇이며, 이 기능을 사용하도록 설정하려면 무엇이 필요한가요?

Windows Defender Credential Guard가 이와 같은 보호 기능을 제공합니다. Windows Defender Credential Guard를 구현하려면 Hyper-V 기능이 필요하며, 이상적으로는 TPM 및 UEFI(Unified Extensible Firmware Interface) 잠금이 필요합니다.

Windows Defender Device Guard가 이와 같은 보호 기능을 제공합니다. Windows Defender Device Guard를 구현하려면 Hyper-V 기능, 보안 부팅과 이상적으로 TPM과 UEFI 잠금이 필요합니다.

Windows Defender Credential Guard가 이와 같은 보호 기능을 제공합니다. Windows Defender Credential Guard를 구현하려면 Hyper-V 기능, 보안 부팅과 이상적으로 TPM과 UEFI 잠금이 필요합니다.

작업을 확인하기 전에 모든 질문에 대답해야 합니다.