사용자가 볼 수 있는 암호 노출 영역 줄이기
암호 사용에 대한 설문 조사 테스트 사용자 워크플로
이제 대상 작업 페르소나에 대해 자세히 알아볼 시간입니다. 사용하는 애플리케이션 목록이 있어야 하지만, 무엇을, 왜, 언제, 얼마나 자주 사용하는지는 알 수 없습니다. 이 정보는 2단계를 진행하면서 중요합니다. 테스트 사용자는 대상 작업 가상 사용자와 연결된 워크플로를 만듭니다. 초기 목표는 문서 암호 사용이라는 하나의 간단한 작업을 수행하는 것입니다. 이 목록은 포괄적인 목록은 아니지만 원하는 정보 유형에 대한 아이디어를 제공합니다. 목표는 해당 작업 가상 사용자가 암호를 만나는 모든 시나리오에 대해 알아보는 것입니다. 좋은 방법은 다음과 같은 질문 세트를 스스로에게 물어보는 것입니다.
| 질문 | |
|---|---|
| 🔲 | 암호를 요청한 애플리케이션의 이름은 무엇인가요? |
| 🔲 | 암호를 요청하는 애플리케이션을 사용하는 이유는 무엇인가요? 예를 들어 동일한 작업을 수행할 수 있는 애플리케이션이 두 개 이상 있나요? |
| 🔲 | 워크플로에서 애플리케이션을 사용하도록 만드는 부분은 무엇인가요? 가능한 한 구체적이어야 합니다. 예를 들어 "애플리케이션 x를 사용하여 y를 초과한 금액에 대한 크레딧 카드 환불을 발급합니다." |
| 🔲 | 특정 날짜 또는 주에 애플리케이션을 얼마나 자주 사용합니까? |
| 🔲 | 애플리케이션에 입력한 암호가 Windows에 로그인하는 데 사용하는 암호와 동일한가요? |
일부 조직에서는 사용자가 이 정보를 작성할 수 있는 권한을 부여하지만 일부는 IT 부서의 구성원이 정보를 숨기도록 해야 한다고 주장할 수 있습니다. 목표 뷰어는 단순히 근육 메모리 때문에 사용자가 간과하는 암호 프롬프트를 볼 수 있습니다. 앞에서 설명한 것처럼 이 정보는 매우 중요합니다. 암호 없는 것으로의 전환을 지연시킬 수 있는 하나의 암호 프롬프트를 놓칠 수 있습니다.
암호 사용 현황 식별 및 암호 완화 계획, 개발 및 배포
테스트 사용자는 암호를 사용하는 방법, 이유, 이유 및 시기를 설명하는 정보를 제공합니다. 이제 팀이 이러한 각 암호 사용 사례를 식별하고 사용자가 암호를 사용해야 하는 이유를 이해해야 할 때입니다.
시나리오 목록을 만듭니다. 각 시나리오에는 명확한 문제 설명이 있어야 합니다. 문제 문의 한 문장 요약으로 시나리오 이름을 지정합니다. 시나리오에 사용자가 암호를 제공하라는 요청을 받은 이유에 대한 팀 조사 결과를 포함합니다. 관련성이 있지만 정확한 세부 정보를 포함합니다. 시나리오가 정책 또는 프로시저 기반인 경우 워크플로에서 암호를 사용하는 이유를 나타내는 정책의 이름과 섹션을 포함합니다.
테스트 사용자는 모든 시나리오를 발견하지 않으므로 일부 일반적이지 않은 시나리오를 강제로 적용해야 합니다. 다음을 포함해야 합니다.
- 알 수 없는 암호를 사용하여 새 사용자 프로비전
- 강력한 자격 증명을 사용할 수 없는 경우 PIN 또는 기타 수정 흐름을 잊어버린 사용자
다음으로 시나리오 목록을 검토합니다. 프로세스 또는 정책에 따라 결정되는 워크플로로 시작하거나 기술 솔루션이 필요한 워크플로로 시작할 수 있습니다. 그 중 어느 것이든 더 쉽고 빠릅니다. 이 선택은 organization 따라 다릅니다.
대상 가상 사용자의 워크플로에 따라 암호 사용량 완화를 시작합니다. 완화를 시나리오에 대한 솔루션으로 문서화합니다. 솔루션의 구현 세부 정보에 대해 걱정하지 마세요. 암호 사용량을 줄이는 데 필요한 변경 내용에 대한 개요가 필요합니다. 인프라 또는 코드 변경에 필요한 기술적 변경이 있는 경우 정확한 세부 정보가 프로젝트 설명서에 포함될 수 있습니다. 그러나 organization 프로젝트를 추적하려면 해당 시스템에서 새 프로젝트를 만듭니다. 시나리오를 해당 프로젝트에 연결하고 해당 프로젝트에 자금을 지원하는 데 필요한 프로세스를 시작합니다.
애플리케이션을 사용하여 암호 사용을 완화하는 것은 암호 없는 여정에서 가장 어려운 장애물 중 하나입니다. organization 애플리케이션을 개발하는 경우 COTS(일반 상용 소프트웨어)를 더 잘 형성할 수 있습니다.
사용자에게 암호를 묻는 애플리케이션에 대한 이상적인 완화 방법은 해당 애플리케이션이 Microsoft Entra ID 또는 Active Directory와 같은 기존 인증 ID를 사용할 수 있도록 하는 것입니다. 애플리케이션 공급업체와 협력하여 Microsoft Entra ID에 대한 지원을 추가하도록 합니다. 온-프레미스 애플리케이션의 경우 애플리케이션에서 Windows 통합 인증을 사용하도록 합니다. 사용자의 목표는 각 사용자가 Windows에 로그인할 때 한 번 인증하는 원활한 Single Sign-On 환경이어야 합니다. 자체 데이터베이스에 자신의 ID를 저장하는 애플리케이션에 대해 동일한 전략을 사용합니다.
이제 목록의 각 시나리오에는 문제 설명, 암호가 사용된 이유에 대한 조사 및 암호 사용을 없애는 방법에 대한 완화 계획이 있어야 합니다. 이 데이터로 무장하여 사용자가 볼 수 있는 암호의 간격을 하나씩 닫습니다. 필요에 따라 정책 및 절차를 변경하고 가능한 경우 인프라를 변경합니다. 사내 애플리케이션을 변환하여 Microsoft Entra ID 테넌트에서 통합하거나, 페더레이션 ID를 사용하거나, Windows 통합 인증을 사용합니다. 타사 소프트웨어 게시자에 문의하여 Microsoft Entra ID 통합하거나, 페더레이션 ID를 지원하거나, Windows 통합 인증을 사용하도록 소프트웨어를 업데이트합니다.
모든 사용자 암호 사용이 완화될 때까지 반복
완화 방법의 일부 또는 전부가 있습니다. 솔루션이 문제 설명을 해결했는지 확인해야 합니다. 이 단계에서는 테스트 사용자를 활용합니다. 첫 번째 테스트 사용자의 상당 부분을 유지하려고 하지만 이 점은 몇 가지를 대체하거나 추가할 수 있는 좋은 기회입니다. 설문 조사 테스트 사용자 워크플로에서 암호 사용을 확인합니다. 모든 것이 잘되면, 당신은 간격의 대부분 또는 전부를 닫습니다. 몇몇은 남아 있을 가능성이 높습니다. 솔루션 및 무엇이 잘못되었는지 평가하고, 사용자가 암호를 입력할 필요가 없는 솔루션에 도달할 때까지 필요에 따라 솔루션을 변경합니다. 당신이 붙어 있다면, 다른 사람도 있을 수 있습니다. 다양한 출처 또는 IT 동료 네트워크의 포럼을 사용하여 문제를 설명하고 다른 사람들이 문제를 해결하는 방법을 확인합니다. 옵션이 없으면 Microsoft에 문의하여 도움을 받으세요.
Windows에서 암호 기능 제거
대상 회사 가상 사용자에 대한 모든 암호 사용을 완화했다고 생각합니다. 이제 진정한 테스트가 제공됩니다. 사용자가 암호를 사용할 수 없도록 Windows를 구성합니다.
Windows는 암호 노출 영역을 줄이거나 제거하는 세 가지 기본 옵션을 제공합니다.
- Windows 암호 없는 환경
- 암호 자격 증명 공급자 제외
- 비즈니스용 Windows Hello 또는 스마트 카드 필요
Windows 암호 없는 환경
Windows 암호 없는 환경은 Windows Hello 또는 FIDO2 보안 키로 로그인하는 사용자 계정에 대한 암호 자격 증명 공급자를 숨기는 보안 정책입니다. Windows 암호 없는 환경은 권장되는 옵션이지만 Microsoft Entra 조인된 디바이스에서만 사용할 수 있습니다. 다음 이미지는 Windows 암호 없는 환경을 사용할 때의 Windows 잠금 화면을 보여 줍니다. 비즈니스용 Windows Hello 등록된 사용자에게는 암호를 사용하여 로그인할 수 있는 옵션이 없습니다.
자세한 내용은 Windows 암호 없는 환경을 참조하세요.
암호 자격 증명 공급자 제외
자격 증명 공급자 제외 정책 설정을 사용하여 암호 자격 증명 공급자를 사용하지 않도록 설정할 수 있습니다. 구성된 경우 Windows는 로컬 계정을 비롯한 모든 계정에 암호를 사용할 수 없게 합니다. 또한 RDP 및 실행 인증 시나리오에 대한 암호 사용을 방지합니다. 이 정책 설정은 사용자가 문제를 해결하기 위해 로컬 계정으로 로그인해야 하는 경우와 같은 지원 시나리오에 영향을 미칠 수 있습니다. 이러한 이유로 설정을 사용하도록 설정하기 전에 모든 시나리오를 신중하게 평가합니다.
- GPO: 컴퓨터 구성>관리 템플릿>시스템>로그온> 자격증명 공급자 제외
- CSP:
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/ExcludedCredentialProviders
암호 자격 증명 공급자를 숨기기 위해 정책에 입력할 값은 입니다 {60b78e88-ead8-445c-9cfd-0b87f74ea6cd}.
비즈니스용 Windows Hello 또는 스마트 카드 필요
비즈니스용 Windows Hello 필요 또는 스마트 카드 정책 설정을 사용하여 대화형 로그온을 위해 비즈니스용 Windows Hello 또는 스마트 카드 요구할 수 있습니다. 사용하도록 설정하면 Windows에서 사용자가 암호를 사용하여 로그인하거나 잠금을 해제할 수 없습니다. 암호 자격 증명 공급자는 사용자에게 계속 표시됩니다. 사용자가 암호를 사용하려고 하면 Windows에서 사용자에게 비즈니스용 Windows Hello 또는 스마트 카드 사용해야 한다고 알릴 수 있습니다. 이 정책 설정을 사용하도록 설정하기 전에 사용자를 비즈니스용 Windows Hello 등록하거나 스마트 카드 있어야 합니다. 따라서 이 정책을 구현하려면 신중한 계획과 조정이 필요합니다.
- GPO: 컴퓨터 구성>Windows 설정보안 설정>>로컬 정책>보안 옵션>대화형 로그온: 비즈니스용 Windows Hello 또는 스마트 카드
- CSP: 사용할 수 없음
워크플로에 암호가 필요하지 않은지 확인합니다.
이 단계는 중요한 순간입니다. 암호 사용량을 식별하고, 암호 사용을 완화하기 위한 솔루션을 개발했으며, Windows에서 암호 사용을 제거하거나 사용하지 않도록 설정했습니다. 이 구성에서는 사용자가 암호를 사용할 수 없습니다. 워크플로에서 암호를 요청하는 경우 사용자가 차단됩니다. 이상적으로 테스트 사용자는 암호 사용 없이 대상 작업 가상 사용자의 모든 작업 흐름을 완료할 수 있어야 합니다. PIN을 잊거나 강력한 자격 증명을 사용할 수 없는 새 사용자 또는 사용자를 프로비전하는 것과 같이 낮은 비율의 작업 흐름을 잊지 마세요. 이러한 시나리오도 유효성을 검사해야 합니다.
다음 단계
organization 하나 이상의 부분을 암호 없는 배포로 전환할 준비가 된 것입니다. 대상 작업 가상 사용자가 더 이상 암호를 알고 있거나 사용할 필요가 없는 곳으로 갈 준비가 되었는지 확인했습니다. 성공을 선언하는 데 몇 걸음 밖에 남지 않습니다.