Active Directory 도메인 서비스(AD DS)에 대한 권한 있는 ID 관리

 

권한 있는 ID 관리는 MIM(Microsoft Identity Manager) 및 Windows Server 2012 R2 및 Windows Server Technical Preview를 기반으로 하는 솔루션입니다. 조직은 기존 Active Directory 환경 내에서 권한 있는 액세스를 제한할 수 있습니다.

PIM 온-프레미스 Active Directory 기능을 권한 있는 액세스 관리자(PAM) 라고 합니다.

PIM을 설정하기 위한 프로세스는 새 요새 Active Directory 포리스트 만들기를 포함합니다. 요새 포리스트는 기존 포리스트와 트러스트 관계에 있습니다. 이전의 악의적인 사용자 또는 권한 있는 자격 증명 도난에서 아티팩트를 지키는 것으로 알려진 오염되지 않은 환경을 설정하여 Active Directory가 손상될 수 있는 조직이 제어를 다시 설정하기 위한 토대를 마련할 수 있습니다. 또한 권한 있는 계정의 사용을 격리하고 비 관리 작업에 필요하지 않은 이러한 자격 증명이 도난당할 위험을 줄일 수 있습니다.

이 디자인의 결과로 PIM는 Active Directory 환경에서 기존 응용 프로그램 또는 사용자에 변경을 필요로 하지 않습니다. PIM을 사용하여 시작하기 위해 어떤 서버를 업그레이드하거나 해당 환경에서 도메인 또는 포리스트 기능 수준을 올리지 않아도 됩니다.

요즘 회사에 대한 실제 문제는 Active Directory 환경 내에서 리소스 액세스와 관련된 불확실성입니다. 특히 까다로운 부분은 해시 패스, 티켓 패스, 창 피싱 및 Kerberos 타협을 포함하는 취약점, 권한 없는 권한 증가 및 다른 종류의 무단 액세스 등에 대한 뉴스입니다. 이러한 모든 공격 기능은 회사에 문제가 됩니다.

Active Directory 환경이 이미 손상될 수 있습니까? 그렇지 않은 경우 공격자를 찾은 다음 Domain Admins 계정을 손상하려면 얼마나 걸립니까? 공격자가 이러한 액세스를 성공한 후에 누가 중지할 수 있습니까? 해당 액세스를 사용하여 네트워크에 숨을 수 있는 기간은 얼마나 됩니까? 손상을 감지하기 전에 환경이 위험해지려면 얼마나 걸립니까? 공격자가 뒷문(일반적인 절차를 사용하지 않고 다시 들어올 수 있는 방법을 만듬)으로 나가며 데이터를 유출하고 다른 악용 기법을 수행할 수 있습니다.

PIM의 목표는 이러한 취약점을 악용할 수 있는 일정을 변경하는 것입니다. 요즘 공격자는 너무 쉽게 Domain Admins 계정 자격 증명을 얻고 사후에 이러한 공격자를 확인하기는 너무 어렵습니다. 기타 투자와 함께 PIM를 사용하면 공격자가 네트워크에 침투하고 권한 있는 계정에 액세스 권한을 얻기 어려워집니다. PIM는 다양한 도메인에 조인된 컴퓨터 및 해당 컴퓨터의 응용 프로그램에서 액세스를 제어하는 권한 있는 그룹을 추가로 보호합니다. 또한 자세한 모니터링, 자세한 표시 유형 및 더 세분화된 컨트롤을 추가하여 권한 있는 관리자가 누구이며 무엇을 하는지 조직이 볼 수 있습니다. PIM은 환경에서 이러한 관리 계정이 어떻게 사용되는지 조직이 확인할 수 있습니다.

PIM는 Just-In-Time 관리의 원칙을 작성하며 충분한 관리(JEA)와 관련된 기능과 결합하여 작동합니다. JEA는 관리자가 이러한 명령을 실행하기 위해 권한을 얻을 수 있는 수행할 권한 있는 작업 및 끝점에 대한 명령 집합을 정의하는 Windows PowerShell 도구 키트입니다. JEA가 특정 사용 권한이 있는 사용자에게 특정 작업을 허용하는 경우 사용자는 권한을 요청하고 제한된 기간 동안 작업을 수행할 수 있습니다. 관리자는 기간의 정의를 지정할 수 있고 해당 기간이 경과된 후에 특권 있는 계정은 더 이상 사용할 수 없습니다. PIM Just-in-Time시 및 충분한 관리는 독립적으로 또는 함께 배포할 수 있습니다.

PIM 설정 및 작업은 네 단계가 있습니다.

MIM_PIM_SetupProcess

  1. 준비: 기존 포리스트에서 어떤 그룹이 상당한 권한이 있는지 식별합니다. PIM 설치의 일부로 이러한 그룹은 현재 포리스트에서 멤버를 제거하며 그룹은 요새 포리스트에서 멤버 없이 생성됩니다.

  2. 보호: 사용자가 Just-In-Time 관리를 요청하는 경우 MFA(Multi-Factor Authentication)와 같은 수명 주기 및 인증 보호를 설정합니다. MFA는 프로그래밍 공격을 악성 소프트웨어 또는 다음의 자격 증명 도난에서 방지합니다.

  3. 운영: 인증 요구 사항이 충족되고 요청이 승인된 후에 사용자 계정을 요새 포리스트의 권한 있는 그룹에 추가합니다. 예를 들어 Microsoft SharePoint 관리자가 권한을 요청할 수 있습니다. 해당 요청은 승인되기 전에 MFA를 요구할 수 있습니다. SharePoint 관리자가 자신의 전화를 사용하여 인증한 후에 관리자의 계정을 4시간과 같이 지정된 시간 동안 요새 포리스트의 권한 있는 그룹에 추가합니다. 이 시간 동안 관리자는 해당 그룹에 할당되는 모든 권한 및 액세스 권한을 갖습니다. 4시간 후에 계정은 그룹에서 제거됩니다.

  4. 모니터: PIM은 권한 있는 액세스 요청의 감사, 경고 및 보고서를 추가합니다. 항상 권한 있는 액세스의 기록을 검토할 수 있으며 작업을 수행한 사용자를 참조하십시오. 활동이 유효한지를 이해하고 원래 포리스트에서 권한 있는 그룹에 직접 사용자를 추가하려는 시도와 같은 권한 없는 활동을 식별할 수 있습니다. 이 단계는 "내부" 공격자를 추적할 뿐만 아니라 악성 소프트웨어를 식별하기도 합니다.

PIM은 AD DS의 새로운 기능, 특히 도메인 계정 인증 및 권한, 그리고 MIM의 새로운 기능을 기반으로 합니다. PIM는 기존 Active Directory 환경에서 권한 있는 계정을 분리하는 방법을 제공합니다. 권한 있는 계정을 사용해야 하는 경우 먼저 요청한 다음 승인해야 합니다. 승인 후에 권한 있는 계정은 사용자 또는 응용 프로그램의 현재 포리스트가 아닌 새 요새 포리스트에서 외래 주체 그룹을 통해 권한이 주어집니다. 방호 포리스트를 사용하면 조직은 사용자가 권한 있는 그룹의 멤버일 경우 사용자 인증을 하는 방법과 같은 제어를 강화합니다.

또한 Active Directory, MIM 서비스 및 솔루션의 다른 부분은 고가용성 구성으로 배포할 수 있습니다.

다음 예제에서는 PIM가 작동하는 방법을 자세히 보여줍니다.

MIM_PIM_howitworks

이 관리 액세스 패턴을 사용하면 방호 포리스트가 시간이 제한된 그룹 멤버 자격을 발행하여 기존의 Kerberos 기반 응용 프로그램 또는 서비스가(방호 포리스트를 신뢰하는 다른 포리스트의 응용 프로그램 및 서비스 포함) 지키고 적용할 수 있는 시간 제한된 TGT를 차례로 생성합니다

사용자의 일상적인 계정을 특정 기능 수준에서 작동하는 새 포리스트로 이동할 필요가 없습니다. 기능 수준에 관계 없이 기존 포리스트에서 유지합니다. 컴퓨터, 응용 프로그램 및 해당 그룹도 마찬가지입니다. 기존 포리스트에서 현재 있는 곳을 유지합니다. 업그레이드할 필요가 없습니다. 요즘 이러한 사이버 안보 문제를 우려하지만 즉시 계획이 Windows Server의 다음 버전에 서버 인프라를 업그레이드할 즉각적인 계획이 없는 조직의 예를 살펴보십시오. 해당 조직은 MIM 및 새 요새 포리스트를 사용하여 이 결합된 솔루션을 활용할 수 있고 기존 리소스에 액세스를 더 잘 제어할 수 있습니다.

PIM은 다음과 같은 이점이 있습니다.

  • 권한의 격리/범위: 사용자는 권한 있는 액세스를 필요로 하지 않는 작업을 수행하는 계정에서 권한이 없습니다. 예를 들어 전자 메일을 확인하거나 웹을 탐색하는 등의 일상적인 작업에 사용되는 계정이 있을 경우 해당 계정에 관리자 권한이 있어야 합니다. 사용자는 권한을 요청해야 합니다. 요청은 PIM 관리자가 정의한 MIM 정책을 기반으로 승인 또는 거부됩니다. 요청이 승인될 때까지 권한 있는 액세스는 사용할 수 없습니다.

  • 버전 업그레이드 및 증명: 별도 관리자 계정의 수명 주기를 관리할 수 있는 새 인증 및 권한 부여 과제입니다. 사용자는 관리 계정의 권한 상승을 요청할 수 있으며 해당 요청은 MIM 워크플로를 거칩니다.

  • 추가 로깅: 기본 제공 MIM 워크플로 이외에 요청을 인증하는 PIM, 해당하는 인증 방법 및 승인 후에 발생하는 이벤트를 식별하는 추가 로깅이 있습니다.

  • 사용자 지정 가능한 워크플로: MIM 워크플로는 다른 시나리오에서 구성할 수 있고 요청하는 사용자 또는 요청된 역할의 매개 변수를 기반으로 다양한 워크플로를 사용할 수 있습니다.

MIM 서비스 웹 서비스 API와 같은 일반적인 옵션을 사용하고 새로운 인터페이스를 사용하여 REST 끝점 및 Windows PowerShell을 통해(New-PAMRequest) 사용자는 요청을 제출할 수 있는 다양한 방법이 있으며 이를 통해 새 요청을 쉽게 만들 수 있습니다.

예로써 PIM을 설정하기 전에 사용자가 관리 그룹의 멤버라고 가정해 봅니다. PIM 설치의 일부로써 사용자를 관리 그룹에서 제거하고 MIM에서 정책을 만듭니다. 정책은 해당 사용자가 관리자 권한을 요청하고 MFA로 인증되었는지 지정합니다. 요청이 승인되고 요새 포리스트의 권한 있는 그룹에 사용자를 위한 별도 계정을 추가합니다.

요청이 승인되었다고 가정하고 작업 워크플로가 직접 요새 포리스트 Active Directory와 통신하여 그룹에 사용자를 넣습니다. 예를 들어 Jen이 HR 데이터베이스 관리를 요청하면 Jen에 대한 관리 계정은 몇 초 이내 요새 포리스트에서 권한 있는 그룹에 추가됩니다. 해당 그룹에서 관리자 계정의 멤버 자격은 한 시간 또는 일, 주 등 해당 요청에 적절한 무엇이든 시간 제한이 지나면 만료됩니다. Windows Server 기술 미리 보기를 사용하여 해당 멤버 자격을 요새 포리스트의 Windows Server 2012 R2와 함께 시간 제한이 있는 Active Directory와 연결합니다. MIM로 해당 시간 제한을 적용합니다.

System_CAPS_ICON_note.jpg 참고


그룹에 새 멤버를 추가하면 변경을 요새 포리스트의 다른 도메인 컨트롤러(DC)에 복제해야 합니다. 복제 대기 시간은 리소스에 액세스하는 사용자에 대한 성능에 영향을 줄 수 있습니다. 복제 대기 시간에 대한 자세한 내용은 Active Directory 복제 토폴로지 작동 방법을 참조하십시오.

반면 보안 계정 관리자(SAM)는 만료되는 링크를 실시간으로 평가합니다. 그룹 멤버의 추가가 액세스 요청을 수신하는 DC에서 복제해야 하는 변경이라도 그룹 멤버의 제거는 복제하지 않아도 된다는 것을 의미합니다. 모든 DC에서 즉각적으로 평가합니다.

이 워크플로는 특별히 이러한 관리 계정의 대상입니다. 권한 있는 액세스에 가끔식 액세스가 필요한 관리자(또는 스크립트)는 해당 액세스를 정확하게 요청할 수 있습니다. MIM는 Active Directory의 요청 및 변경을 로그하고 이벤트 뷰어에서 볼 수 있습니다. System Center 2012의 Operations Manager ACS(Audit Collection Services) 또는 기타 타사 도구와 같은 솔루션을 모니터링하는 회사에 이 시스템의 출력을 보내기는 쉽습니다.

워크플로가 완료되면 사용자는 자신의 요새 포리스트 계정이 마치 계속 멤버였던 것처럼 이미 기존의(이전 다이어그램에서 "Corp") 요새 계정이 원래 멤버였던 동일한 그룹에 있는지를 확인할 수 있습니다. 요새 포리스트에 자신의 계정을 사용하여 기존 포리스트에 있는 앱에 액세스합니다. 이러한 액세스 권한은 티켓 만료될 때 자동으로 사라지고 갱신되는 경우가 아니면 모든 그룹 멤버 자격도 만료됩니다.

표시: