액티브 디렉터리 보안 그룹 최상의 방법 – Azure Active Directory 보안 그룹은 관리자가 개별 사용자가 액세스할 수 있는 Windows 서버 및 네트워크 자원을 제어하는 강력한 도구입니다. 이러한 그룹을 적절하게 관리하지 않으면 사이버 범죄자들에게 네트워크에 들어오고 민감한 정보를 훔치는 뒷문을 무심코 제공할 수 있습니다.
최상의 실천 방법을 준수하지 않는 Azure Active Directory의 보안 위협은 흔합니다. 그러나 견고한 보안 보호장치를 마련하고 취약점을 제한하며 이를 지속적으로 모니터링함으로써 시스템을 공격으로부터 안전하게 유지하는 것이 가능합니다.
이 기사는 Azure Active Directory 보안 그룹에 대한 심층 분석으로, Windows 네트워크를 보다 안전하게 보호하기 위해 따라야 할 최선의 보안 관행을 설명합니다.
이미지 출처: Imanami
Active Directory 보안 그룹
Azure Active Directory 그룹은 Azure에서 두 가지 유형으로 제공됩니다: Active Directory 분배 그룹과 Active Directory 보안 그룹입니다.
Active Directory 분배 그룹은 대부분 이메일 분배를 위해 사용되며 Microsoft Exchange와 이메일 및 Outlook와 호환됩니다. 이들은 네트워크 관리자가 Active Directory 구성원의 부분집합에 이메일을 보낼 수 있게 해줍니다.
반면에, Active Directory 보안 그룹은 사용자 권한 및 하드웨어 리소스에 대한 액세스를 관리합니다. 이러한 그룹은 기관의 네트워크 및 비즈니스 운영의 기능에 매우 중요합니다.
이는 Active Directory 보안 그룹이 중요한 네트워크 리소스에 대한 액세스 권한을 어떤 사용자에게 부여할지 관리하고 민감한 데이터에 대한 무단 액세스를 방지하는 데 도움이 되기 때문입니다. 이는 특히 개인 및 기밀 정보를 보호하는 데 중요합니다.
Azure Active Directory 보안 그룹은 관리자, 계정 운영자, 도메인 관리자, DNS 관리자, 사용자, 게스트, 서버 운영자, 보호된 사용자 등으로 구성되어 있습니다.
Active Directory 보안 그룹 범위
Azure Active Directory 보안 그룹은 범위에 따라 로컬, 도메인 로컬, 글로벌, 유니버설 그룹의 4가지 범주로 분류됩니다.
로컬 그룹: 이러한 그룹은 생성되고 생성된 컴퓨터에서만 사용할 수 있습니다.
도메인 로컬 그룹: 도메인 로컬 그룹은 도메인 내 리소스 접근 권한을 관리하는 데 사용됩니다. 도메인 로컬 그룹은 어떤 유형의 도메인 구성원뿐만 아니라 신뢰할 수 있는 도메인의 구성원도 포함합니다.
글로벌 그룹: 글로벌 그룹은 도메인 개체(사용자, 컴퓨터, 그룹)를 비즈니스 역할에 따라 정의합니다. 사용자는 역할에 따라 그룹으로 구성됩니다(예: “마케팅” 또는 “회계사”), 그리고 컴퓨터는 그들의 역할에 따라 글로벌 그룹으로 구성될 수 있습니다(예: “마케팅 작업 스테이션”).
유니버설 그룹: 이러한 그룹은 다중 도메인 숲에서 사용됩니다. 유니버설 그룹을 사용하면 관리자가 여러 도메인의 리소스에 대한 역할과 권한을 지정할 수 있습니다.
Azure Active Directory 보안 그룹의 용도
Active Directory 보안 그룹의 두 가지 주요 용도는 다음과 같습니다:
사용자 권한 할당: Active Directory 보안 그룹은 도메인 또는 포리스트 내에서 그룹 구성원인 사용자가 수행할 수 있는 작업을 지정하는 데 사용됩니다. 관리상의 편의를 위해 특정 보안 그룹에 자동으로 사용자 권한이 부여될 수 있습니다.
리소스 권한 부여: 사용자 권한은 사용자 권한과 구별됩니다. 사용자 권한은 사용자가 액세스할 수 있는 리소스를 관리하는 반면, 사용자 권한은 사용자가 가진 능력을 결정합니다.
중요한 점은 일부 권한이 기본적으로 특정 보안 그룹에 부여된다는 것입니다. 계정 운영자 및 도메인 관리자 그룹은 기본 보안 그룹의 두 가지 예입니다. 이러한 그룹은 기본적으로 특정 권한을 받습니다. 이러한 그룹은 활성 디렉터리 도메인을 설정할 때 자동으로 생성됩니다. 그러나 자동 보안 권한을 부여하는 것과 관련된 본질적인 보안 위험으로 인해 이러한 그룹을 관리할 때 특별한 주의를 기울여야 합니다.
Active Directory 보안 및 Azure AD 향상
시도해보세요 무료로, 모든 기능에 대한 액세스. – 200개 이상의 AD 보고서 템플릿 사용 가능. 쉽게 자신의 AD 보고서를 맞춤화하십시오.
8 Active Directory 보안 그룹 모범 사례
1. 과잉 피하기
기본 보안 그룹에 과도한 권한이 없도록 보장: 정기적으로 Active Directory의 기본 보안 그룹에 의해 자동으로 할당되는 권한을 검토하십시오. 이러한 그룹 중 일부는 상당한 권한을 가지고 있습니다. 사용자가 일상적인 책임을 수행하기 위해 필요한 최소한의 액세스 권한만 가지도록 합니다. 더 높은 액세스 권한이 필요한 경우 필요에 따라 부여해야 합니다.
필요한 도구 및 기능만 설치하고 계정에 필요한 권한만 부여하고 필요한 그룹의 멤버인지 확인하십시오. 모든 사람에게 광범위한 권한이나 시스템 접근을 부여하면 내부 위협을 감지하기가 훨씬 더 어려워지고 고정 접근 보안 그룹에 많은 수의 개인이 있는 경우 시스템이 취약해집니다.
2. 정기적인 소프트웨어 업데이트 실시
이미지 출처: Pixabay
Microsoft는 정기적으로 Windows 소프트웨어와 타사 프로그램을 업데이트하는 것이 좋습니다. 시스템을 해킹하기 위해 공격자들은 종종 알려진 취약점을 이용하거나 악용합니다. 반면, 사이버 보안 전문가들은 항상 이러한 취약점에 대한 보안 패치를 제공하려고 노력하고 있습니다. 따라서 정기적인 패치 루틴을 유지하면 시스템이 사이버 공격으로부터 안전하다는 것을 보장합니다.
이를 달성하기 위해 시스템의 소프트웨어를 최신 상태로 유지하기 위해 패치 관리자를 활용하는 것이 종종 추천됩니다. 훌륭한 패치 관리 시스템은 소프트웨어에 취약점이 있는지 알려주고 발견된 위험에 대한 세부 정보를 제공합니다. 이는 Active Directory 보안 결함을 목표로 하는 공격자를 포함합니다.
또한 읽으십시오 Active Directory 복제 상태 건강 상태 확인 방법
3. 좋은 비밀번호 정책 구현
복잡성 규칙에 의존하는 대신, 사용자가 쉽게 기억할 수 있는 패스프레이즈를 사용하도록 권장하는 비밀번호 정책을 구현하세요. 사용자가 8자 이하의 어려운 비밀번호 대신 3단어 이상의 파라프레이즈로 구성된 비밀번호를 설정하도록 요구하는 정책이 중요합니다. 비밀번호 복잡성 규칙은 기억하기 쉬운 비밀번호를 사용하는 것을 방지하고 비밀번호를 적어두는 결과를 초래하여 비밀번호의 목적을 상실하게 됩니다. 또한 일정 횟수의 로그인 실패 후 사용자를 잠그는 규칙을 설정하는 것이 추천됩니다.
예를 들어, 사용자가 세 번의 비밀번호 입력 실패 후 잠기도록 정책을 설정할 수 있습니다. 비밀번호는 2단계 인증을 사용하여 보안을 더욱 강화할 수 있습니다. Microsoft Multi-Factor Authentication (MFA), Duo 및 RSA를 사용하여 2단계 인증을 구현할 수 있습니다.
4. 기본 그룹 및 계정 보호
Active Directory 도메인이 생성될 때 기본 보안 그룹 세트도 생성되며 그 중 일부 그룹에는 매우 광범위한 사용 권한이 있습니다. 이러한 그룹을 관리할 때 주의하십시오. 사용자에게 액세스 권한을 부여하면 자동으로 강력한 관리 액세스 권한과 그룹 역할을 부여합니다.
다음 실천 방법: 을 따르세요.
- 기본 “도메인 관리자”를 제외하고 “도메인 관리자” 그룹에 일반 사용자의 액세스 권한이 없는지 확인하십시오.
- 도메인 관리자 계정이 도메인 설정과 재난 복구에만 사용되는지 확인하십시오.
- 필요한 경우에만 사용자에게 일시적인 액세스 권한을 부여하십시오.
- 비밀번호가 승인된 사용자만 액세스할 수 있는 안전한 장소에 저장되어 있는지 확인하십시오.
- 로컬 관리자 계정을 비활성화하여 침입자가 접근할 수 있는 지점을 방지하세요. 이는 사이버 범죄자가 계정을 활성화된 상태로 두면 시스템에 쉽게 접근할 수 있기 때문입니다. 이는 동일한 SID와 비밀번호를 공유하기 때문입니다.
5. 정기적인 활성 디렉터리 감사 수행
항상 활성 디렉터리, 로그 및 이벤트를 신중하게 지속적으로 모니터링하는 것이 좋습니다. 실패한 로그인 시도 또는 잠긴 계정의 수가 증가하거나, 권한 있는 그룹의 구성원이 변경되거나, 바이러스 백신 소프트웨어가 비활성화되거나 제거되거나, 로그인 또는 로그 오프 시간이 변경되는 등의 의심스러운 행동의 징후에 대해 경고하세요.
이러한 사건들 중 어느 것이든 시스템이 시도 중이거나 이미 침해되었을 가능성을 나타낼 수 있습니다. 또한, 누가 무엇에 접근할 수 있는지 추적하고 필요에 따라 조정하거나 제거하여 보안 측면에서 필요 이상의 권한을 가진 사람이 없도록 하는 것이 중요합니다.
6. 제로 트러스트 정책 도입
제로 트러스트는 기관 내의 누구도 기본적으로 신뢰되지 않는다는 것입니다. 사용자가 네트워크의 보호받는 영역에 자동으로 접근할 수 없도록 “제로 트러스트” 정책을 도입하세요.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
직원들이나 기관의 구성원들에게 기관에서 필요한 접근만 주시고, 필요한 시기에만 제공하세요. 이러한 접근이 필요하지 않을 때는 제거하고, 가능하면 항상 일시적인 기반으로 접근을 허용하세요.
7. 빈 Active Directory 그룹 제거
이상적으로는 Active Directory 그룹에 멤버가 없어서는 안 됩니다. 이는 그룹을 처음부터 가지고 있는 이유를 완전히 무력화시킵니다. 그러나 성장하는 네트워크의 Active Directory에는 빈 그룹이 몇 개 있을 수 있습니다.
빈 Active Directory 보안 그룹은 두 가지 주요 문제를 일으킵니다. 첫째, 그들은 불필요한 혼란을 추가하고 Active Directory 관리를 어렵게 만들며, 사용자 친화적인 Active Directory 도구와 쌍으로 사용되더라도 마찬가지입니다. 두 번째로 가장 중요한 점은 빈 그룹이 네트워크에 보안 위험을 초래한다는 것입니다.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
다행히도 비활성 상태인 AD 그룹을 제거하는 데 도움이 되는 도구들이 있습니다. 사용하는 Active Directory 그룹 관리 소프트웨어에 따라 도구가 다릅니다. 이러한 도구를 활용하여 빈 공간이 있는 Active Directory 그룹을 찾아 병합하거나 완전히 제거합니다. 예를 들어 관련 그룹이 모두 동일한 권한을 필요로 하는 경우 관련 그룹을 병합합니다.
8. Azure AD 다중 요소 인증(MFA) 활성화
이미지 출처: Unsplash
Azure AD MFA는 비밀번호 인증만으로 위험을 줄이기 위해 사용자가 두 가지 이상의 요소 조합을 제공하도록 강제합니다. “
- 그들이 아는 것(예: 비밀번호).
- 그들이 가지고 있는 것(예: 전화와 같은 신뢰할 수 있는 기기).
- 그들이 있는 것(예: 지문).
Azure에서 다중 요인 인증을 활성화하는 여러 가지 방법이 있습니다:
Azure AD 보안 기본 설정을 통한 방법: 이 옵션을 사용하면 관리자가 모든 사용자에 대해 Microsoft Authenticator를 사용하여 MFA를 요구하는 설정을 빠르게 배포하고 레거시 인증 프로토콜을 금지할 수 있습니다.
조건부 액세스 정책을 사용하는 방법: 이러한 정책을 사용하면 특정 상황에서 MFA를 요구할 수 있습니다. 예를 들어, 이상한 장소에서 로그인하거나 신뢰할 수 없는 장치 또는 위험한 앱에서 로그인할 때 MFA를 요구할 수 있습니다. 더 큰 위험이 발견된 경우에만 추가 검증을 요구함으로써 사용자의 부담을 줄이는 이 방법은 사용자의 부담을 줄입니다.이 기술은 추가 위험이 인식될 때만 추가 검증을 요구함으로써 사용자의 부담을 줄입니다.
개별 사용자 상태 수정을 통해서: 이 접근 방식은 클라우드 기반의 Azure AD MFA와 Azure MFA 인증 서버에서 모두 지원됩니다. 조건부 액세스 제한을 우회하고 사용자가 로그인할 때마다 이중 인증을 사용하도록 강제합니다.
또한 아래 내용을 읽어보세요 Azure AD 모니터링 배포
Active Directory 보안 그룹 최적의 사례 (결론)
Active Directory는 개별 사용자가 Windows 서버와 네트워크 리소스에 액세스할 수 있는지를 제어하는 강력한 서비스입니다. 견고한 보안 방어장치를 갖추고 취약점을 제한하며 지속적으로 모니터링하여 시스템을 안전하게 유지할 수 있습니다.
위의 권장 사례를 따르면 비용이 많이 드는 불편함을 피하고 시스템을 안전하게 유지할 수 있습니다.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/