공격으로부터 도메인 컨트롤러 보호

법 #3: 악의적인 행위자가 컴퓨터에 무제한으로 물리적으로 액세스할 수 있는 경우 더 이상 컴퓨터가 아닙니다. - 불변의 10가지 보안 법칙(2.0 버전).

도메인 컨트롤러는 엔터프라이즈가 서버, 워크스테이션, 사용자 및 애플리케이션을 효과적으로 관리할 수 있도록 하는 서비스 및 데이터를 제공하는 것 외에도 AD DS(Active Directory Domain Services) 데이터베이스에 대한 물리적 스토리지를 제공합니다. 도메인 컨트롤러에 대한 액세스 권한이 부여되면 악의적인 사용자가 AD DS 데이터베이스를 수정, 손상 또는 파괴할 수 있으며, 더 나아가 Active Directory에서 관리하는 모든 시스템 및 계정을 삭제할 수 있습니다.

도메인 컨트롤러는 AD DS 데이터베이스의 모든 항목에서 읽고 쓸 수 있으므로 도메인 컨트롤러의 손상은 알려진 좋은 백업을 사용하여 복구하고 손상이 허용된 간격을 닫지 않는 한 Active Directory 포리스트를 다시 신뢰할 수 있는 것으로 간주할 수 없다는 것을 의미합니다.

공격자의 준비, 도구 및 기술에 따라 돌이킬 수 없는 손상은 며칠 또는 몇 주가 아닌 몇 분 또는 몇 시간 안에 완료할 수 있습니다. 중요한 것은 공격자가 Active Directory에 대한 권한 있는 액세스 권한을 가지고 있는 시간이 아니라 권한이 부여된 액세스 시점에 공격자가 얼마나 준비되었는지입니다. 도메인 컨트롤러를 손상하면 멤버 서버, 워크스테이션 및 Active Directory를 파괴하는 가장 직접적인 경로를 제공할 수 있습니다. 이러한 위협 때문에 도메인 컨트롤러는 일반 인프라보다 별도로 더 엄격하게 보호되어야 합니다.

도메인 컨트롤러에 대한 물리적 보안

이 섹션에서는 도메인 컨트롤러를 물리적으로 보호하는 방법에 대한 정보를 제공합니다. 도메인 컨트롤러는 데이터 센터, 지사 또는 원격 위치에서 물리적 또는 가상 머신일 수 있습니다.

데이터 센터 도메인 컨트롤러

물리적 도메인 컨트롤러

데이터 센터에서 물리적 도메인 컨트롤러는 일반 서버 모집단과 별개인 전용 보안 랙 또는 케이지에 설치해야 합니다. 가능하면 도메인 컨트롤러는 TPM(신뢰할 수 있는 플랫폼 모듈) 칩으로 구성해야 하며 도메인 컨트롤러 서버의 모든 볼륨은 BitLocker 드라이브 암호화를 통해 보호되어야 합니다. BitLocker는 적은 양의 성능 오버헤드를 추가하지만 서버에서 디스크를 제거하더라도 디렉터리가 손상되지 않도록 보호합니다. 또한 BitLocker는 부팅 파일을 수정하면 서버가 복구 모드로 부팅되어 원래 이진 파일을 로드할 수 있으므로 루트킷과 같은 공격으로부터 시스템을 보호할 수 있습니다. 도메인 컨트롤러가 소프트웨어 RAID, 직렬 연결 SCSI, SAN/NAS 스토리지 또는 동적 볼륨을 사용하도록 구성된 경우 BitLocker를 구현할 수 없으므로, 가능하면 항상 도메인 컨트롤러에서는 로컬로 연결된 스토리지(하드웨어 RAID 포함 여부에 관계없음)를 사용해야 합니다.

가상 도메인 컨트롤러

가상 도메인 컨트롤러를 구현하는 경우 도메인 컨트롤러가 환경의 다른 가상 머신과 분리된 실제 호스트에서도 실행되도록 해야 합니다. Microsoft가 아닌 가상화 플랫폼을 사용하는 경우에도 Windows Server의 Hyper-V에 가상 도메인 컨트롤러를 배포하는 것이 좋습니다. 이 구성은 최소한의 공격 표면을 제공하며 나머지 가상화 호스트에서 관리되지 않고 호스트하는 도메인 컨트롤러로 관리할 수 있습니다. 가상화 인프라 관리를 위해 SCVMM(System Center Virtual Machine Manager)을 구현하는 경우 도메인 컨트롤러 가상 머신이 있는 실제 호스트 및 도메인 컨트롤러 자체에 대한 관리를 권한 있는 관리자에게 위임할 수 있습니다. 또한 스토리지 관리자가 가상 머신 파일에 액세스하지 못하도록 가상 도메인 컨트롤러의 스토리지를 분리하는 것도 고려해야 합니다.

분기 위치

분기의 물리적 도메인 컨트롤러

여러 서버가 있지만 데이터 센터 서버가 보호되는 정도까지 물리적으로 보호되지 않는 위치에서는 모든 서버 볼륨에 대해 TPM 칩 및 BitLocker 드라이브 암호화를 사용하여 물리적 도메인 컨트롤러를 구성해야 합니다. 도메인 컨트롤러를 분기 위치의 잠긴 방에 저장할 수 없는 경우 해당 위치에 Read-Only RODC(도메인 컨트롤러)를 배포하는 것이 좋습니다.

분기의 가상 도메인 컨트롤러

가능하면 사이트의 다른 가상 머신과 별개인 실제 호스트의 지사에서 가상 도메인 컨트롤러를 실행해야 합니다. 가상 도메인 컨트롤러가 가상 서버 모집단의 나머지 부분과 별개인 실제 호스트에서 실행할 수 없는 지점의 경우 가상 도메인 컨트롤러가 실행되는 호스트 및 가능한 경우 모든 호스트에서 TPM 칩 및 BitLocker 드라이브 암호화를 구현해야 합니다. 지점의 크기와 실제 호스트의 보안에 따라 지점 위치에 RODC를 배포하는 것이 좋습니다.

공간 및 보안이 제한된 원격 위치

인프라에 단일 물리적 서버만 설치할 수 있는 위치가 포함된 경우 가상화 워크로드를 실행할 수 있는 서버를 설치해야 하며, 서버의 모든 볼륨을 보호하도록 BitLocker 드라이브 암호화를 구성해야 합니다. 서버의 한 가상 머신은 RODC로 실행되어야 하며 다른 서버는 호스트에서 별도의 가상 머신으로 실행되어야 합니다. RODC 배포 계획에 대한 정보는 읽기 전용 도메인 컨트롤러 계획 및 배포 가이드에 제공됩니다. 가상화 도메인 컨트롤러의 배포 및 보안 자세한 내용은 Hyper-V에서 도메인 컨트롤러 실행을 참조하세요. Hyper-V의 보안 강화, 가상 머신 관리 위임 및 가상 머신 보호에 대한 자세한 지침은 Hyper-V 보안 가이드를 참조하세요.

도메인 컨트롤러 운영 체제

조직에서 지원하는 최신 버전의 Windows Server에서 모든 도메인 컨트롤러를 실행해야 합니다. 조직은 도메인 컨트롤러 모집단에서 레거시 운영 체제의 서비스 해제 우선순위를 지정해야 합니다. 도메인 컨트롤러를 최신 상태로 유지하고 레거시 도메인 컨트롤러를 제거하는 우선 순위를 지정하면 새로운 기능과 보안을 활용할 수 있습니다. 이 기능은 레거시 운영 체제를 실행하는 도메인 컨트롤러가 있는 도메인 또는 포리스트에서 사용할 수 없을 수 있습니다.

도메인 컨트롤러의 보안 구성

도구를 사용하여 GPO에 적용할 도메인 컨트롤러에 대한 초기 보안 구성 기준을 만들 수 있습니다. 이러한 도구는 보안 정책 관리 설정 및 필요한 상태 구성 개요에 설명되어 있습니다.

RDP 제한 사항

포리스트의 모든 도메인 컨트롤러 OU에 연결하는 그룹 정책 개체는 권한 있는 사용자 및 점프 서버와 같은 시스템에서만 RDP 연결을 허용하도록 구성해야 합니다. 고급 보안 구성을 사용하여 사용자 권한 설정과 Windows 방화벽의 조합을 통해 제어를 수행할 수 있습니다. 이러한 제어 수단은 정책이 일관되게 적용되도록 GPO를 사용하여 구현할 수 있습니다. 정책이 바이패스되는 경우, 다음에 그룹 정책을 새로 고치면 시스템이 적절한 구성으로 돌아갑니다.

도메인 컨트롤러에 대한 패치 및 구성 관리

직관적이지 않은 것처럼 보일 수 있으나, 일반 Windows 인프라와 별도로 도메인 컨트롤러와 기타 중요한 인프라 구성 요소를 패치하는 것을 고려해야 합니다. 인프라의 모든 컴퓨터에 대한 엔터프라이즈 구성 관리 소프트웨어를 사용하는 경우 시스템 관리 소프트웨어의 손상은 해당 소프트웨어에 의해 관리되는 모든 인프라 구성 요소를 손상시키거나 삭제하는 데 사용될 수 있습니다. 도메인 컨트롤러에 대한 패치 및 시스템 관리를 일반 모집단과 분리하면 도메인 컨트롤러에 설치된 소프트웨어의 양을 줄일 뿐만 아니라 관리를 엄격하게 제어할 수 있습니다.

도메인 컨트롤러에 대한 인터넷 액세스 차단

Active Directory 보안 평가의 일부로 수행되는 검사 중 하나는 도메인 컨트롤러에서 웹 브라우저를 사용하고 구성하는 것입니다. 도메인 컨트롤러에서 웹 브라우저를 사용하면 안 됩니다. 수천 개의 도메인 컨트롤러를 분석한 결과 권한 있는 사용자가 Internet Explorer를 사용하여 조직의 인트라넷 또는 인터넷을 검색하는 수많은 사례가 나타났습니다.

Windows 인프라에서 가장 강력한 컴퓨터 중 하나에서 인터넷 또는 감염된 인트라넷을 검색하면 조직의 보안에 특별한 위험이 발생합니다. 맬웨어에 감염된 "유틸리티"를 다운로드하거나 다운로드하여 드라이브를 통해 공격자는 Active Directory 환경을 완전히 손상시키거나 파괴하는 데 필요한 모든 항목에 액세스할 수 있습니다.

정책 및 기술 컨트롤을 사용하여 도메인 컨트롤러에서 웹 브라우저 시작을 제한해야 합니다. 도메인 컨트롤러에 대한 일반 인터넷 액세스도 엄격하게 제어해야 합니다.

모든 조직에서 ID 및 액세스 관리에 대한 클라우드 기반 접근 방식으로 이동하고 Active Directory에서 Microsoft Entra ID로 마이그레이션하는 것이 좋습니다. Microsoft Entra ID는 디렉터리를 관리하고, 온-프레미스 및 클라우드 앱에 대한 액세스를 가능하게 하고, 보안 위협으로부터 ID를 보호하기 위한 완전한 클라우드 ID 및 액세스 관리 솔루션입니다. Microsoft Entra ID는 다단계 인증, 조건부 액세스 정책, ID 보호, ID 거버넌스 및 Privileged Identity Management와 같은 ID를 보호하는 데 도움이 되는 강력하고 세분화된 보안 컨트롤 집합을 제공합니다.

대부분의 조직은 클라우드로 전환하는 동안 하이브리드 ID 모델에서 작동하며, 여기서 온-프레미스 Active Directory의 일부 요소는 Microsoft Entra Connect를 통해 동기화됩니다. 이 하이브리드 모델은 모든 조직에 존재하지만 Microsoft Defender for Identity를 통해 온-프레미스 ID를 클라우드로 보호하는 것이 좋습니다. 도메인 컨트롤러 및 AD FS 서버에서 Defender for Identity 센서를 구성하면 프록시 및 특정 엔드포인트를 통해 클라우드에 대한 보안 단방향 연결을 사용할 수 있습니다. 이 프록시 연결을 구성하는 방법에 대한 자세한 내용은 Defender for Identity에 대한 기술 설명서를 참조하세요. 이 엄격하게 제어된 구성은 이러한 서버를 클라우드 서비스에 연결하는 위험을 완화하고 조직에서 Defender for Identity가 제공하는 보호 기능의 증가로 이익을 얻을 수 있도록 합니다. 또한 서버용 Microsoft Defender와 같은 클라우드 기반 엔드포인트 검색을 사용하여 이러한 서버를 보호하는 것이 좋습니다.

Active Directory의 온-프레미스 전용 구현을 유지 관리하기 위한 규정 또는 기타 정책 기반 요구 사항이 있는 조직의 경우 도메인 컨트롤러에 대한 인터넷 액세스를 완전히 제한하는 것이 좋습니다.

경계 방화벽 제한

도메인 컨트롤러에서 인터넷으로의 아웃바운드 연결을 차단하도록 경계 방화벽을 구성해야 합니다. 도메인 컨트롤러는 사이트 경계를 넘어 통신해야 할 수도 있지만 Active Directory 도메인 및 트러스트에 대한 방화벽을 구성하는 방법에 제공된 지침에 따라 사이트 간 통신을 허용하도록 경계 방화벽을 구성할 수 있습니다.

도메인 컨트롤러에서 웹 검색 방지

AppLocker 구성, "블랙홀" 프록시 구성 및 고급 보안 구성이 포함된 Windows 방화벽의 조합을 사용하여 도메인 컨트롤러가 인터넷에 액세스하지 못하게 하고 도메인 컨트롤러에서 웹 브라우저를 사용하지 못하도록 할 수 있습니다.