강력한 AD 보안을 위한 베스트 프랙티스 - 3부
페이지 정보
작성자 게시판관리자 작성일19-05-16 23:34 조회6,515회 댓글0건관련링크
본문
강력한 AD 보안을 위한 베스트 프랙티스 - 3부
네트워크 방화벽을 통과한 공격자들이 내부 시스템에서 은밀히 움직이며 정보를 수집해 권한을 올리게 된다면 아주 치명적인 결과로 이어질 수 있습니다. 이런 공격자들의 횡적 이동과 권한 승격을 제한하기 위한 베스트 프랙티스를 지난 두 번의 포스팅에 걸쳐 알아보았습니다.
6) 침해 가능성이 있는 관리자 계정을 찾아 리셋하기
이런 베스트 프랙티스를 적용하는 가장 빠른 방법은 특권 사용자가 로그온할 수 있는 엔드포인트를 통제함으로써 향후 특권 인증 정보를 보호하는 전략을 세우는 것입니다. 특권 계정 권한 관리(Privileged Account Management, PAM) 솔루션을 갖추었다 해도 중요한 과정입니다. 관리자 인증 정보가 재설정되기 전에 취약점의 틈이 존재할 경우 관리자가 보안이 취약한 시스템에 로그인하는 상황이 발생할 수 있기 때문입니다.
따라서 다음 베스트 프랙티스는 ‘특권 사용자가 로그온할 수 있는 엔드포인트를 통제하는 것’입니다.
AD 보안 베스트 프랙티스 7 : 특권 사용자가 로그온할 수 있는 엔드포인트를 통제하기
엔드포인트 통제를 위해 기본적으로 선택할 수 있는 옵션은 3가지 입니다. 1) AD에서 사용자 계정에 워크스테이션 제한 적용 2) 로그온 권한 제한 3) 인증 사일로 구현. 이들을 차례차례 알아보도록 하겠습니다.
AD에서 사용자 계정에 워크스테이션 제한 적용
첫 번째 옵션은 가장 실용성이 떨어집니다. AD에서 사용자 계정에 워크스테이션 제한을 설정하려면 해당 사용자가 로그온할 수 있는 컴퓨터의 NetBIOS 또는 DNS 이름을 명시적으로 지정해야 합니다. 그러나 그룹 정책을 사용해서는 할 수 없고 OU 수준에서 목록을 정의할 수도 없습니다. 각 개별 사용자마다 이들이 로그온할 수 있는 특정 시스템을 지정해야 합니다. 따라서 매우 제한적인 특정 상황에서만 유용한, 확장성이 떨어지는 방법입니다.
로그온 권한 제한
그보다 나은 방법으로, 모든 특권 사용자를 위한 그룹을 만드는 방법이 있습니다. 그런 다음 엔드포인트를 두 개의 OU(organizational units)로 분리합니다. 하나는 특권 사용자 그룹의 구성원이 사용할 수 있는 모든 엔드포인트, 다른 하나는 최종 사용자만 사용하는 엔드포인트용입니다. 그런 다음 두 번째 OU를 위한, 특권 사용자 그룹 구성원의 로그온을 거부하는 GPO((Group Policy Objects)를 만들면 됩니다. 엔드포인트에 로그인하는 방법은 5가지이므로 이들을 대상으로 다음과 같은 5가지 권한을 거부해야 합니다.
● 로컬 로그온 허용
● 터미널 서비스를 통한 로그온 허용
● 배치 작업으로 로그온
● 서비스로 로그온
● 네트워크에서 이 컴퓨터 액세스
이 GPO를 두면 공격자는 오직 특권 클라이언트에서만 특권 인증 정보의 아티팩트를 찾을 수 있게 됩니다. 이 사이태에서 예를 들어, MFA를 요구하는 등 이런 특권 클라이언트를 엄격히 보호하는 부가적인 조치를 취하면 됩니다.
또한, 특권 사용자를 일종의 수평적인 수영 레인으로 더 분할해서 특정 특권 사용자 집합이 특정 시스템에만 로그온이 가능하도록 할 수 있습니다. 최종 사용자를 대상으로도 가능합니다. 콜 센터의 모든 직원이 영업 부서 직원에게 할당된 컴퓨터에 로그온해야 할 이유가 있을까요? 마찬가지로, 사용자가 다른 건물의 워크스테이션에 로그온하지 못하도록 차단해야 할 수 있습니다. 이렇게 하면 공격자가 이들의 인증 정보를 훔치더라도 이용할 수 있는 범위가 제한됩니다.
인증 사일로 구현
윈도우 서버 2012 R2부터 도입된 인증 사일로는 어느 계정이 어느 컴퓨터에서 인증 가능한지를 제한하는 수단으로, 잠재적으로 취약한 컴퓨터에서의 특권 계정 사용을 차단하는 데 있어 매우 효과적인 방법입니다.
예를 들어, 모든 도메인 관리자 계정이 포함된 도메인 관리자 사일로를 정의할 수 있습니다. 그런 다음 인증 정책을 사용해 이 사일로를 구성해서 도메인 컨트롤러와 특권 워크스테이션 이외의 시스템에서 실행되는 인증 시도는 모두 실패하도록 할 수 있습니다.
인증 사일로 기능은 Kerberos 인증에서만 작동합니다. 따라서 이 기능을 구현하려면 또 다른 윈도우 서버 2012 기능인 보호되는 사용자 그룹도 함께 구현해야 합니다. 이 그룹의 구성원은 NTLM 프로토콜을 사용해서 인증할 수 있는 역량이 제거됩니다.
AD 보안 베스트 프랙티스 8 : IT 환경 전반에 최소 권한 원칙 구현
지금까지는 AD와 윈도우 운영체제에 국한해서 논의했습니다. 그러나 이 두 가지는 애플리케이션 스택에서 가장 낮은 두 계층인 운영 체제와 디렉토리 인프라입니다. 그 위에 구축되는 모든 요소에 대해서도 생각해야 합니다. 공격자의 관심사는 운영체제나 관리자 계정이 아닙니다. 이 둘은 목표를 달성하기 위한 수단일 뿐입니다. 공격자가 궁극적으로 원하는 것은 데이터입니다. 데이터는 파일, SQL 서버, 오라클 데이터베이스, 익스체인지, 셰어포인트, 그리고 애저나 원드라이브 같은 클라우드까지 다양한 장소에 저장됩니다.
예를 들어, 공격자가 기업 고객 데이터베이스에서 개인 식별 정보를 수집하고자 하는 경우를 가정해 보겠습니다. 공격자는 최종 사용자를 대상으로 드라이브 바이 공격을 사용해서 그 사용자의 워크스테이션에 대한 원격 액세스를 가능하게 하는 페이로드를 다운로드하도록 합니다.
공격자는 회사 서비스 부서가 이 컴퓨터를 대상으로 정상적인 원격 문제 해결 또는 관리를 수행할 때 서비스 부서 인증 정보를 획득한 다음 이를 사용해 대상 데이터베이스를 백업할 권한을 가진 비활성 DBA 계정의 비밀번호를 파악하고 재설정합니다. 이제 데이터가 백업되면 손쉽게 데이터를 빼낼 수 있게 됩니다.
이러한 공격이 성공할 위험을 낮추는 데 도움이 되는 보안 대책은 많습니다. 물론 알려진 취약점의 악용을 차단하기 위해 모든 사용자 워크스테이션이 적절히 패치되었는지 확인해야 합니다. 또한, 높은 권한 계정이 사용자 워크스테이션에 로그온하지 못하도록 금지해 이러한 인증 정보의 도난 위험을 낮춰야 하고, 비활성 계정을 즉시 제거해 악용을 막아야 합니다.
그러나 근본적인 문제는 이 시나리오에 존재하는 취약점의 연쇄 작용입니다. 그 자체로 치명적인 취약점은 없지만, 여러 취약점이 결합해서 큰 문제를 일으킬 수 있습니다. 특권이 어디에 있는지, IT 시스템 전반에서 특권이 어떻게 상호 연관될 수 있는지 파악하는 것이 중요합니다.
특히, 최소 권한 원칙을 구현해서 모든 데이터에 대한 사용자 액세스를 엄격히 통제하는 것이 필수적입니다. 최소 권한은 다양한 방법으로 적용할 수 있습니다. 가장 흔한 방법은 사용자가 업무를 수행하는 데 필요한 데이터에 대해서만 읽기, 쓰기, 경보, 삭제 권한을 갖도록 하는 것입니다. 그러나 사용자가 업무를 수행하는 데 필요한 엔드포인트에만 로그온할 수 있도록 하는 것도 필요합니다. 이렇게 하면 사용자가 공격자에 의해 악용 가능한 아티팩트를 남기는 장소를 제한할 수 있으며 공격자가 어떠한 방법으로도 인증 정보를 입수하더라도 이 인증 정보의 유용성이 크게 떨어집니다.
퀘스트 엔터프라이즈 리포터(Quest Enterprise Reporter)
네이티브 툴을 사용하여 이러한 모범 사례를 단편적으로 구현하는 것은 어려운 일이며, 구현한다 해도 횡적으로 이동하고 권한을 승격하고 중요한 데이터를 훔치거나 손상시키는 공격자의 능력에 대한 정확한 시야는 얻을 수 없습니다.
퀘스트 엔터프라이즈 리포터의 포괄적인 액세스 평가와 기본 보고서는 마이크로소프트 환경(온프레미스, 클라우드 모두)에 대한 심층적인 시야를 제공하며 AD와 애저 AD, 익스체인지 온라인, 오피스 365, 애저, 비즈니스용 원드라이브, 윈도우 서버, SQL 서버, NAS/SAN 스토리지를 지원합니다. 또한, 엔터프라이즈 리포터 스위트(Enterprise Reporter Suite)에는 부적절한 권한을 엔터프라이즈 리포터 사용자 인터페이스에서 바로 신속하게 제거할 수 있게 해주는 시큐리티 익스플로러(Security Explorer)도 포함됩니다.
이 보고 및 교정의 조합을 통해 앞서 언급한 모든 베스트 프랙티스를 구현함으로써 횡적 이동과 권한 승격의 위험을 낮출 수 있습니다.
● 기본 관리자 그룹과 이 그룹의 승격된 권한을 상속하는 중첩 그룹 주시
● 특권 사용자 행동 추적
● 복잡하게 얽힌 위임된 권한을 파악하고 정리
● 권한을 위임하도록 허용된 사용자 목록을 엄격히 통제
● 서버 또는 워크스테이션 수준에서 로컬 관리자 그룹 구성원이 아닌 사용자에게 관리자와 동등한 권한을 부여할 수 있는 권한을 파악
● 위험에 처할 가능성이 있는 특권 계정 파악
● 특권 사용자가 로그온할 수 있는 엔드포인트 파악
● IT 환경 전체에 최소 권한 원칙 구현
예를 들어 엔터프라이즈 리포터는 직접적으로 또는 그룹 멤버십을 통해 다른 사용자의 비밀번호를 재설정할 권한이 위임된 모든 사용자를 나열할 수 있습니다(그림 2 참조).
또한, 엔터프라이즈 리포터는 도메인의 모든 멤버 서버에서 각각의 민감한 사용자 권한을 가진 사람이 누구인지 알려줍니다(그림 3 참조).
그림 3. 엔터프라이즈 리포터는 도메인의 모든 멤버 서버에 걸쳐 각 민감한 사용자 권한을 가진 사람이 누구인지 알려줍니다.
AD 보안, 퀘스트와 함께하세요
공격자가 여러분의 환경에서 횡적으로 이동하면서 은밀하게 권한을 승격하고 귀중한 IP, 고객의 PII 또는 PHI, 기타 민감한 데이터를 찾아 훔치기는 얼마나 쉬울까요? 대부분의 기업 조직에서 대답은 “너무 쉽다”입니다.
엔터프라이즈 리포터는 공격자가 횡적으로 이동하면서 권한을 승격하고 귀중한 데이터를 훔칠 위험을 낮추는 데 도움이 됩니다.
위험 완화는 힘든 작업이며 특히 네이티브 툴과 수동 프로세스를 사용할 경우 더욱 어렵습니다. 그러나 보안과 규정 준수를 위해 반드시 시작해야 하는 일이기도 합니다. 이러한 주요 모범 사례 구현 작업을 간소화할 방법을 찾고 있다면 최선의 첫 걸음은 퀘스트 엔터프라이즈 리포터(Quest Enterprise Reporter)입니다.
AD 보안에 대해 궁금한 내용이 있으시다면 언제든 퀘스트 소프트웨어 코리아로 문의 주시기 바랍니다.
[출처] 강력한 AD 보안을 위한 베스트 프랙티스 - 3부|작성자 퀘스트소프트웨어
원본기사 출처 : http://www.itworld.co.kr/blog/?l=http://questblog.co.kr/221538819587
댓글목록
등록된 댓글이 없습니다.