오프라인 SAM에서 관리자 계정 보호

기술 자료 번역 기술 자료 번역
기술 자료: 223301 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR223301
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 오프라인 보안 계정 관리자(SAM)와 그 계정의 보안에 대해 설명합니다.

Windows 2000 도메인 컨트롤러는 도메인 사용자 계정, 그룹 등록 및 기타 개체를 Active Directory에 저장합니다. Windows 2000 백업 도구와 기타 타사 백업 프로그램은 Jet 기반 Active Directory를 온라인 Windows 2000 도메인 컨트롤러에 백업할 수 있습니다.

시스템 유지 관리 작업과 Active Directory 복원 작업은 Active Directory를 "오프라인" 상태로 만들거나 "디렉터리 서비스 복원" 모드에서만 수행할 수 있습니다. 레지스트리 기반 SAM 계정 데이터베이스를 사용하여 관리자 계정 및 기타 기본으로 제공되는 사용자와 그룹을 저장하는 디렉터리 서비스 복원 모드는 Active Directory 이외의 다른 보안 컨텍스트를 나타냅니다.

추가 정보

레지스트리 기반 SAM 만들기

Microsoft Windows NT 버전 4.0 이전에서는 사용자 계정, 시스템 계정 및 그룹 정보를 레지스트리 기반 SAM에 저장합니다. Windows NT 4.0 주 도메인 컨트롤러(PDC)를 Windows 2000으로 업그레이드하면 Windows 2000 설치 과정 중 마지막 단계에서 DCPROMO가 시작됩니다. SAM의 계정은 Jet 기반 Active Directory로 마이그레이션됩니다. "오프라인" 관리자 계정과 Windows 2000 도메인 컨트롤러를 복구하는 데 필요한 기타 기본 제공 계정이 포함된 새로운 레지스트리 기반 SAM이 만들어집니다. 레지스트리 기반 SAM의 계정은 부팅 과정 중 초기 단계에서 F8 키를 누르면 들어 가는 디렉터리 서비스 복원 모드에서만 사용할 수 있습니다. 레지스트리 기반 SAM은 %SYSTEMROOT%\SYSTEM32\CONFIG 폴더에 저장됩니다.

새로운 Windows 2000 도메인에 대해 Active Directory 데이터베이스가 만들어져서 기본 사용자 및 그룹 집합으로 채워집니다. Windows NT 업그레이드 시나리오에서 발견되는 동일한 Windows NT 버전 4.0 유형의 레지스트리 기반 SAM은 %SYSTEMROOT%\SYSTEM32\CONFIG 폴더에 만들어집니다.

오프라인 SAM 보안

오프라인 SAM을 보호하는 방법은 Windows NT 4.0에서 사용되는 방법과 동일합니다. 오프라인 SAM을 보호하고자 하는 관리자는 다음 사항을 고려해야 합니다.

  1. DS의 관리자와 오프라인 SAM의 관리자 계정에 대해 다른 암호를 유지합니다. 정책상 Active Directory의 관리자 계정에 대한 암호는 오프라인 관리자 계정과 달라야 합니다.

    Active Directory 관리자 계정의 암호를 처음 변경하면 온라인 암호와 오프라인 암호가 달라집니다.
  2. 위험을 평가한 다음 강력한 암호 지침을 사용하여 오프라인 및 Active Directory 기반 관리자 계정 같은 중요한 계정에 대한 암호 변경 정책을 개발합니다.
  3. Windows 2000 기반 도메인 컨트롤러가 Active Directory 모드에서 실행할 때는 오프라인 SAM에 프로그래밍 방식으로 액세스할 수 없습니다. 오프라인 관리자 계정에 강력한 암호 변경 정책을 구현하려면 다음과 같이 하십시오.

    1. Windows 2000 도메인 컨트롤러를 디렉터리 서비스 복원 모드로 시작합니다.
    2. 계정의 암호를 변경합니다.
    3. Active Directory 모드에서 시작합니다.
    서버의 유효 시스템 가동 시간이 오프라인 관리자 계정의 암호 변경 간격이 됩니다.
  4. %WINDIR%\SYSTEM32\CONFIG 폴더에 위치한 SAM 파일의 감사를 설정합니다. 시스템 백업 또는 바이러스 검색 이외의 다른 용도는 조사되어야 합니다.

    참고: 다음 Microsoft 기술 자료 문서에 나와 있는 단계는 수행하지 마십시오.

    184017 Administrators Can Display Contents of Service Account Passwords
    143475 Windows NT 시스템 키가 SAM의 강력한 암호화를 허용한다
  5. 보안 환경을 만드는 데 있어 중요한 구성 요소는 컴퓨터의 물리적 보안, 응급 복구 디스크 및 테이프 백업 매체입니다.

관리자는 오프라인 SAM에 대해 공격을 받는 경우보다 오프라인 관리자 계정에 대한 암호를 만들 수 없는 경우에 더 많은 서비스 손실을 경험할 수 있습니다. 보안을 손상시키지 않지만 시스템 유지 관리와 복구에 암호를 사용할 수 있게 하는 오프라인 관리자 암호 저장 및 검색용 내부 프로세스를 정의하십시오. 서버는 대개 운영 체제가 원래 설치된 이후 사용량이 적은 시간, 달 또는 연도에 다시 구축됩니다.

원격 관리 모드에서 Windows NT 터미널 서버를 사용하고 컴퓨터가 오프라인 복원 모드나 Active Directory 모드로 시작되도록 Boot.ini 스위치를 전환하면 오프라인 계정에 대한 암호를 원격으로 변경할 수 있습니다.

관리자는 디렉터리 서비스가 온라인 상태일 경우 Windows 2000 서비스 팩 2에 포함되어 있는 SETPWD.exe 및 .NET Server 버전의 NTDSUTIL.exe에서 "DSRM 암호 설정(Set DSRM Password)" 명령을 사용하여 도메인 컨트롤러에서 DS 복원 관리자 암호를 변경할 수 있습니다.

속성

기술 자료: 223301 - 마지막 검토: 2004년 3월 18일 목요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
키워드:?
kbinfo kbtool KB223301

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com