Windows에서 로컬 계정의 원격 사용을 차단하는 방법

요약

Active Directory 환경에서 원격 액세스를 위해 로컬 계정을 사용하는 경우 몇 가지 문제가 발생할 수 있습니다. 관리 로컬 계정이 여러 장치에서 동일한 사용자 이름과 암호를 가진 경우 가장 중요한 문제가 발생합니다. 해당 그룹의 한 장치에 대한 관리 권한이 있는 공격자는 로컬 보안 계정 관리자(SAM) 데이터베이스의 계정 암호 해시를 사용 "해시 통과" 기술을 사용하는 그룹의 다른 장치에 대한 관리 권한을 얻을 수 있습니다.

추가 정보

최신 보안 지침은 로컬 계정의 원격 로그온을 차단하는 새로운 Windows 기능을 활용하여 이러한 문제에 대응합니다. Windows 8.1 및 Windows Server 2012 R2에는 다음과 같은 보안 식별자(SID)가 도입되었습니다.

  • S-1-5-113: NT AUTHORITY\Local account

  • S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

이러한 SID는 업데이트 KB 2871997을 설치한 후 Windows 7, Windows 8, Windows Server 2008 R2 및 Windows Server 2012에서도 정의됩니다.

첫 번째 SID는 인증 중인 사용자 계정이 로컬 계정인 경우 로그온 시 사용자 액세스 토큰에 추가됩니다. 로컬 계정이 기본 제공 관리자 그룹의 구성원인 경우 두 번째 SID도 토큰에 추가됩니다.

이러한 SID는 모든 로컬 계정 또는 모든 관리 로컬 계정에 대한 액세스 권한을 부여하거나 거부할 수 있습니다. 예를 들어 그룹 정책의 사용자 권한 할당에서 이러한 SID를 사용하여 "네트워크에서 이 컴퓨터 액세스 거부" 및 "원격 데스크톱 서비스를 통한 로그온 거부"를 수행할 수 있습니다. 최신 보안 지침에서 권장되는 방법입니다. 이러한 새 SID를 정의하기 전에 동일한 효과를 얻으려면 제한하려는 각 로컬 계정의 이름을 명시적으로 지정해야 합니다.

Windows 8.1 및 Windows Server 2012 R2 지침의 초기 릴리스에서는 모든 Windows 클라이언트 및 서버 구성을 위한 "로컬 계정"(S-1-5-113)에 대해 네트워크 및 원격 데스크톱 로그온이 거부되었습니다. 이 경우 모든 로컬 계정에 대한 모든 원격 액세스가 차단됩니다.

장애 조치(failover) 클러스터링은 클러스터 노드 관리용 비관리 로컬 계정(CLIUSR)에 의존하며 네트워크 로그온 액세스를 차단하면 클러스터 서비스가 실패한다는 것을 다시 발견했습니다. CLIUSR 계정은 관리자 그룹의 구성원이 아니므로 "네트워크에서 이 컴퓨터 액세스 거부" 설정에서 S-1-5-113을 S-1-5-114로 대체하면 클러스터 서비스가 올바르게 작동할 수 있습니다. 이와 더불어 관리 로컬 계정에 대한 네트워크 로그온을 거부하여 "해시 통과" 종류의 공격에 대한 보호 기능도 계속 제공합니다.

지침을 변경하지 않고 장애 조치(failover) 클러스터 시나리오에 "특수한 경우" 각주를 추가할 수 있지만, 대신 다음 표에 설명된 대로 배포를 단순화하고 Windows Server 2012 R2 구성원 서버 기준을 변경하기로 결정했습니다.

정책 경로

Computer Configuration\Windows Settings\Local Policies\User Rights Assignment

정책 이름

네트워크에서 이 컴퓨터 액세스 거부

기존 값

게스트, 로컬 계정*

새 값:

게스트, 로컬 계정 및 관리자 그룹의 구성원*


* 이 지침에서는 이러한 제한 사항에 DA(도메인 관리자) 및 EA(엔터프라이즈 관리자)를 추가하는 것을 권장합니다. 도메인 컨트롤러 및 전용 관리 워크스테이션은 예외입니다. DA 및 EA는 도메인에 따라 다르며 일반 그룹 정책 개체(GPO) 기준에 지정할 수 없습니다.

참고

  • 이 변경 사항은 구성원 서버 기준에만 적용됩니다. 원격 데스크톱 로그온에 대한 제한은 변경되지 않습니다. 조직은 클러스터링되지 않은 서버용 "로컬 계정"에 대한 네트워크 액세스를 계속 거부할 수 있습니다.

  • 로컬 계정에 대한 제한은 Active Directory 도메인에 가입된 시스템을 위한 것입니다. 가입되지 않은 작업 그룹 Windows 장치는 도메인 계정을 인증할 수 없습니다. 따라서 이러한 장치에 로컬 계정의 원격 사용에 대한 제한을 적용하면 콘솔에서만 로그온할 수 있습니다.

CLIUSR 계정에 대한 추가 정보

CLIUSR 계정은 Windows Server 2012 또는 이후 버전에 기능이 설치된 경우 장애 조치(Failover) 클러스터링 기능에 의해 생성 로컬 사용자 계정입니다.

Windows Server 2003 및 이전 버전의 클러스터 서비스에서는 서비스를 시작하는 데 도메인 사용자 계정이 사용되었습니다. 이 클러스터 서비스 계정(CSA)은 클러스터를 형성하고 노드에 가입하며 레지스트리 복제를 수행하는 데 사용되었습니다. 기본적으로 노드 간에 수행된 모든 종류의 인증은 이 사용자 계정을 공통 ID로 사용했습니다.

도메인 관리자가 도메인 사용자 계정에서 사용 권한을 제거 그룹 정책을 설정하면서 몇 가지 지원 문제가 발생했습니다. 관리자는 이러한 사용자 계정 중 일부가 서비스를 실행하는 데 사용되었다는 것을 고려하지 않았습니다.

예를 들어 로그온을 서비스 권한으로 사용할 때 이 문제가 발생했습니다. 클러스터 서비스 계정에 이 권한이 없는 경우 클러스터 서비스를 시작할 수 없습니다. 여러 클러스터에 동일한 계정을 사용하는 경우 여러 중요한 시스템에서 생산 중단 시간이 발생할 수 있었습니다. 또한 Active Directory에서 암호 변경을 처리해야 했습니다. Active Directory에서 사용자 계정 암호를 변경한 경우 계정을 사용하는 모든 클러스터 및 노드에서 암호를 변경해야 했습니다.

Windows Server 2008에서는 보다 탄력적이고 오류가 발생할 가능성이 낮으며 관리하기 쉽게 서비스를 만들기 위해 서비스를 시작하는 방법에 대한 모든 것을 다시 설계했습니다. 당사는 클러스터 서비스를 시작하기 위해 기본 제공 네트워크 서비스를 사용하기 시작했습니다. 이 계정은 전체 계정이 아니며 권한이 제한된 집합일 뿐이라는 점을 기억해 주세요. 이 계정의 범위를 줄임으로써 그룹 정책 문제에 대한 해결책을 찾았습니다.

인증을 위해 계정이 공통 ID에 CNO(Cluster Name Object)라고 하는 클러스터 이름과 연결된 컴퓨터 개체를 사용하도록 전환되었습니다. 이 CNO는 도메인에 있는 컴퓨터 계정이므로 도메인 정책에 정의된 대로 암호를 자동으로 순환시킵니다. (기본적으로 30일마다 변경됩니다.)

Windows Server 2008 R2부터 관리자는 데이터 센터의 모든 것을 가상화하기 시작했습니다. 여기에는 도메인 컨트롤러가 포함됩니다. CSV(Cluster Shared Volumes) 기능도 도입되어 개인 클라우드 저장소의 표준이 되었습니다. 일부 관리자는 가상화를 완벽히 수용하여 데이터 센터의 모든 서버를 가상화했습니다. 여기에는 클러스터에 가상 머신으로 도메인 컨트롤러를 추가하고 CSV 드라이브를 사용하여 VM의 VHD/VHDX를 보관하는 것이 포함됩니다.

이로 인해 많은 회사에서 "Catch 22" 시나리오가 만들어졌습니다. VM에 액세스하기 위해 CSV 드라이브를 탑재하려면 도메인 컨트롤러에 접속하여 CNO를 검색해야 했습니다. 그러나 CSV에서 실행 중이기 때문에 도메인 컨트롤러를 시작할 수 없습니다.

도메인 컨트롤러에 느리거나 신뢰할 수 없는 연결이 있으면 I/O에서 CSV 드라이브에도 영향을 줍니다. CSV는 파일 공유 연결과 유사한 방식으로 SMB를 통해 클러스터 내 통신을 수행합니다. SMB에 연결하려면 연결을 인증해야 합니다. Windows Server 2008 R2에서는 원격 도메인 컨트롤러를 사용하여 CNO를 인증했습니다.

Windows Server 2012의 경우 두 가지 모두를 얻으면서 우리가 마주한 몇 가지 문제를 막을 수 있는 방법을 떠올려야 했습니다. 클러스터 서비스를 시작하기 위해 우리는 여전히 제한된 네트워크 서비스 사용자 권한을 사용하고 있습니다. 그러나 외부에 의존하지 않기 위해 이제는 로컬(비도메인) 사용자 계정을 사용하고 있습니다.

이 로컬 "사용자" 계정은 관리 계정 도메인 계정이 아닙니다. 이 계정은 클러스터를 만들 때 각 노드에서 또는 기존 클러스터에 추가되는 새 노드에서 자동으로 만들어집니다. 이 계정은 클러스터 서비스에서 완전히 자체 관리됩니다. 계정의 암호는 자동으로 순환하며 모든 노드에서 동기화됩니다. CLIUSR 암호는 도메인 정책에 정의된대로 CNO와 동일한 빈도로 순환합니다. (기본적으로 30일마다 변경됩니다.) 이 계정은 로컬이므로 CSV를 인증하고 탑재하여 가상화된 도메인 컨트롤러를 성공적으로 시작할 수 있습니다. 이제 걱정 없이 모든 도메인 컨트롤러를 가상화할 수 있습니다. 이와 같이 외부에 덜 의존하면서 클러스터의 복원력과 가용성을 높여 나가고 있습니다.

이 계정은 CLIUSR 계정입니다. 컴퓨터 관리 스냅인의 설명대로 식별됩니다.

CLIUSR 계정

자주 받게 되는 질문은 CLIUSR 계정을 삭제할 수 있는지 여부입니다. 보안 관점에서 감사 중에 추가 로컬 계정(기본값이 아닌)에 표시가 지정될 수 있습니다. 네트워크 관리자가 이 계정의 용도를 잘 모르는 경우 (즉, "장애 조치(failover) 클러스터 로컬 ID"에 대한 설명을 읽지 않은 경우) 결과를 생각하지 않고 삭제할 수 있습니다. 장애 조치(failover) 클러스터링이 올바르게 작동하려면 이 계정이 인증에 필요합니다.

CLIUSR 자격 증명 구문 분석

1) 노드 조인은 클러스터 서비스를 시작하고 CLIUSR 자격 증명을 전달합니다.

2) 동일한 효과를 얻기 위해노드가 조인할 수 있도록 ll 자격 증명이 전달됩니다.

우리는 지속적인 성공을 보장하기 위해 한 가지 더 안전 장치를 마련했습니다.. CLIUSR 계정을 실수로 삭제한 경우, 노드가 클러스터에 가입하려고 하면 자동으로 계정이 다시 만들어집니다.

다음과 같이 요약할 수 있습니다. CLIUSR 계정은 클러스터 서비스의 내부 구성 요소입니다. 구성하거나 관리할 필요 없이 완전히 자체 관리됩니다.

Windows Server 2016에서는 한 걸음 더 앞으로 나가 인증서를 활용하여 외부 클러스터가 작동할 수 있도록 하였습니다. 이를 통해 서로 다른 도메인이나 모든 도메인 외부에 있는 서버를 사용하여 클러스터를 만들 수 있게 되었습니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×