Lost Information!

[4056318] Microsoft 보안 공지 본문

카테고리 없음

[4056318] Microsoft 보안 공지

Lostinformation 2019. 6. 27. 18:59

Azure AD Connect, AD DS 계정용 지침

Microsoft는 Azure AD Connect에서 디렉터리 동기화에 사용되는 AD DS(Active Directory Domain Services) 계정의 보안 설정과 관련된 정보를 제공하기 위해 이 보안 공지를 발표합니다. 이 보안 공지에는 계정의 보안을 올바르게 유지하기 위해 온-프레미스 AD 관리자가 수행할 수 있는 작업에 대한 지침도 수록되어 있습니다.

공지 세부 정보

고객은 Azure AD Connect를 통해 온-프레미스 AD와 Azure AD 간에 디렉터리 데이터를 동기화할 수 있습니다. Azure AD Connect가 온-프레미스 AD에 액세스하려면 AD DS 사용자 계정을 사용해야 합니다. 이 계정은 AD DS 커넥터 계정이라고도 합니다. Azure AD Connect를 설치하는 관리자는 다음 중 하나를 선택할 수 있습니다.

  • 기존 AD DS 계정 직접 제공 또는
  • Azure AD Connect가 계정을 자동으로 만들도록 허용 계정은 AD 사용자 컨테이너 바로 아래에 만들어집니다. Azure AD Connect가 해당 기능을 최대한 실행하도록 하려면 권한을 기반으로 하는 특정한 디렉터리 권한을 계정에 부여해야 합니다. 이러한 디렉터리 권한의 예로는 Hybrid Exchange 쓰기 저장을 위한 디렉터리 개체에 대한 쓰기 권한이나 암호 해시 동기화를 위한 DS-Replication-Get-Changes 및 DS-Replication-Get-Changes-All을 들 수 있습니다. 계정에 대해 자세히 알아보려면 Azure AD Connect: 계정 및 사용 권한 문서를 참조하세요.

고객의 온-프레미스 AD에 대해서는 액세스 권한이 제한적이지만 AD DS 계정에 대해서는 Reset-Password 권한이 있는 악의적인 온-프레미스 AD 관리자가 있다고 가정해 보겠습니다. 이 악의적인 관리자는 AD DS 계정의 암호를 알려진 암호 값으로 다시 설정할 수 있습니다. 또한 이를 통해 악의적인 관리자가 고객의 온-프레미스 AD에 승인을 받지 않은 상태에서 권한을 기반으로 액세스할 수 있게 됩니다.

권장 조치

모범 사례에 따라 온-프레미스 AD 관리

온-프레미스 AD를 관리하는 고객은 Active Directory 관리 그룹 및 계정 보안(영문) 문서에 나와 있는 모범 사례를 준수하는 것이 좋습니다. 가능한 경우 다음을 준수하세요.

  • Account Operators 그룹의 구성원은 기본적으로 사용자 컨테이너의 개체에 대해 Reset-Password 권한이 있으므로 이 그룹은 사용하지 않아야 합니다.
  • Azure AD Connect에서 사용되는 AD DS 계정 및 다른 권한 기반 계정을 신뢰할 수 있는 관리자나 권한 수준이 높은 관리자만 액세스할 수 있는 OU( 조직 구성 단위)로 이동합니다.
  • Reset-Password 권한을 특정 사용자에게 위임하는 경우 이들이 관리해야 하는 사용자 개체로만 액세스 범위를 지정합니다. 기술 지원팀 관리자가 지점의 사용자를 대신하여 암호 재설정을 관리하도록 하려는 경우를 예로 들 수 있습니다. 지점의 사용자를 특정 OU로 그룹화하고 기술 지원팀 관리자에게 사용자 컨테이너 대신 해당 OU에 대한 Reset-Password 권한을 부여하세요.

**AD DS 계정 액세스 잠금 **

온-프레미스 AD에서 다음 권한 변경 사항을 구현하여 AD DS 계정에 대한 액세스를 잠급니다.

  • 개체에 대한 액세스 제어 목록 상속을 사용하지 않도록 설정합니다.
  • SELF를 제외하고 개체에 대한 모든 기본 권한을 제거합니다.
  • 다음과 같은 권한을 구현합니다.

유형

이름

액세스 권한

적용 대상

허용

SYSTEM

모든 권한

이 개체

허용

Enterprise Admins

모든 권한

이 개체

허용

Domain Admins

모든 권한

이 개체

허용

Administrators

모든 권한

이 개체

허용

Authenticated Users

내용 보기

모든 속성 읽기

읽기 권한

이 개체

여기서 Prepare Active Directory Forest and Domains for Azure AD Connect Sync 확인할 수 있는 PowerShell 스크립트를 사용하면 AD DS 계정에 대한 권한 변경 사항을 손쉽게 구현할 수 있습니다.

Azure AD Connect 개선 사항

Azure AD Connect가 AD DS 계정을 만들 때 이 절에 설명된 권장되는 권한 변경 사항이 자동으로 적용되도록 Azure AD Connect 버전 1.1.XXX.0 이상에 개선 사항이 추가되었습니다.

  • Azure AD Connect를 설치하는 관리자는 기존 AD DS 계정을 제공할 수도 있고, Azure AD Connect가 계정을 자동으로 만들도록 할 수도 있습니다. 설치 도중 Azure AD Connect에서 만들어지는 AD DS 계정에는 권한 변경 사항이 자동으로 적용됩니다. 하지만 설치하는 관리자가 제공하는 기존 AD DS 계정에는 이러한 변경 사항이 적용되지 않습니다.
  • 이전 버전의 Azure AD Connect를 1.1.XXX.0 이상으로 업그레이드한 고객의 경우 업그레이드 전에 만들어진 기존 AD DS 계정에 권한 변경 사항이 소급해서 적용되지는 않으며, 업그레이드 후 만들어진 새 AD DS 계정에만 적용됩니다. 이는 동기화할 새 AD 포리스트를 Azure AD에 추가할 때 수행됩니다.

기타 정보

MAPP(Microsoft Active Protections Program)

고객을 위한 보안을 강화하기 위해 Microsoft는 각각의 월별 보안 업데이트를 배포하기 전에 주요 보안 소프트웨어 제공업체에 취약성 정보를 제공합니다. 보안 소프트웨어 제공업체는 이 취약점 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침임 방지 시스템 등 자사의 보안 소프트웨어나 장치를 통해 업데이트된 보호 기능을 고객에게 제공할 수 있습니다. 보안 소프트웨어 제공업체가 활성 보호 기능을 제공하는지 확인하려면 Microsoft MAPP(Active Protections Program) 파트너(영문)에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 참조하십시오.

피드백

지원

고지 사항

이 공지에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성과 특정 목적에 대한 적합성의 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation또는그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

공유하기 링크
Comments