보호된 사용자는 자격 증명 도난 공격으로부터 보호하도록 설계된 Active Directory의 글로벌 보안 그룹입니다. 그룹은 그룹 구성원이 로그인할 때 자격 증명이 캐시되지 않도록 디바이스 및 호스트 컴퓨터에서 구성할 수 없는 보호를 트리거합니다.
Prerequisites
보호된 사용자 그룹을 배포하려면 먼저 시스템에서 다음 필수 조건을 충족해야 합니다.
호스트에서 다음 운영 체제 중 하나를 실행해야 합니다.
- Windows 10 또는 Windows 11
- 최신 보안 업데이트가 설치된 Windows Server 2012 R2 이상
도메인 기능 수준이 Windows Server 2012 R2 이상 버전 기능 수준에 대한 자세한 내용은 포리스트 및 도메인 기능 수준을 참조하세요.
Note
기본 제공 도메인 관리자는 S-1-5-<___domain>-500인증 정책 사일로에 할당된 경우에도 항상 인증 정책에서 제외됩니다. 자세한 내용은 How to Configure Protected Accounts를 참조하세요.
- 보호된 사용자 전역 보안 그룹 멤버 자격은 구성원이 Kerberos에 AES(고급 암호화 표준)만 사용하도록 제한합니다. 보호된 사용자 그룹의 구성원은 AES를 사용하여 인증할 수 있어야 합니다.
Active Directory에서 적용되는 보호
보호된 사용자 그룹의 구성원이 됨으로써 Active Directory는 사용자가 그룹 구성원이 되는 것을 중지하지 않는 한 사용자가 변경할 수 없는 특정 미리 구성된 컨트롤을 자동으로 적용합니다.
로그인한 보호된 사용자에 대한 디바이스 보호
로그인한 사용자가 보호된 사용자 그룹의 구성원인 경우 그룹은 다음과 같은 보호를 제공합니다.
자격 증명 위임(CredSSP)은 사용자가 기본 자격 증명 위임 허용 그룹 정책 설정을 활성화한 경우에도 사용자의 일반 텍스트 자격 증명을 캐시하지 않습니다.
Windows 다이제스트는 Windows 다이제스트를 사용하도록 설정한 경우에도 사용자의 일반 텍스트 자격 증명을 캐시하지 않습니다.
NTLM은 사용자의 일반 텍스트 자격 증명 또는 NT 단방향 함수(NTOWF) 캐시를 중지합니다.
Kerberos는 데이터 암호화 표준(DES) 또는 RC4 키 만들기를 중지합니다. 또한 Kerberos는 초기 TGT(티켓 부여 티켓)를 획득한 후 사용자의 일반 텍스트 자격 증명 또는 장기 키를 캐시하지 않습니다.
시스템은 사용자 로그인 또는 잠금 해제 시 캐시된 검증 도구를 만들지 않으므로 구성원 시스템은 더 이상 오프라인 로그인을 지원하지 않습니다.
보호된 사용자 그룹에 새 사용자 계정을 추가한 후 이러한 보호는 새 보호된 사용자가 디바이스에 로그인할 때 활성화됩니다.
보호된 사용자에 대한 도메인 컨트롤러 보호
Windows Server를 실행하는 도메인에 인증하는 보호된 사용자 계정은 다음을 수행할 수 없습니다.
NTLM 인증을 통한 인증
Kerberos 사전 인증에서 DES 또는 RC4 암호화 유형을 사용합니다.
제한 없는 위임 또는 제한된 위임을 사용한 위임
초기 4시간의 수명이 지난 후 Kerberos TGT를 갱신하십시오.
보호된 사용자 그룹은 모든 멤버 계정에 대해 TGT 만료에 구성할 수 없는 설정을 적용합니다. 일반적으로 도메인 컨트롤러는 다음 두 도메인 정책에 따라 TGT 수명 및 갱신을 설정합니다.
- 사용자 티켓 최대 수명
- 사용자 티켓 갱신 최대 수명
보호된 사용자 구성원의 경우 그룹은 이러한 수명 제한을 자동으로 240분으로 설정합니다. 사용자가 그룹을 나가지 않으면 이 제한을 변경할 수 없습니다.
보호된 사용자 그룹의 작동 방식
다음 방법을 사용하여 보호된 사용자 그룹에 사용자를 추가할 수 있습니다.
- Active Directory 관리 센터 및 Active Directory 사용자 및 컴퓨터 같은 UI 도구
- PowerShell, by using the Add-ADGroupMember cmdlet.
Important
서비스 및 컴퓨터에 대한 계정을 보호된 사용자 그룹에 추가하지 마십시오. 이러한 계정의 경우 암호와 인증서가 호스트에서 항상 사용 가능하므로 구성원 자격은 로컬 보호 기능을 제공하지 않습니다.
Enterprise Admins 또는 Domain Admins 그룹과 같이 권한이 높은 그룹의 구성원인 계정은, 그들을 추가해도 부정적인 결과가 발생하지 않을 것임을 보장할 수 있을 때까지 추가하지 마세요. 보호된 사용자의 권한이 높은 사용자는 일반 사용자 와 동일한 제한 사항 및 제한 사항이 적용되며 이러한 설정을 해결하거나 변경할 수 없습니다. 해당 그룹의 모든 구성원을 보호된 사용자 그룹에 추가하는 경우 실수로 해당 계정을 잠글 수 있습니다. 시스템을 테스트하여 필수 설정 변경이 이러한 권한 있는 사용자 그룹에 대한 계정 액세스를 방해하지 않는지 확인하는 것이 중요합니다.
보호된 사용자 그룹의 구성원은 AES에서 Kerberos를 사용하여 인증할 수만 있습니다. 이 방법에는 Active Directory의 계정에 대한 AES 키가 필요합니다. 기본 제공 관리자에는 Windows Server 2008 이상을 실행하는 도메인의 암호가 변경되지 않는 한 AES 키가 없습니다. 이전 버전의 Windows Server를 실행하는 도메인 컨트롤러에 의해 암호가 변경된 계정은 인증이 잠깁니다.
잠금 및 누락된 AES 키를 방지하려면 다음 지침을 따르는 것이 좋습니다.
모든 도메인 컨트롤러가 Windows Server 2008 이상을 실행하지 않는 한 도메인에서 테스트를 실행하지 않습니다.
다른 도메인에서 계정을 마이그레이션한 경우 계정에 AES 해시가 있도록 암호를 다시 설정해야 합니다. 그렇지 않으면 이러한 계정을 인증할 수 없게 됩니다.
사용자는 Windows Server 2008 이상의 도메인 기능 수준으로 전환한 후 암호를 변경해야 합니다. 이렇게 하면 보호된 사용자 그룹의 멤버가 된 후 AES 암호 해시가 있는지 확인합니다.
보호된 사용자 그룹 Active Directory 속성
다음 표에는 보호된 사용자 그룹의 Active Directory 속성이 나와 있습니다.
| Attribute | Value |
|---|---|
| Well-known SID/RID | S-1-5-21-___domain-525<> |
| Type | Domain Global |
| Default container | CN=Users, DC=<___domain>, DC= |
| Default members | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | No |
| 기본 컨테이너에서 나가도 안전한가요? | Yes |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | No |
| 기본 사용자 권한 | 기본 사용자 권한 없음 |
Event logs
보호된 사용자와 관련된 이벤트 문제를 해결하는 데 도움이 되는 두 가지 작업 관리 로그가 있습니다. 이러한 새 로그는 이벤트 뷰어에 있으며 기본적으로 사용되지 않습니다. 애플리케이션 및 서비스 로그\Microsoft\Windows\Authentication 아래에 있습니다.
이러한 로그를 캡처하도록 설정하는 방법은 다음과 같습니다.
Right-click Start and then select Event Viewer.
Applications and Services Logs\Microsoft\Windows\Authentication을 엽니다.
For each log that you want to enable, right-click the log name and then select Enable Log.
| 이벤트 ID 및 로그 | Description |
|---|---|
| 104 ProtectedUser-Client |
이유: 클라이언트의 보안 패키지에 자격 증명이 포함되어 있지 않습니다. 이 오류는 계정이 보호된 사용자 보안 그룹의 구성원인 경우 클라이언트 컴퓨터에 기록됩니다. 이 이벤트는 보안 패키지가 서버에 인증하는 데 필요한 자격 증명을 캐시하지 않음을 나타냅니다. 패키지 이름, 사용자 이름, 도메인 이름 및 서버 이름을 표시합니다. |
| 304 ProtectedUser-Client |
이유: 보안 패키지는 보호된 사용자의 자격 증명을 저장하지 않습니다. 보안 패키지가 사용자의 로그인 자격 증명을 캐시하지 않음을 나타내기 위해 클라이언트에 정보 이벤트가 기록됩니다. 다이제스트(WDigest), CredSSP(자격 증명 위임) 및 NTLM이 보호된 사용자 멤버에 대한 로그온 자격 증명을 갖지 못할 것으로 예상됩니다. 자격 증명을 묻는 메시지가 나타나는 경우에도 애플리케이션을 실행할 수 있습니다. 패키지 이름, 사용자 이름 및 도메인 이름을 표시합니다. |
| 100 ProtectedUserFailures-DomainController |
이유: 보호된 사용자 보안 그룹의 계정에 대해 NTLM 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 구성원이기 때문에 NTLM 인증에 실패했음을 나타내는 오류가 도메인 컨트롤러에 기록됩니다. 계정 이름 및 디바이스 이름을 표시합니다. |
| 104 ProtectedUserFailures-DomainController |
이유: DES 또는 RC4 암호화 유형은 Kerberos 인증에 사용되며 보호된 사용자 보안 그룹의 사용자에 대한 로그인 실패가 발생합니다. 계정이 보호된 사용자 보안 그룹의 멤버인 경우 DES 및 RC4 암호화 유형을 사용할 수 없으므로 Kerberos 사전 인증에 실패했습니다. (AES는 허용됩니다.) |
| 303 ProtectedUserSuccesses-DomainController |
이유: 보호된 사용자 그룹의 멤버에 대해 Kerberos TGT가 성공적으로 발급되었습니다. |