Active Directory를 사용하여 온-프레미스 컴퓨터 계정 보호

컴퓨터 계정 또는 LocalSystem 계정은 로컬 컴퓨터의 거의 모든 리소스에 대한 액세스 권한이 높습니다. 계정은 로그온한 사용자 계정과 연결되지 않습니다. 서비스는 원격 서버에 컴퓨터 자격 증명을 형식 <domain_name>\\<computer_name>$으로 제공하여 LocalSystem 액세스 네트워크 리소스로 실행됩니다. 컴퓨터 계정 미리 정의된 이름은 .입니다 NT AUTHORITY\SYSTEM. 서비스를 시작하고 해당 서비스에 대한 보안 컨텍스트를 제공할 수 있습니다.

컴퓨터 계정 사용의 이점

컴퓨터 계정에는 다음과 같은 이점이 있습니다.

• 무제한 로컬 액세스 - 컴퓨터 계정은 컴퓨터의 로컬 리소스에 대한 완전한 액세스를 제공합니다.
• 자동 암호 관리 - 수동으로 변경된 암호의 필요성을 제거합니다. 계정은 Active Directory의 구성원이며 해당 암호는 자동으로 변경됩니다. 컴퓨터 계정을 사용하면 서비스 주체 이름을 등록할 필요가 없습니다.
• 컴퓨터 외부 액세스 권한 제한 - AD DS(Active Directory Domain Services)의 기본 액세스 제어 목록은 컴퓨터 계정에 대한 최소한의 액세스를 허용합니다. 권한이 없는 사용자가 액세스하는 동안 서비스는 네트워크 리소스에 대한 액세스가 제한됩니다.

컴퓨터 계정 보안 상태 평가

다음 표를 사용하여 잠재적인 컴퓨터 계정 문제 및 완화를 검토합니다.

서비스 및 컴퓨터 계정 찾기

컴퓨터 계정에서 실행되는 서비스를 찾으려면 다음 PowerShell cmdlet을 사용합니다.

Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}

특정 그룹의 구성원인 컴퓨터 계정을 찾으려면 다음 PowerShell cmdlet을 실행합니다.

Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf

ID 관리자 그룹(도메인 관리자, 엔터프라이즈 관리자 및 관리자)의 구성원인 컴퓨터 계정을 찾으려면 다음 PowerShell cmdlet을 실행합니다.

Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"

컴퓨터 계정 권장 사항

• MSA를 사용하여 서비스 소유자의 서비스가 실행되는지 확인
• 서비스에서 지원하는 경우 gMSA(그룹 관리 서비스 계정) 또는 sMSA(독립 실행형 관리 서비스 계정)를 사용합니다.
• 서비스를 실행하는 데 필요한 권한이 있는 도메인 사용자 계정 사용

다음 단계

서비스 계정 보안에 대한 자세한 내용은 다음 문서를 참조하세요.

• 온-프레미스 서비스 계정 보안
• 그룹 관리 서비스 계정 보호
• 독립 실행형 관리 서비스 계정 보호
• Active Directory에서 사용자 기반 서비스 계정 보호
• 온-프레미스 서비스 계정 관리