Active Directory 환경에서 네트워크를 통해 다른 컴퓨터에 액세스하기 위해 로컬 계정(로컬 관리자 포함)을 사용하는 것은 여러 가지 이유로 권장되지 않습니다. 동일한 로컬 관리자 사용자 이름과 비밀번호가 여러 컴퓨터에서 자주 사용되므로 한 대의 컴퓨터가 손상될 경우 여러 장치가 위험에 노출될 수 있습니다(해시 통과 공격 위협). 또한 로컬 계정으로 네트워크 리소스에 액세스하는 것은 이러한 이벤트가 AD 도메인 컨트롤러에 기록되지 않기 때문에 개인화하고 중앙에서 모니터링하기 어렵습니다.
위험을 완화하기 위해 관리자는 기본 로컬 Windows 관리자 계정의 이름을 바꿀 수 있습니다. 도메인의 모든 컴퓨터에서 로컬 관리자 암호를 정기적으로 변경하려면 MS LAPS 도구(로컬 관리자 암호 솔루션)를 사용할 수 있습니다. 그러나 이러한 솔루션은 컴퓨터에 둘 이상의 로컬 계정이 있을 수 있기 때문에 모든 로컬 사용자 계정에 대해 네트워크 액세스를 제한하는 문제를 해결할 수 없습니다.
네트워크에서 이 컴퓨터에 대한 액세스 거부 를 사용하여 로컬 계정에 대한 네트워크 액세스를 제한할 수 있습니다. 수단. 그러나 이 정책은 컴퓨터에 대한 네트워크 액세스를 거부해야 하는 모든 계정을 명시적으로 나열해야 합니다.
Windows 8.1 및 Windows Server 2012 R2에는 새 SID를 가진 잘 알려진 두 개의 새로운 보안 그룹이 나타났습니다. 하나는 모든 로컬 사용자를 포함하고 두 번째는 모든 로컬 관리자를 포함합니다.
S-1-5-113 | NT AUTHORITY\로컬 계정 | 모든 로컬 계정 |
S-1-5-114 | NT AUTHORITY\Local 계정 및 Administrators 그룹의 구성원 | 관리자 권한이 있는 모든 로컬 계정 |
이제 로컬 계정에 대한 액세스를 제한하기 위해 공통 SID를 사용할 수 있습니다.
이 그룹은 로컬 계정으로 컴퓨터에 로그온하는 동안 사용자의 액세스 토큰에 추가됩니다.
Windows 10/Windows Server 2016에서 로컬 관리자 계정에 두 개의 새 보안 그룹(NT AUTHORITY\Local account (SID S-1-5-113)
및 NT AUTHORITY\Local account and member of Administrators group (SID S-1-5-114)
), 다음 명령을 실행하십시오:
Whoami /all
업데이트 KB 2871997(2014년 6월)을 설치한 후 Windows 7/8 및 Windows Server 2008 R2/Windows Server 2012에서 이러한 기본 제공 로컬 보안 그룹을 사용할 수 있습니다.
다음 PowerShell 스크립트를 사용하여 SID로 이러한 보안 그룹이 Windows 장치에 존재하는지 확인할 수 있습니다.
$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value
스크립트가 NT Authority\Local account를 반환하는 경우 , 이 로컬 그룹(S-1-5-113 SID 포함)이 컴퓨터에 존재합니다.
토큰에 이러한 SID가 포함된 로컬 사용자 계정에서 원격 네트워크 액세스를 차단하려면 GPO 섹션 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 사용자 권한 할당의 설정을 사용할 수 있습니다. .
로컬 사용자 및 관리자에 대한 원격 데스크톱(RDP) 액세스 거부
원격 데스크톱 서비스를 통한 로그온 거부 정책을 사용하면 원격 데스크톱을 통해 원격으로 컴퓨터에 로그온하는 것이 명시적으로 거부된 사용자 및 그룹을 지정할 수 있습니다. 로컬 및 도메인 계정의 컴퓨터에 대한 RDP 액세스를 거부할 수 있습니다.
기본적으로 Windows의 RDP 액세스는 관리자에게 허용됩니다. 및 로컬 원격 데스크톱 사용자의 구성원 그룹.로컬 사용자(로컬 관리자 포함)에 대해서만 RDP 연결을 제한하려면 로컬 GPO 편집기 gpedit.msc를 엽니다(Active Directory 도메인의 컴퓨터에 이러한 설정을 적용하려면 도메인 그룹 정책 편집기 – gpmc를 사용합니다. msc). GPO 섹션 사용자 권한 할당으로 이동합니다. 원격 데스크톱 서비스를 통한 로그온 거부 수정 정책.
기본 제공 로컬 보안 그룹 "로컬 계정 및 관리자 그룹 구성원" 및 "로컬 계정"을 정책에 추가합니다. gpupdate /force
명령을 사용하여 로컬 그룹 정책 설정 업데이트 .
거부 정책은 원격 데스크톱 서비스를 통한 로그온 허용보다 우선 적용됩니다. 수단. 사용자 또는 그룹이 두 정책에 모두 추가되면 해당 사용자에 대한 RDP 액세스가 거부됩니다.
이제 RDP를 통해 로컬 사용자로 컴퓨터에 연결하려고 하면 오류가 나타납니다.
To sign in remotely, you need the right to sign in through Remote Desktop Services. By default, members of the Remote Desktop Users group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from the Remote Desktop Users group, you need to be granted this right manually.
네트워크에서 컴퓨터에 대한 액세스 거부
네트워크에서 이 컴퓨터에 대한 액세스 거부를 사용하여 로컬 자격 증명으로 컴퓨터에 대한 네트워크 액세스를 거부할 수 있습니다. 정책.
로컬 그룹 '로컬 계정' 추가 및 "로컬 계정 및 관리자 그룹의 구성원" 네트워크에서 이 컴퓨터에 대한 액세스 거부 수단. 또한 게스트 계정에 대한 익명 액세스 및 액세스를 항상 거부해야 합니다.
도메인 환경의 경우 네트워크에서 이 컴퓨터에 대한 액세스 거부를 사용하는 것이 좋습니다. Domain Admins 계정의 워크스테이션 및 도메인 구성원 서버에 대한 액세스를 완전히 차단하는 정책 및 엔터프라이즈 관리자 보안 그룹. 이러한 계정은 도메인 컨트롤러에 액세스하는 데만 사용해야 합니다. 이렇게 하면 관리(권한 있는) 계정 해시 및 권한 상승을 캡처할 위험이 줄어듭니다.
정책을 적용한 후에는 로컬 Windows 계정으로 네트워크를 통해 이 컴퓨터에 원격으로 연결할 수 없습니다. 공유 네트워크 폴더에 연결하거나 로컬 계정으로 이 컴퓨터의 네트워크 드라이브를 매핑하려고 하면 오류가 나타납니다.
Microsoft Windows Network: Logon failure: the user has not been granted the requested logon type at this computers.
로컬 관리자 계정(.\administrator)으로 원격 데스크톱 연결을 설정하려고 할 때 ), 오류 메시지가 나타납니다.
The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.
중요 . 이 정책을 Windows 작업 그룹(Active Directory 도메인에 가입되지 않음)의 일부인 컴퓨터에 적용하면 해당 컴퓨터에만 로컬로 로그온할 수 있습니다.
사용자가 Windows 10에 로컬로 로그인하는 것을 거부
로컬 로그온 거부 사용 정책에 따라 로컬 Windows 계정에서 컴퓨터/서버에 대한 대화형 로그인을 제한할 수도 있습니다. GPO 사용자 권한 할당으로 이동 섹션에서 로컬 로그온 거부를 수정합니다. 수단. 필요한 로컬 보안 그룹을 추가합니다.
그룹 정책 거부 설정에 특히 주의하십시오. 잘못 구성하면 컴퓨터에 액세스하지 못할 수 있습니다. 최후의 수단으로 다음과 같이 로컬 GPO 설정을 재설정할 수 있습니다.
이제 사용자나 관리자가 로컬 계정으로 컴퓨터에 로그온을 시도하면 메시지가 나타납니다.
The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.
AD의 사용자 계정 설정에서 로그인이 허용된 컴퓨터 목록을 제한한 경우에도 동일한 메시지가 나타납니다.
따라서 로컬 Windows 계정에서 컴퓨터 및 도메인 구성원 서버에 대한 네트워크 액세스를 거부할 수 있으며 기업 환경의 보안을 강화할 수 있습니다.