az - 800 용어 및 개념정리

AD DS(Active Directory Domain Services) 관리되는 도메인에서 OU(조직 구성 단위)를 사용하면 사용자 계정, 서비스 계정 또는 컴퓨터 계정과 같은 개체를 논리적으로 그룹화할 수 있습니다. 그런 다음 특정 OU에 관리자를 할당하고 그룹 정책을 적용하여 대상 구성 설정을 적용할 수 있습니다.

Domain Services 관리형 도메인은 다음과 같은 두 가지 기본 제공 OU를 포함합니다.

• AADDC 컴퓨터 - 관리되는 도메인에 가입된 모든 컴퓨터에 대한 컴퓨터 개체를 포함합니다.
• AADDC 사용자 - Domain Services 테넌트에서 동기화된 사용자 및 그룹을 포함합니다.

Microsoft Entra Domain Services는 도메인 가입, 그룹 정책, LDAP(Lightweight Directory Access Protocol) 및 Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. 클라우드에서 DC(도메인 컨트롤러)를 배포, 관리 및 패치하지 않고도 이러한 도메인 서비스를 사용합니다.

 

Microsoft Entra 테넌트란?

Microsoft Entra 테넌트는 organization 사용하는 애플리케이션 및 리소스에 IAM(ID 및 액세스 관리) 기능을 제공합니다. ID는 리소스에 액세스하기 위해 인증 및 권한을 부여할 수 있는 디렉터리 개체입니다. 학생 및 교사와 같은 인간 ID와 교실 및 학생 장치, 애플리케이션 및 서비스 원칙과 같은 비인간 ID에 대한 ID 개체가 존재합니다.

Microsoft Entra 테넌트는 organization IT 부서의 제어 하에 있는 ID 보안 경계입니다. 이 보안 경계 내에서 개체(예: 사용자 개체) 관리 및 테넌트 전체 설정 구성은 IT 관리자가 제어합니다.

 

Azur Vnet

Azure Virtual Network는 Azure의 프라이빗 네트워크에 대한 기본 구성 요소를 제공하는 서비스입니다. 서비스 인스턴스(가상 네트워크)를 사용하면 다양한 유형의 Azure 리소스가 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다.

 

컴퓨터에 안전하게 연결하기 위해 Azure Bastion 호스트 사용을 고려할 수 있습니다. Azure Bastion을 사용하면 관리 호스트가 VNet에 배포되고 VM에 대한 RDP(웹 기반 원격 데스크톱 프로토콜) 또는 SSH(Secure Shell) 연결을 제공합니다. VM에는 공용 IP 주소가 필요하지 않으며, 외부 원격 트래픽에 대한 네트워크 보안 그룹 규칙을 열 필요가 없습니다. Azure Portal을 사용하여 VM에 연결합니다.

 

온-프레미스 AD DS 환경과 동일한 관리 도구(예: ADAC(Active Directory 관리 센터) 또는 Active Directory PowerShell)

 

기본 NTLM 인증 및 Kerberos 인증에서는 호출하는 애플리케이션과 연결된 Microsoft Windows 사용자 자격 증명을 사용하여 서버에 인증을 시도합니다. 기본이 아닌 NTLM 인증을 사용할 때, 다음 예제에 표시된 대로 애플리케이션에서 인증 형식을 NTLM으로 설정하고 NetworkCredential 개체를 사용하여 호스트에 사용자 이름, 암호 및 도메인을 전달합니다.

https://learn.microsoft.com/ko-kr/dotnet/framework/network-programming/ntlm-and-kerberos-authentication

NTLM 및 Kerberos 인증 - .NET Framework

 

NTLM 및 Kerberos 프로토콜을 사용하여 도메인 인증 구성

Kaspersky Security Center 13.1을 통해 NTLM 및 Kerberos 프로토콜을 사용하여 OpenAPI에서 도메인 인증을 사용할 수 있습니다. 도메인 인증을 사용하면 Windows 사용자가 회사 네트워크에 비밀번호를 다시 입력할 필요 없이(Single Sign-on) Kaspersky Security Center 13.1 웹 콘솔에서 보안 인증을 활성화할 수 있습니다.

 

인증 실패 할때의 원인

클라이언트가 서버에 연결하려고 하면 인증 요청이 사용되는 SPN(서비스 사용자 이름)에 바인딩됩니다. 또한 인증이 TLS(전송 계층 보안) 채널 내에서 발생하는 경우 해당 채널에 바인딩될 수 있습니다. 

 

CBT(채널 바인딩 토큰)는 인증을 위한 확장된 보호의 일부입니다. CBT는 외부 TLS 보안 채널을 Kerberos 또는 NTLM과 같은 내부 채널 인증에 바인딩하는 메커니즘입니다.

CBT는 인증을 채널에 바인딩하는 데 사용되는 외부 보안 채널의 속성입니다.

확장된 보호는 클라이언트가 SPN 및 CBT를 변조 방지 방식으로 서버에 전달함으로써 수행됩니다. 서버는 해당 정책에 따라 확장된 보호 정보의 유효성을 검사하고 자신이 의도된 대상이라고 생각하지 않는 인증 시도를 거부합니다. 이렇게 하면 두 채널이 암호화 방식으로 함께 바인딩됩니다.

 

-온프레미스 ID와 마찬가지로 Contoso는 클라우드 ID를 사용하여 회사 리소스에 액세스하려고 할 때 해당 사용자를 인증하고 권한을 부여할 수 있습니다.

 Microsoft Entra ID라는 Azure 플랫폼에서 클라우드 기반 디렉터리 서비스를 제공합니다

수천 개의 클라우드 SaaS 애플리케이션에 대한 SSO 액세스 솔루션을 제공

 

JEA(Just Enough Administration)는 Windows PowerShell 원격 세션을 통해 RBAC(역할 기반 액세스 제어) 원칙을 적용할 수 있도록 하는 관리 기술입니다. 사용자가 작업 요구 사항과 직접적인 관련이 없는 작업을 수행할 수 있도록 허용하는 일반적인 역할을 허용하는 대신 JEA를 사용하면 특정 작업을 수행하는 데 필요한 기능을 제공하는 특수 Windows PowerShell 엔드포인트를 구성할 수 있습니다

 

Hyper-V

많은 소프트웨어 개발자, IT 전문가 또는 기술 매니아들은 여러 운영 체제를 실행해야 합니다. Hyper-V를 사용하면 Windows에서 가상 머신으로 여러 운영 체제를 실행할 수 있습니다.

 

1. 

로그인 프로세스 중에 사용자 자격 증명을 보호하는 데 도움이 되는 Windows 10 Enterprise 기능은 무엇이며, 이 기능을 사용하도록 설정하려면 무엇이 필요한가요?

Windows Defender Credential Guard가 이와 같은 보호 기능을 제공합니다. Windows Defender Credential Guard를 구현하려면 Hyper-V 기능, 보안 부팅과 이상적으로 TPM과 UEFI 잠금이 필요합니다.

점프서버

점프 서버는 내부 네트워크와 경계 네트워크 사이처럼 다른 보안 영역에서 디바이스에 액세스하고 디바이스를 관리하는 데 사용되는 강화된 서버입니다. 점프 서버는 단일 지점과 관리 지점으로 작동할 수 있습니다.

중간 규모 조직의 경우 점프 서버는 물리적 보안을 구현하기가 더욱 까다로운 위치에서 보안을 강화할 수 있는 수단을 제공할 수 있습니다. 데이터 센터가 없는 지점을 예로 들 수 있습니다. 대기업의 경우 관리자가 데이터 센터에 있는 점프 서버를 배포할 수 있는데, 해당 점프 서버는 서버 및 도메인 컨트롤러에 대한 액세스 권한을 세밀하게 제어할 수 있습니다.

일반적으로 점프 서버에는 중요한 데이터가 없지만 사용자 자격 증명이 메모리에 저장되며 악의적인 해커가 이와 같은 자격 증명을 공격 목표로 삼을 수 있습니다. 따라서 점프 서버를 강화해야 합니다.

 

커널 모드(Kernel Mode)

커널 모드는 운영체제의 핵심 기능을 수행하는 커널(Kernel)이 실행되는 모드이다. 커널은 운영체제의 핵심 기능을 수행하고, 하드웨어와 직접 상호작용할 수 있는 권한을 가지고 있다. 

 

커널 모드에서 실행되는 코드는 시스템 자원에 대한 접근 권한이 허용되며, 하드웨어 제어, 메모리 관리, 인터럽트 처리 등의 중요한 작업을 수행할 수 있다.

 

커널 모드에서 실행되는 코드는 높은 권한과 특권을 가지므로 잘못된 동작으로 시스템에 심각한 영향을 줄 수 있으니 신중하게 관리되어야 한다.

 

 

원격 데스크톱 프로토콜(Remote Desktop Protocol, 줄여서 RDP)은 마이크로소프트사가 개발한 사유 프로토콜로, 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜이다. 이 프로토콜은 ITU-T T. 128 애플리케이션 공유 프로토콜의 확장이다.

 

• 원격 데스크톱 게이트웨이. 관리자가 RDP를 사용하여 대상 서버에 직접 연결해야 하는 경우 원격 데스크톱 게이트웨이를 구현합니다. 따라서 점프 서버와 (관리에 점프 서버가 사용되는) 대상 서버에 대한 연결 제한 사항을 구현할 수 있습니다.
• Hyper-V. 점프 서버에서 각 관리자마다 VM을 구현하는 것이 좋습니다. 각 VM은 관리 작업의 특정 작업이나 하위 세트를 허용하도록 구성할 수 있습니다. 따라서 점프 서버에 Hyper-V를 설치해야 합니다.

Privileged Access Workstation(paw) and privileged endpoint access

 

Windows Admin Center는 다음 네 가지 모듈로 구성된 모듈식 웹 애플리케이션입니다.

• 서버 관리자
• 장애 조치(failover) 클러스터
• 하이퍼 수렴형 클러스터
• Windows 10 클라이언트

RAST(wndows용 원격 서버 관리 도구)

RSAT는 Windows 클라이언트 운영 체제의 Professional Edition 또는 Enterprise Edition에만 설치할 수 있습니다.

원격 서버 관리 툴(RSAT)을 통해 그룹 액세스 제어와 정책을 설정하여 Windows AD 호환 장치를 관리할 수 있습니다. 도메인에 가입된 컴퓨터에서 로밍 사용자 프로필을 만들어 핫데스크와 및 장치 공유를 활성화할 수 있습니다.

Windows 10용 RSAT는 다음 표에 설명된 것을 비롯하여 사용 가능한 관리 도구의 전체 편성으로 구성됩니다

 

 

Cmdlet