보안 / 윈도우

"로컬 관리자 계정 관리의 첫걸음" 마이크로소프트 LAPS 설치 및 구성법

Tim Ferrill | CSO 2022.11.10
암호는 컴퓨팅 인프라 보호에서 항상 고충점이다. 복잡성과 길이는 강력한 암호를 구성하는 주된 요소이지만, 기억하기 어렵고 이마저도 주기적으로 변경해야 한다. 사용하는 기기가 몇 개 없을 때는 괜찮지만, 네트워크가 지리적으로 분산되면서 수백, 수천 개의 컴퓨터가 연결되면 특히 기억하기 어렵다.

마이크로소프트는 이 문제의 해결책으로 로컬 관리자 암호 솔루션(Local Administrator Password Solution, LAPS)을 제공하지만, 마이크로소프트의 다른 솔루션처럼 잘 알려지지는 않았다. LAPS는 사용자가 정의한 복잡성 매개변수를 사용해 지정한 일정에 따라 로컬 관리자 암호를 자동으로 재설정하는 유틸리티다.
 
ⓒ Getty Images Bank


LAPS를 활용하는 최선의 방법

숙련된 윈도우 관리자라면 누구나 알듯 마이크로소프트 AD(Active Directory) 도메인에 속한 윈도우 컴퓨터 대부분은 로컬 도메인 계정을 유지한다. 네트워크 문제 또는 하드웨어 드라이버 누락처럼 도메인을 사용할 수 없는 상황에서도 개별 기기를 관리하기 위해서다. 하지만 로컬 계정은 보호가 까다롭다. 그룹 정책은 컴퓨터의 기본 관리자 계정 이름을 정책 범위 내에서 변경하는 옵션을 제공하지만, 암호 관리에는 약간의 부가적인 노력이 필요하다. 

LAPS를 설치하고 구성하기 위해서는 하나 이상의 관리 서버에 해당 소프트웨어를 설치하고, AD 스키마를 약간 수정하고, 그룹 정책을 사용해 설정을 구성하고, 멤버 서버와 워크스테이션에 애드온을 배포하는 과정을 거친다. 각 단계를 세부적으로 살펴보고 이 과정에서 직면할 수 있는 몇 가지 문제에 대해 알아보자.

LAPS 배포의 첫 단계는 그룹 정책 관리 툴이 이미 설치돼 있는 서버에 LAPS를 설치하는 것이다. 또한 LAPS 배포 과정에는 AD 스키마 수정이 포함되므로 가급적 도메인 컨트롤러, 이상적으로는 스키마 마스터 역할을 가진 도메인 컨트롤러에 설치할 것을 권장한다. 설치할 때는 관리 도구(Management Tools) 노드 아래의 팻 클라이언트 UI, 파워셸(PowerShell) 모듈, GPO(Group Policy Object) 편집기 템플릿 같은 기능을 모두 설치하는 것이 좋다.
 
두 번째 단계는 AD를 각 컴퓨터의 로컬 관리자 암호와 암호의 만료 날짜를 저장할 수 있도록 구성하는 것이다. 이때 AD 스키마를 수정해 필드를 추가하는 작업이 필요하다. 관리 파워셸 창을 열어서 Import-Module AdmPwd.PS 명령과 Update-AdmPwdADSchema를 차례로 실행하면 성공적으로 수행된 3가지 작업이 나열된다. 이 단계에서 문제가 발생하는 경우 사용자에게 적절한 스키마 관리자 권한이 있는지, AD 스키마 스냅인이 등록되었는지(regsvr32 schmmgmt.dll), 그리고 AD 복제 상태가 정상인지 확인해야 한다.
 
ⓒ Foundry

세 번째 단계로, 필요 시 컴퓨터가 로컬 관리자의 암호를 설정하고 관리자가 이런 암호를 읽고 재설정할 수 있도록 컴퓨터 계정이 포함된 AD의 OU(organizational units)에서 몇 가지 권한을 구성해야 한다. 수동으로 해도 되지만, LAPS는 이런 권한 관리에 유용한 파워셸에서 실행할 수 있는 명령어(cmdlet)를 제공한다. Set-AdmPwdComputerSelfPermission cmdlet은 컴퓨터가 로컬 관리자 암호를 저장하고 변경 날짜를 추적하도록 OU의 권한을 구성하는 데 사용할 수 있다. Set-AdmPwdReadPasswordPermissionSet-AdmPwdResetPasswordPermission은 지정된 그룹이 각각 암호를 불러오거나 재설정할 수 있게 해주는 명령어다.

마지막은 LAPS 구성과 관련된 그룹 정책 설정이다. 컴퓨터 구성/정책/관리 템플릿/LAPS(Computer Configuration/Policies/Administrative Templates/LAPS) 아래에 다음과 같은 4개의 간단한 설정이 있다.
 
  1. 암호 설정(Password Settings)으로, 복잡성을 위해 사용해야 하는 문자의 유형, 생성할 암호의 길이, 암호 재설정이 자동으로 실행되는 기간을 지정해야 한다.
  2. 두 번째 설정은 관리할 로컬 관리자 계정을 식별하는 데 사용된다. 이 설정은 관리할 계정이 기본 관리자 계정이 아닌 경우와 관리할 계정이 기본 관리자 계정(이름이 변경된 경우에도 마차가지)을 가리키는 데 사용되면 안 되는 경우에만 사용된다.
  3. 세 번째 설정은 LAPS 암호 만료 시간이 표준 AD 암호 설정 정책의 만료 시간을 초과하지 않도록 하는 데 사용된다.
  4. 마지막 설정은 로컬 관리자 암호 관리 설정을 활성화한다. 이 설정은 GPO의 범위 내에 있는 컴퓨터를 대상으로 LAPS를 활성화한다.
 
ⓒ Foundry


LAPS가 보안에 미치는 영향

LAPS를 사용하기 전 생각해야 할 가장 큰 부분은 로컬 관리자 암호가 AD에 일반 텍스트로 저장된다는 사실이다. 크게 보면 이 위험은 주요 속성에 대한 제한적인 권한을 통해 완화된다. 또한 자동으로 변경되지 않는 하나의 암호를 모든 계정이 사용하는 경우의 위험에 비하면 하나의 관리자 계정이 침해될 때의 위험은 매우 낮은 수준이다.

AD 포리스트에서는 비관리 계정에 의해 컴퓨터가 도메인에 조인될 가능성이 있다. 이 경우 조인된 컴퓨터 계정에는 msds-CreatorSid 속성 집합이 존재할 수 있다. 해당 계정을 만든 사용자에게 AD의 컴퓨터 개체에 대한 부가적인 권한을 부여하는 속성 집합인데, 이 권한에는 로컬 관리자 계정의 암호가 들어 있는 ms-Mcs-AdmPwd 속성을 읽을 수 있는 권한도 포함된다.

msds-CreatorSid가 있는 컴퓨터 개체는 따로 식별해 적절히 취급돼야 한다. 가장 좋은 방법은 도메인에 새 컴퓨터를 추가하는 권한을 관리자만 갖도록 하는 것이다. 


LAPS에서 암호 불러오기 및 재설정

일반적으로 관리자가 LAPS를 수동으로 다룰 일은 단일 컴퓨터의 로컬 관리자 암호를 불러올 때 외에는 없다. LAPS 관리 구성요소가 설치됐다면 LAPS UI를 사용해 컴퓨터 이름을 입력하고 암호를 불러오기만 하면 된다. LAPS 관리 구성요소에는 암호를 불러오기 위한 Get-AdmPwdPassword 파워셸 cmdlet도 포함된다.
 
ⓒ Foundry

또한 사용자가 적절한 권한을 갖고 있다면 AD 사용자 및 컴퓨터와 같은 표준 AD 관리자 툴이나 Get-ADUser 파워셸 cmdlet도 각각 ms-Mcs-AdmPwd 속성을 읽을 수 있다.

컴퓨터의 로컬 관리자 암호는 LAPS UI 또는 Reset-AdmPwdPassword cmdlet을 사용해 재설정할 수 있다. 이런 툴은 만료를 과거 시간으로 업데이트하는 방식으로 LAPS 유틸리티를 트리거해서 관리자 계정에 사용할 무작위 암호를 재생성하도록 한다. 이 파워셸 유틸리티는 관리자 암호를 대량으로 재설정하는 데 특히 유용하다. 다만 특권 사용자가 팀에서 나갈 때마다 이 기능을 사용해야 한다.


LAPS 투자 확대하는 마이크로소프트

LAPS는 새로운 솔루션이 아니며, 부족한 점도 있다. 좋은 소식은 마이크로소프트가 레거시 LAPS의 몇 가지 약점을 고치고 애저 AD와 같은 현대 기술도 활용하도록 최신 운영체제에서 LAPS에 적극적으로 투자하고 있다는 점이다. 단, 최신 LAPS는 현재 윈도우 11 인사이더 프리뷰 빌드 25145 이상에서만 지원되고 애저 AD와의 통합은 소수 윈도우 인사이더 사용자에게만 제공되므로 널리 보급되기까지는 아직 시간이 더 필요하다.

최신 LAPS가 제공하는 첫 번째 주요 기능은 로컬 관리자 암호를 AD 또는 애저 AD에 저장하는 기능이다. 마이크로소프트는 앞으로 암호화된 암호를 온프레미스 AD(2016 도메인 기능 수준 또는 그 이상에서 실행)에 저장하고 애저 AD에는 저장하지 않는 기능도 지원한다. 이렇게 하면 AD를 사용하는 레거시 LAPS의 중요한 보안 공백이 제거된다. 또한 최신 LAPS는 AD의 DSRM(Directory Services Restore Mode) 암호의 백업도 지원한다. 이 암호는 AD에서 재해 복구를 수행하기 위해 핵심적으로 필요한 자격 증명이지만, 엔터프라이즈 환경에서 사용 빈도가 특히 낮고 따라서 잊기도 쉽다.

레거시 LAPS와 마찬가지로 AD에서 현대적 구현을 구성하는 작업 대부분은 GPO 관리와 관련되지만, 새로운 기능과 새로운 설정도 있다. 대표적인 것이 암호를 해독할 수 있는 사용자 또는 그룹을 지정하는 기능이다. 이 설정을 구성하지 않으면 컴퓨터와 동일한 도메인의 도메인 관리자 그룹에 속한 멤버만 암호를 볼 수 있다. 애저 AD 구현은 확실히 패러다임 변화라고 할 수 있지만, 이 길을 택한다면 애저 AD와 마이크로소프트 클라우드를 통한 디바이스 정책 관리의 복잡성에 이미 투자를 했을 가능성이 높다.

마지막으로 살펴볼 새로운 기능은 로컬 관리자 계정이 사용된 후 암호를 바로 재설정하도록 LAPS를 구성하는 기능이다. 목적은 로컬 관리자 계정이 침해될 때의 피해 범위를 줄이는 것으로, 2가지 그룹 정책 설정을 구성하는 과정으로 이뤄진다. 다만 관리 특권을 획득한 악의적 사용자가 이 작업을 방해할 수 있다.

인증 후 작업으로는 간단한 암호 재설정, 암호 재설정 및 사용자 강제 로그아웃, 또는 암호 재설정 및 컴퓨터 재부팅을 설정할 수 있다. 각 옵션은 서로 다른 시나리오에 사용되며, 두 번째 설정에서는 최대 24시간 동안 로그아웃되지 않도록 구성할 수 있다. 인증 후 작업 기능 비활성화하려면 0을 입력해야 한다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.