2단계: 권한 있는 워크스테이션 구성 및 보호

이 문서는 권한 있는 액세스 아키텍처 솔루션 구현 가이드의 일부입니다.

권한 있는 액세스는 ID 시스템, 클라우드 제어 평면 및 중요 비즈니스용 자산을 직접 제어할 수 있으므로 대부분의 조직에서 중요한 보안 위험을 초래합니다.

보안 권한 있는 액세스 아키텍처 가 이러한 위험을 줄이고 중요한 시스템에 대한 제어를 강화하여 중요한 비즈니스 자산 보호 라는 비즈니스 시나리오에서 중요한 역할을 수행하는 방법을 알아봅니다.

이 문서에서는 솔루션의 2단계를 설명합니다. 권한 있는 활동이 신뢰할 수 있는 디바이스에서만 시작되도록 PAW(Privileged Access Workstations)를 배포하고 강화합니다. 이 단계는 1단계를 기반으로 하며, 3단계의 적용에 사용되는 디바이스 신뢰 신호(Intune 규정 준수 및 엔드포인트용 Microsoft Defender 위험 수준)를 생성합니다.

보호 목표

2단계는 권한 있는 액세스를 보장합니다.

  • 신뢰할 수 있는 강화된 디바이스에서만 시작됩니다.
  • 위험 수준이 높은 생산성 활동에서 격리됩니다.
  • 나중에 적용할 수 있는 깨끗하고 신뢰할 수 있는 디바이스 신호를 생성합니다.
  • 자격 증명 도난, 토큰 재생 및 세션 하이재킹 위험을 줄입니다.
  • 디바이스가 손상된 경우 폭발 반경을 제한합니다.

보호 범위

권한 있는 액세스는 시작된 디바이스만큼만 신뢰할 수 있습니다. MFA, 승인 및 역할 활성화와 같은 ID 보호는 손상된 워크스테이션을 보상할 수 없습니다. 공격자가 권한 있는 액세스에 사용되는 디바이스를 제어하는 경우 다음을 수행할 수 있습니다.

  • MFA가 완료된 후 인증 토큰을 도용합니다.
  • 관리 세션에 악의적인 프로세스를 삽입합니다.
  • 메모리에서 자격 증명 또는 토큰을 재생합니다.
  • 합법적인 사용자로 작동하여 승인 워크플로를 무시합니다.

권한 있는 역할의 경우 손상된 단일 워크스테이션을 통해 테넌트 전체 또는 엔터프라이즈 차원의 제어로 신속하게 에스컬레이션할 수 있습니다. 따라서 디바이스 보안은 권한 있는 액세스에 대한 신뢰의 상한을 정의합니다. 따라서 권한 있는 액세스 정책은 관리 세션이 가장 높은 보안 표시줄을 충족하는 디바이스에서 시작된다고 가정합니다. 이러한 디바이스는 권한 있는 작업에 대한 신뢰 경계를 형성합니다.

PAW(권한 있는 액세스 워크스테이션)

PAW는 권한 있는 작업 전용으로 설계된 강화되고 관리되는 Windows 워크스테이션입니다. PAW는 권한 있는 액세스에 대한 디바이스 신뢰 경계를 정의하며 일반적인 공격 벡터로부터 격리됩니다.

  • 전자 메일, 일반 웹 검색 및 생산성 워크로드에서 격리됩니다.
  • Microsoft Intune 통해 등록 및 관리됩니다.
  • ID 통합에 Microsoft Entra ID 사용합니다.
  • 엔드포인트용 Microsoft Defender 모니터링됩니다.
  • 강력한 하드웨어 기반 신뢰 루트를 제공합니다.

보안 수준/프로필의 관점에서 PAW가 어떻게 적용되는지 살펴보겠습니다.

보안 수준 디바이스 프로필
엔터프라이즈 사용자 표준 관리 디바이스
특수 연산자 강화된 관리형 디바이스
권한 보유 (컨트롤 플레인 관리자)

위험 완화

위험 중요한 이유 1단계 완화
공격자가 MFA 후 인증 토큰을 훔칩니다. MFA는 실행 환경이 아닌 인증을 보호합니다. 워크스테이션이 손상된 경우 공격자는 인증 후 토큰을 도용하고 다시 사용하여 권한 있는 사용자를 가장할 수 있습니다. PAW는 공격 노출 영역 감소, 자격 증명 보호(Credential Guard) 및 지속적인 모니터링을 통해 강화된 디바이스에서 권한 있는 작업을 격리하여 토큰 도난이 손상된 생산성 디바이스를 방지합니다.
관리 세션에 악의적인 프로세스 주입 공격자는 손상된 디바이스의 관리 도구 또는 브라우저 세션에 코드를 삽입하여 ID가 보호되는 경우에도 권한 있는 작업을 제어할 수 있습니다. 애플리케이션 제어, 로컬 관리자 권한 제거 및 PAW에 대한 제한된 애플리케이션 실행은 관리 세션 중에 무단 코드 실행을 방지합니다.
메모리에서 자격 증명 재생 공격자는 손상된 워크스테이션의 메모리에서 자격 증명 또는 토큰을 추출하고 재생하여 권한을 확대하거나 횡적으로 이동할 수 있습니다. PAW는 가상화 기반 보안 및 강화된 OS 구성을 사용하여 자격 증명 격리를 적용하여 메모리의 자격 증명 노출을 줄이고 재생 기회를 제한합니다.
손상된 디바이스에서 바이패스된 승인 워크플로 승인 기반 역할 활성화에도 불구하고 워크스테이션을 제어하는 공격자는 승인된 세션을 하이재킹하고 권한을 빠르게 확대할 수 있습니다. 디바이스 신뢰는 권한 있는 작업의 필수 구성 요소가 됩니다. PAW는 손상에 저항하도록 설계된 디바이스에서만 승인 및 관리 작업이 수행되도록 합니다.
손상된 워크스테이션에서 신속한 에스컬레이션 손상된 단일 관리자 워크스테이션을 사용하면 공격자가 ID 시스템, 제어 평면 및 엔터프라이즈 전체 관리에 빠르게 피벗할 수 있습니다. 디바이스 보안은 신뢰의 상한을 설정합니다. PAW는 가장 높은 보안 표시줄을 제공하여 손상된 엔드포인트를 사용하여 권한 있는 역할로 에스컬레이션할 가능성을 줄입니다.

단계 결과

2단계를 완료한 후:

  • 하나 이상의 전용 PAW 디바이스가 설정됩니다.
  • 권한 있는 관리 작업은 PAW에서만 시작됩니다.
  • PAW는 일반적인 생산성 용도와 분리됩니다.
  • 디바이스는 중앙에서 관리되고 모니터링되며 복구할 수 있습니다.
  • 디바이스 신뢰 가정은 명시적이고 적용할 수 있습니다.
  • 이후 단계에서는 조건부 액세스 및 모니터링을 안전하게 적용할 수 있습니다.

사전 요구 사항

이 문서의 절차를 구성하기 전에 다음을 수행합니다.

  • 1단계 지침이 완료되었는지 확인합니다.
  • 권한 있는 액세스 스토리의 디바이스 보안에 대해 알아봅니다.
  • 다음 서비스를 사용할 수 있어야 합니다.
    • ID 공급자로 Microsoft Entra ID.
    • 디바이스 관리를 위한 Microsoft Intune.
    • 위협 방지를 위한 엔드포인트용 Microsoft Defender.
  • 다음을 지원하는 최신 Windows 하드웨어를 사용하여 관리자당 하나 이상의 지원되는 Windows 디바이스가 필요합니다.
    • TPM 2.0
    • UEFI 보안 부팅
    • BitLocker
    • 가상화 기반 보안(VBS/HVCI)
    • 펌웨어 및 드라이버는 Windows 업데이트 통해 서비스되었습니다.

이 막대를 충족하지 않는 디바이스는 권한 있는 액세스에 사용할 수 없습니다.

1단계: PAW 프로비저닝/라이프사이클 정의

어떤 디바이스가 PAW인지, 그리고 이러한 디바이스가 어떻게 생성되고 등록되며 관리되고 준비되기 전에 사용되지 않도록 방지되는지를 정의합니다.

PAW 디바이스 그룹 만들기

이 그룹에는 PAW 디바이스가 포함되며 다음 용도로 사용됩니다.

  • 등록 대상 지정
  • 프로필 강화
  • 규정 준수 평가
  • 이후 단계에서 조건부 액세스 적용

다음과 같이 만듭니다.

  1. Microsoft Entra 관리 센터에서 Microsoft Entra ID>Groups>새 그룹로 이동합니다.

  2. 그룹 설정을 구성한 다음 만들기를 선택합니다.

    • 그룹 유형: 보안
    • 그룹 이름: 보안 워크스테이션 디바이스
    • 멤버 자격 유형: 동적 디바이스

  3. 동적 쿼리 추가를 선택하고 device.devicePhysicalIds -any _ -contains "[OrderID]: PAW" 구문을 사용하여 규칙을 추가합니다.

  4. 저장>만들기를 선택합니다.

PAW Autopilot 그룹 태그에 등록된 디바이스는 PAW 동적 디바이스 규칙에 의해 식별되며 권한 있는 액세스 워크스테이션으로 처리됩니다.

PAW를 만들 수 있는 사용자를 제어

PAW가 의도적으로 안전하게 등록되었는지 확인합니다.

  • 디바이스를 Microsoft Entra ID 조인할 수 있는 사용자를 제한합니다.
  • 디바이스를 조인하려면 MFA가 필요합니다.
  • 조인에 대한 자동 로컬 관리자 권한을 제거합니다.
  1. Entra 관리 센터에서 디바이스 디바이스>설정으로 이동합니다.
  2. 사용자는 디바이스를 Microsoft Entra ID에 조인할 수 있음>선택에서 보안 워크스테이션 사용자를 선택합니다.
  3. 디바이스에 조인하려면 Multi-Factor Auth 필요에서 예를 선택합니다.
  4. Microsoft Entra 조인된 디바이스의 로컬 관리자 추가에서 None 선택합니다.
  5. 설정을 저장합니다.

이 기능을 사용하면 PAW 사용자만 PAW를 등록할 수 있고, MFA가 필요하며, 기본적으로 PAW 사용자가 로컬 관리자가 되지 않습니다.

첫 번째 부팅에서 PAW 관리

PAW는 첫 번째 부팅에서 관리해야 합니다. 권한 있는 액세스에 대해 관리되지 않는 디바이스를 신뢰할 수 없습니다.

  • Intune에 디바이스를 자동으로 등록하도록 Microsoft Entra ID 구성합니다.
  • 모든 PAW가 조인 직후 MDM에서 관리되는지 확인합니다.
  • 디바이스 등록을 승인된 플랫폼으로 제한합니다.
  1. Microsoft Entra ID>모빌리티(MDM 및 MAM)>Microsoft Intune 엽니다.
  2. MDM 사용자 범위를모두로 설정하고 저장합니다.
  3. 등록 제한 구성:
    • Windows 디바이스 등록을 허용합니다.
    • 개인 소유 디바이스를 차단하거나 제한합니다.

PAW는 항상 관리 상태이며, 비관리 상태인 경우는 없습니다.

PAW를 일관되게 배포##

Windows Autopilot을 사용하여 일관되고 반복 가능한 PAW 프로비저닝을 강제하고, PAW가 검증된 정상 상태에서 시작되도록 합니다.

전용 Autopilot 배포 프로필을 만들고 PAW 디바이스 그룹에 할당합니다.

  1. Microsoft Intune 관리 센터에서 Devices>Windows>Windows 등록> 배포 프로필으로 이동합니다.
  2. 프로필 만들기를 선택하고 다음 설정을 사용하여 프로필을 만듭니다.
    • 이름: 보안 워크스테이션 배포 프로필
    • 모든 대상 디바이스를 Autopilot으로 변환: 예
    • 배포 모드: 자체 배포
    • 사용자 계정 유형: 표준
  3. Create를 선택합니다.

강화하기 전에 PAW 사용 방지

PAW의 보안이 완전히 강화되기 전에는 사용하지 못하도록 방지합니다. 이렇게 하면 설치하는 동안 조기에 노출되지 않습니다.

  • ESP(등록 상태 페이지) 구성
  • 모든 필수 프로필 및 애플리케이션이 설치될 때까지 디바이스 사용 차단
  • PAW 디바이스에 ESP 할당

  1. Microsoft Intune 관리 센터에서 Devices>Windows>Windows 등록> 등록 상태로 이동합니다.

  2. 프로필 만들기를 선택하고 다음 설정을 사용하여 프로필을 만듭니다.

    • 앱 및 프로필 설치 진행률 표시: 예
    • 모든 앱 및 프로필이 설치될 때까지 디바이스 사용 차단: 예

  3. 보안 워크스테이션 디바이스에 할당하고 만들기를 선택합니다.

진행 중인 수명 주기 작업

  1. PAW를 복구하고 다시 빌드하려면 다음을 수행합니다.

    • 침해된 경우 Autopilot을 통해 PAW를 초기화하거나 재프로비저닝합니다.
    • PAW를 수동으로 복구하지 않고 교체 가능한 것으로 처리합니다.

  2. PAW를 식별하고 추적하려면 다음을 사용합니다.

    • 디바이스 그룹 멤버 자격
    • Autopilot 등록

이러한 프로세스가 마련되면 PAW는 명확히 식별 가능하고 중앙에서 관리되는 디바이스가 되며, 자산 목록에 등록하고 검토할 수 있고, 손상된 경우에는 Autopilot을 통해 안전하게 초기화하고 다시 프로비저닝할 수 있습니다.

2단계: PAW 강화

PAW(Privileged Access Workstations)를 강화하여 위험 수준이 낮은 깨끗한 디바이스 신호를 제공합니다. 강화 컨트롤에는 공격 표면 감소, 패치 적용 및 Defender 위험/규정 준수 신호 생성이 포함됩니다.

조건부 액세스 및 모니터링 컨트롤은 이 자세를 사용하여 권한 있는 액세스 결정을 적용합니다.

이러한 컨트롤은 PAW가 이전에 정의된 필수 하드웨어 보안 필수 구성 요소를 충족하는 것으로 가정합니다.

Windows 업데이트 링 구성

PAW는 신속하고 예측 가능하게 패치해야 합니다. 지연 또는 사용자 제어 지연은 디바이스 신뢰를 손상합니다.

  1. Microsoft Intune 관리 센터에서 Devices>Windows>소프트웨어 업데이트>Windows 업데이트 링로 이동합니다.

  2. 프로필 만들기를 선택합니다.

  3. 다음 설정을 구성합니다.

    • 이름: PAW – Windows 업데이트 링
    • 품질 업데이트 지연(일): 3
    • 기능 업데이트 지연(일): 3
    • 자동 업데이트 동작: 최종 사용자 제어 없이 자동 설치 및 다시 부팅
    • 사용자가 업데이트를 일시 중지하지 못하도록 차단: 차단
    • 보류 중인 다시 시작 기한 설정: 3일

  4. 할당에서 보안 워크스테이션 장치에 할당합니다.

  5. 프로필을 만듭니다.

이 절차를 완료한 후 PAW는 최소한의 노출 기간과 사용자 바이패스 없이 패치된 상태를 유지합니다.

Defender for Endpoint에 온보딩

조건부 액세스 및 규정 준수는 Defender 위험 신호에 따라 달라집니다. 엔드포인트에 대한 Defender 없으면 디바이스 신뢰가 불완전합니다.

  1. Microsoft Intune 관리 센터에서 엔드포인트 보안>엔드포인트용 Microsoft Defender로 이동합니다.
  2. 엔드포인트용 Microsoft Defender를 Intune에 연결On으로 설정합니다.
  3. 저장을 선택합니다.
  4. Intune에서 새로 고침하여 연결을 확인하세요.

온보딩 프로필 만들기

  1. Microsoft Intune 관리 센터에서 엔드포인트 보안> 엔드포인트 검색 및 응답로 이동합니다.

  2. 프로필 만들기를 선택하고 다음 설정을 구성합니다.

    • 플랫폼: Windows 10 이상
    • 프로필 유형: 엔드포인트 탐지 및 대응
    • 이름: PAW - Defender for Endpoint

  3. 구성 설정에서 모든 파일에 대해 샘플 공유를 사용하도록 설정합니다.

  4. 보안 워크스테이션 디바이스 그룹에 할당합니다.

  5. 프로필을 만듭니다.

절차를 구성하면 PAW는 조건부 액세스와 SecOps에서 사용되는 디바이스 위험, 맬웨어 및 EDR 텔레메트리를 전송합니다.

방화벽 및 네트워크 제한 적용

PAW 침해 경로의 대부분은 외부로 향합니다. 아웃바운드 트래픽을 제한하는 것은 매우 중요합니다.

  1. Microsoft Intune 관리 센터에서 엔드포인트 보안>Firewall으로 이동합니다.
  2. Endpoint Protection 프로필을 만듭니다.
  3. DNS, DHCP, NTP 및 승인된 관리 및 관리 엔드포인트와 같은 필수 서비스만 허용하도록 아웃바운드 방화벽 규칙을 구성합니다. 기본적으로 불필요한 아웃바운드 트래픽을 차단합니다.
  4. 보안 워크스테이션 디바이스에 할당합니다.

절차를 구성한 후 PAW는 관리 작업에 필요한 관리 엔드포인트에만 연결할 수 있습니다.

다음 단계

PAW를 구성하고 강화하면 다음 단계는 조건부 액세스 및 정책을 사용하여 권한 있는 액세스를 적용하는 것입니다.

  • Last updated on