Active Directory 포리스트의 보안 강화를 위해 Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러에서는 기본적으로 모든 새로운 보내는 외부 트러스트에 대해 SID(보안 식별자) 필터링을 사용하도록 설정합니다. 보내는 외부 트러스트에 SID 필터링을 적용하면 트러스트된 도메인에서 도메인 관리자 수준의 액세스 권한이 있는 악의적인 사용자가 자기 자신이나 해당 도메인의 다른 사용자 계정에게 트러스팅 도메인에 대한 상승된 사용자 권한을 부여하지 못하도록 방지할 수 있습니다.
위협 이해
보내는 외부 트러스트에 대해 SID 필터링을 사용하지 않으면 트러스트된 도메인에서 관리 자격 증명이 있는 악의적인 사용자가 트러스팅 도메인에서 보내는 네트워크 인증 요청을 "알아내서" 트러스팅 도메인의 리소스에 대한 모든 권한이 있는 도메인 관리자와 같은 사용자의 SID 정보를 얻을 수 있습니다.
관리 자격 증명이 있는 악의적인 사용자는 트러스팅 도메인의 도메인 관리자 SID를 얻은 후 이 SID를 트러스트된 도메인에 있는 사용자 계정의 SIDHistory 특성에 추가하고 트러스팅 도메인과 이 도메인의 리소스에 대한 모든 권한을 얻으려고 합니다. 이 시나리오에서 트러스트된 도메인에서 도메인 관리자 자격 증명이 있는 악의적인 사용자는 전체 트러스팅 포리스트에 위협이 됩니다.
SID 필터링은 트러스트된 도메인의 악의적인 사용자가 SIDHistory 특성을 사용하여 상승된 권한을 얻지 못하도록 하는 데 도움이 됩니다.
SID 필터링 작동 방식
도메인에서 보안 주체를 만들면 보안 주체가 만들어진 도메인을 식별하기 위해 보안 주체의 SID에 도메인 SID가 포함됩니다. 도메인 SID는 Windows 보안 하위 시스템에서 보안 주체의 인증을 확인하는 데 사용되므로 보안 주체의 중요한 특성입니다.
마찬가지로 트러스팅 도메인에서 만들어진 보내는 외부 트러스트는 SID 필터링을 사용하여 트러스트된 도메인의 보안 주체로부터의 받는 인증 요청에 트러스트된 도메인의 보안 주체 SID만 포함되어 있는지 확인합니다. 이 작업은 받는 보안 주체의 SID를 트러스트된 도메인의 도메인 SID와 비교하여 수행됩니다. 보안 주체 SID에 트러스트된 도메인의 SID가 아닌 다른 도메인 SID가 포함되어 있는 경우 트러스트는 이 SID를 제거합니다.
SID 필터링은 트러스트된 포리스트에 있는 보안 주체(inetOrgPerson 포함)의 SIDHistory 특성을 악용하여 트러스팅 포리스트의 무결성을 침해하지 못하도록 하는 데 도움이 됩니다.
SIDHistory 특성은 도메인 관리자가 사용자 계정 및 그룹 계정을 도메인 간에 마이그레이션할 때 유용할 수 있습니다. 도메인 관리자는 이전 사용자 계정 또는 그룹 계정의 SID를 새로 마이그레이션한 계정의 SIDHistory 특성에 추가할 수 있습니다. 이렇게 하여 도메인 관리자는 리소스에 대해 이전 계정과 동일한 수준의 액세스 권한을 새 계정에 부여할 수 있습니다.
이러한 방식으로 SIDHistory 특성을 사용할 수 없는 경우 도메인 관리자는 이전 계정에서 액세스 권한이 있었던 각 네트워크 리소스를 추적하여 새 계정에 사용 권한을 다시 적용해야 합니다.
SID 필터링이 미치는 영향
외부 트러스트에 SID 필터링을 사용하는 경우 다음 두 가지 측면에서 기존 Active Directory 인프라에 영향을 줄 수 있습니다.
-
트러스트된 도메인이 아닌 도메인의 SID가 포함된 SID 기록 데이터는 트러스트된 도메인에서 만들어진 인증 요청에서 제거됩니다. 따라서 사용자의 이전 SID를 갖는 리소스에 대한 액세스는 거부됩니다.
-
포리스트 간 유니버설 그룹 액세스 제어 전략을 변경해야 합니다.
SID 필터링을 사용하도록 설정하면 트러스팅 도메인의 리소스에 대한 권한 부여에 SID 기록 데이터를 사용하는 사용자는 더 이상 이러한 리소스에 대한 액세스 권한을 가질 수 없습니다.
일반적으로 트러스트된 포리스트의 유니버설 그룹을 트러스팅 도메인의 공유 리소스에 대한 ACL(액세스 제어 목록)에 할당하는 경우 SID 필터링은 액세스 제어 전략에 큰 영향을 미칩니다. 유니버설 그룹은 다른 보안 주체 개체와 동일한 SID 필터링 지침을 따라야 하므로(즉, 유니버설 그룹 개체 SID에도 도메인 SID가 포함되어야 함) 트러스팅 도메인의 공유 리소스에 할당된 모든 유니버설 그룹이 트러스트된 도메인에서 만들어졌는지 확인합니다. 트러스트된 포리스트의 유니버설 그룹에 트러스트된 도메인의 사용자가 구성원으로 포함되어 있을지라도 이 그룹이 트러스트된 도메인에서 만들어진 것이 아니면 이 유니버설 그룹 구성원의 인증 요청은 필터링되고 삭제됩니다. 따라서 트러스트된 도메인의 사용자에게 트러스팅 도메인의 리소스에 대한 액세스 권한을 할당하기 전에 트러스트된 도메인 사용자가 포함된 유니버설 그룹이 트러스트된 도메인에서 만들어졌는지 확인합니다.
추가 고려 사항
-
Windows 2000 SP3(서비스 팩 3) 또는 이전 버전을 실행하는 도메인 컨트롤러에서 만들어진 외부 트러스트는 기본적으로 SID 필터링을 적용하지 않습니다. 포리스트의 보안을 강화하려면 Windows 2000 SP3 또는 이전 버전을 실행하는 도메인 컨트롤러에서 만들어진 기존의 모든 외부 트러스트에 대해 SID 필터링을 사용하도록 설정하는 것이 좋습니다. 이 작업을 수행하려면 Netdom.exe를 사용하여 기존 외부 트러스트에 대해 SID 필터링을 사용하도록 설정하거나 Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러에서 이러한 외부 트러스트를 다시 만들 수 있습니다.
-
새로 만든 외부 트러스트에 대해 SID 필터링을 사용하도록 설정하는 기본 동작은 해제할 수 없습니다.
-
SID 필터링 설정(사용하지 않도록 설정하거나 다시 적용)을 구성하는 방법에 대한 자세한 내용은 외부 트러스트에 SID 필터 격리 구성(
https://go.microsoft.com/fwlink/?LinkID=92778(페이지는 영문일 수 있음) )을 참조하십시오.