서비스 계정에 대한 제어 및 가시성을 유지하는 것은 모든 조직의 ID 보안 포스처 관리에 매우 중요합니다. 특권 계정 시스템 기능을 자동화하기 위해 만들어지고 잊혀져서 악용될 수 있는 보안 홀을 만드는 경우가 많습니다. 서비스 계정의 전체 범위와 네트워크 및 서버에서의 활동을 알지 못하면 사이버 범죄자가 적극적으로 노리는 틈이 생깁니다.
이 문서에서는 사이버 보안 전문가가 전체 서비스 계정의 전체 인벤토리를 확보할 수 있는 단계별 가이드를 제공합니다. Active Directory 도메인 및 Windows 서버.
서비스 계정에 대한 문서화 부족은 큰 약점을 제공하며, 이 프로세스는 권한 있는 액세스가 있는 계정에 대한 전체 계정을 생성하여 이러한 격차를 줄이는 데 기여할 것입니다.
서비스 계정을 적절하게 관리하고 모니터링하는 것은 방어를 강화하고 다음 헤드라인이 되는 것을 방지하는 핵심 방법입니다.
도메인의 모든 서비스 계정 목록을 생성하는 방법
도메인에 있는 서비스 계정의 전체 인벤토리를 얻으려면 도메인 컨트롤러에 쿼리해야 합니다. 서비스 계정은 Windows 서비스, IIS 애플리케이션 풀, SQL Server 및 기타 애플리케이션에서 리소스에 액세스하는 데 사용됩니다. 그러나 적절한 문서화 및 감독이 없으면 분리된 서비스 계정으로 인해 보안 위험이 발생할 수 있습니다.
도메인 컨트롤러에서 다음 PowerShell 명령을 실행하여 모든 도메인 서비스 계정 목록을 생성합니다.
Get-ADUser -Filter 'ServicePrincipalName -like "*"' -Properties SamAccountName,ServicePrincipalName | Select-Object SamAccountName,ServicePrincipalName | Export-CSV C:\Temp\ServiceAccounts.csv이것은 :
- Get-ADUser cmdlet을 사용하여 모든 항목을 검색합니다. Active Directory 사용자 계정
- ServicePrincipalName 특성이 있는 사용자만 반환하도록 결과를 필터링합니다. 서비스 계정)
- SamAccountName 및 ServicePrincipalName 속성을 ServiceAccounts.csv라는 CSV 파일로 내보냅니다.
서비스 계정 목록을 보려면 CSV 파일을 엽니다. SamAccountName은 계정 이름을 나타내고 ServicePrincipalName은 계정을 사용하는 서비스 또는 애플리케이션의 이름을 표시합니다.
각 서비스 계정을 검토하여 아직 사용 중인지 확인하세요. 계정이 여전히 필요한지 확인하려면 애플리케이션 소유자에게 문의하세요. 손상 위험을 줄이려면 사용하지 않는 서비스 계정을 비활성화하거나 삭제하세요.
소유하는 애플리케이션이나 서비스에 대한 세부정보를 포함하여 모든 활성 서비스 계정을 문서화합니다. 문서가 최신 상태로 유지되도록 정기적으로 서비스 계정을 검토하는 프로세스를 확립하십시오.
시간을내어 모든 서비스 계정 찾기 도메인에서 감독 절차를 구현하는 것은 전체 보안 전략의 중요한 부분입니다. 문서화되지 않고 버려진 서비스 계정은 악의적인 행위자가 악용할 수 있는 쉬운 액세스를 제공합니다. 모든 서비스 계정의 정확한 등록을 유지하면 해당 계정을 적절하게 관리하고 모니터링할 수 있습니다.
서비스 계정 및 해당 권한 확인
서비스 계정이 식별되면 해당 권한의 범위가 적절하게 지정되었는지 확인하는 것이 중요합니다. 과도한 권한이 부여된 서비스 계정은 악의적인 행위자가 네트워크 환경 내에서 광범위한 액세스 권한을 얻기 위해 활용할 수 있으므로 주요 보안 위험을 나타냅니다.
서비스 계정 권한 검토
서비스 계정 권한을 확인하는 첫 번째 단계는 각 계정에 부여된 액세스 수준을 결정하는 것입니다. 여기에는 다음이 포함됩니다.
- 그룹 멤버십을 검토합니다. 서비스 계정은 해당 기능과 직접적으로 관련된 그룹에만 속해야 합니다. "도메인 관리자"와 같이 권한이 과도한 그룹에 속한 계정은 면밀히 조사해야 합니다.
- NTFS 파일/폴더 권한 분석. 서비스 계정에는 의도된 용도에 꼭 필요한 파일 및 폴더에 대한 권한만 있어야 합니다. 민감한 디렉터리에 대한 전체 제어 또는 수정 권한은 위험 신호입니다.
- 확인 중 특권 계정 유형. "엔터프라이즈 관리자" 또는 "스키마 관리자"와 같은 관리 권한이 있는 계정은 면밀한 검토가 필요합니다. 이러한 권한이 높은 계정은 자주 손상되는 대상입니다.
- 위임권을 검토합니다. 서비스 계정에는 "운영 체제의 일부로 작동" 또는 "인증 후 클라이언트 가장" 권한이 있어서는 안 됩니다. 이러한 권한은 높은 액세스 권한을 얻는 데 사용될 수 있기 때문입니다.
- SQL Server, SharePoint 및 기타 애플리케이션 권한을 분석합니다. db_owner 또는 팜 관리자 역할이 있는 서비스 계정은 광범위한 액세스 권한을 가지므로 면밀히 검토해야 합니다. 계정 기능에 필요한 최소한의 권한만 부여해야 합니다.
지나치게 권한이 부여된 서비스 계정이 식별된 경우 해당 계정이 작동하는 데 필요한 적절한 수준으로 권한을 줄여야 합니다. 계정의 광범위한 액세스에 대한 비즈니스 정당성이 불분명한 경우 비활성화해야 하는 승인되지 않은 계정 또는 "섀도우" 계정이 있음을 나타낼 수 있습니다.
서비스 계정 권한을 엄격하게 확인하고 줄이는 것은 계정 도용의 잠재적인 영향을 제한하는 핵심 단계입니다. 팔로우함으로써 서비스 계정 권장사항 권한 범위 지정 및 최소 권한을 통해 조직은 서비스 계정 액세스와 관련된 위험을 크게 줄일 수 있습니다.
서비스 계정의 지속적인 모니터링 및 관리
보안과 규정 준수를 유지하려면 서비스 계정을 정기적으로 모니터링하고 관리하는 것이 중요합니다. 서비스 계정에 대한 초기 감사가 완료되면 계정이 간과되거나 오용되지 않도록 지속적인 검토 프로세스를 구현해야 합니다.
예정된 검토
서비스 계정은 최소한 분기별로 검토하는 것이 좋습니다. 검토하는 동안 계정 비밀번호가 복잡하고 고유한지, 사용하지 않는 계정은 비활성화 또는 삭제되는지, 계정 권한 및 액세스 권한이 계정 기능에 적절하고 필요한지 확인하십시오. 다중 요소 인증 추가 보호 계층을 제공하려면 모든 서비스 계정에서 활성화해야 합니다.
계정 사용량 모니터링
서비스 계정 활동 및 로그인 이벤트를 지속적으로 모니터링합니다. 알 수 없는 장치나 위치에서의 로그인, 비정상적인 시간 동안의 로그인, 계정 권한 상승 등의 이상 현상을 감시하세요. 알 수 없는 소프트웨어 설치나 구성 변경 등 서비스 계정이 손상되었을 수 있는 징후를 모니터링합니다. 검토가 필요한 의심스러운 계정 활동을 관리자에게 알리도록 경고 및 보고서를 구성할 수 있습니다.
문서
잘 문서화된 서비스 계정은 적절하게 관리하고 감사하기가 더 쉽습니다. 문서에는 계정 목적, 소유권, 권한, 장치 및 액세스된 소프트웨어와 같은 세부 정보가 포함되어야 합니다. 문서화를 통해 계정 변경 사항이 합법적이고 승인되었는지 더 쉽게 확인할 수 있습니다. 문서가 부족하면 서비스 계정을 철저하게 검토하는 능력이 저하되고 보안 위험이 높아질 수 있습니다.
계정 소유권
자동화된 프로세스의 경우에도 모든 서비스 계정에 지정된 소유자가 있는지 확인하세요. 계정 소유자는 정기적으로 액세스 및 사용을 검토하여 계정이 여전히 필요하고 적절하게 활용되고 있는지 확인해야 합니다. 소유하지 않거나 고아가 된 계정은 관리 책임을 주장하는 사람이 없기 때문에 남용되거나 방치되기 쉽습니다.
정기적인 주의와 감독을 통해 서비스 계정을 보호하고 규정 준수를 유지할 수 있습니다. 그러나 지속적인 모니터링과 관리가 없으면 보안 허점이 발생하고 액세스 권한이 통제 불능 상태가 되면서 초기 계정 감사의 노력이 빠르게 무산될 것입니다. 계정을 검토하고, 활동을 모니터링하고, 문서를 업데이트하고, 소유권을 확인하기 위한 정기적인 일정을 수립하는 것이 중요합니다.
모든 서비스 계정을 아는 것의 중요성
서비스 계정은 Windows 서비스, IIS 응용 프로그램 풀 및 예약된 작업에서 리소스에 액세스하는 데 사용되는 관리 계정입니다. 서비스 계정은 높은 권한을 갖는 경우가 많기 때문에 해커와 악의적인 내부자의 일반적인 공격 벡터가 됩니다.
도메인의 모든 서비스 계정과 해당 계정이 액세스하는 리소스를 알지 못하면 조직은 무단 액세스 및 데이터 침해에 취약해집니다. 정기적인 서비스 계정 감사는 PCI DSS와 같은 규정을 준수하고 고객의 부담을 최소화하는 데 필요한 사전 보안 조치입니다. 공격 표면.
- 서비스 계정은 네트워크에 대한 방법을 제공합니다. 해커는 초기 액세스 권한을 얻기 위해 취약한 비밀번호나 과도한 권한을 가진 서비스 계정을 표적으로 삼는 경우가 많습니다. 내부로 들어가면 계정을 사용하여 데이터에 액세스하고 측면으로 이동합니다.
- 분리된 서비스 계정은 취약합니다. 더 이상 서비스나 작업과 연결되지 않지만 여전히 AD에서 활성화되어 있는 서비스 계정은 해커의 표적이 될 수 있습니다. 고아 계정을 식별하고 비활성화하는 것이 중요합니다.
- 시간이 지남에 따라 권한 크리프가 발생할 수 있습니다. 서비스 계정은 새로운 서비스와 시스템이 온라인 상태가 되면 추가 액세스 권한을 축적하여 실제로 필요한 것보다 더 많은 권한을 계정에 부여할 수 있습니다. 감사는 계정에 다음이 있는지 확인하여 권한 상승을 방지하는 데 도움이 됩니다. 최소 특권 액세스 할 수 있습니다.
- 규정 준수가 위험합니다. PCI DSS와 같은 규정에서는 서비스 계정과 같은 관리 계정에 대한 엄격한 제어 및 모니터링을 요구합니다. 서비스 계정을 정기적으로 감사하지 않으면 규정 준수가 위험해지고 처벌을 받을 수 있습니다.
전체 서비스 계정 인벤토리가 없을 때의 위험
서비스 계정의 불완전한 인벤토리가 있는 경우 Active Directory 환경은 조직에 심각한 위험을 초래합니다. 서비스 계정에 대한 무단 액세스로 인해 다음이 발생할 수 있습니다. 권한 에스컬레이션, 악의적인 행위자가 관리 권한을 얻고 민감한 정보에 액세스할 수 있도록 허용합니다. 결과적으로 데이터 침해, 서비스 중단 및 규정 준수 문제가 발생할 수 있습니다.
서비스 계정은 사람이 아닌 계정이기 때문에 감사 및 보안 검토에서 간과되는 경우가 많습니다. 그러나 애플리케이션과 서비스를 실행하는 데 필요한 높은 권한을 갖는 경우가 많습니다. 이러한 계정이 손상된 경우 공격자는 네트워크 내에서 측면으로 이동하여 관리 액세스 권한을 얻기가 더 쉬워집니다.
광범위한 액세스가 있는 서비스 계정이 손상되면 데이터 침해가 발생할 가능성이 더 높습니다. 공격자가 시스템에 액세스하면 고객 데이터, 지적 재산 및 기타 민감한 정보에 액세스하여 유출될 수 있습니다. 금융 기록. 감사원이 과도한 권한이 있는 알려지지 않은 서비스 계정을 발견하면 규정 준수도 위험에 처하게 됩니다.
서비스 계정이 애플리케이션, 서버 및 네트워크 장치를 변조하는 데 오용되면 중단 및 중단이 발생할 수 있습니다. 악성코드 또는 랜섬 손상된 서비스 계정을 통해 배포하면 시스템이 손상되고 비즈니스 운영에 영향을 미칠 수 있습니다.
서비스 계정에 대한 포괄적인 인벤토리를 수행하면 조직은 적절한 제어를 구현하여 무단 액세스 위험을 줄일 수 있습니다. 권한 에스컬레이션, 데이터 침해 및 서비스 중단. 서비스 계정에 대한 지속적인 모니터링 및 검토가 모든 서비스 계정에 통합되어야 합니다. Active Directory 보안 프로그램. 그렇지 않으면 악의적인 행위자가 쉽게 악용할 수 있는 대상이 됩니다.
방법 Silverfort 모든 서비스 계정을 찾아 보호합니다.
Silverfort 모든 서비스 계정을 알고 관리하는 것의 중요성을 이해합니다. 당사의 포괄적인 솔루션은 완전한 인벤토리를 생성하여 향상된 보안 및 규정 준수를 보장합니다.
당사의 솔루션은 서비스 계정을 사전에 식별하고 보호하여 무단 액세스 및 권한 상승으로 인한 위험을 완화합니다. 우리는 감사를 넘어 사람이 아닌 계정을 처리합니다.
Silverfort 서비스 계정에 필요한 상승된 권한을 효과적으로 관리합니다. 정기적인 모니터링과 검토를 통해 데이터 침해, 중단, 규정 준수 문제가 크게 줄어듭니다.
지속적인 모니터링과 통제를 통해 위협을 신속하게 탐지하고 대응합니다. Silverfort 무단 접근을 방지할 뿐만 아니라 측면 운동, 악의적인 행위자가 관리 액세스 권한을 얻을 수 없도록 보장합니다.
우리는 보안과 규정 준수의 위험성을 이해하고 있으므로 우리의 솔루션은 쉬운 목표를 제거하는 동시에 보안을 강화합니다. Active Directory 보안 프로그램을 통해 위협보다 앞서 나가십시오.