검색

지원하는 언어

Windows 환경에서 암호 공간 줄이기

일월 7일 (2020년)

» 블로그 » Windows 환경에서 암호 공간 줄이기

*****에 의해 Yaron Kassner, CTO 및 공동 설립자, Silverfort*****

비밀번호가 필요 없다는 말은 최근에 많이 사용되고 있으며 모두가 그것에 대해 이야기하고 있지만 실제로 비밀번호를 제거한 기업을 본 적이 없습니다. 암호를 제거하는 것은 큰 도전이며 큰 도전은 작은 단계로 해결해야 한다고 생각합니다. 따라서 이 블로그 게시물에서는 기업에서 암호를 제거하는 데 도움이 되는 일련의 권장 단계를 제안합니다. 솔직히 이것은 내가 모든 기업에 추천하고 싶은 것이 아닙니다. 그러나 첫 번째 단계는 모든 사람에게 실용적이어야 하며 이미 조직의 보안을 강화하면서 암호로 인해 발생하는 대부분의 고통을 완화하기에 충분해야 합니다.

차례

  • 암호를 제거할 수 있습니까?
  • 비즈니스용 Windows Hello(WHFB)란 무엇입니까?
  • WHFB 보안 개선
  • 어떻게 Silverfort 도움?
  • 비밀번호 없이 가는 방법
  • 확장된 비밀번호 없는 전략
  • 최종 단어 :

    • 암호를 제거할 수 있습니까?

    사고 실험부터 시작해 보겠습니다. 기업에서 암호 복잡성 요구 사항을 제거하거나 암호를 자주 변경해야 하는 요구 사항을 제거하면 어떻게 될까요? 이러한 변화는 직원의 행복 수준에 즉각적으로 긍정적인 영향을 미칠 수 있습니다. 그러나 그 직후에 해킹을 당할 것입니다. 사용자 엔드포인트와 기업 시스템 모두 해커의 손쉬운 표적이 될 것이기 때문입니다.

    따라서 암호 제거를 생각하기 전에 암호보다 나은 것으로 모든 엔드포인트와 엔터프라이즈 시스템에 대한 보안 액세스를 보장해야 합니다.

    다행히 비즈니스용 Windows Hello와 Silverfort, 당신은 이것을 달성할 수 있습니다. WHFB에 대한 개요와 사용 방법부터 시작하여 추가하는 것이 중요한 이유를 계속 설명하겠습니다. Silverfort 그리고 어떻게 Silverfort 엔드포인트 상단의 모든 것에 대한 보안 액세스를 보장할 수 있습니다.

    비즈니스용 Windows Hello(WHFB)란 무엇입니까?

    암호를 사용하지 않으려는 노력의 일환으로 Microsoft는 다음 릴리스와 함께 'Windows Hello' 기능을 도입했습니다. 윈도우 10. WHFB는 기업용으로 설계된 이 기능의 변형입니다. 이 기능을 사용하면 장치에 안전하게 액세스할 수 있습니다. Active Directory (광고) 그리고 Entra ID (이전의 Azure AD) 다음 기능을 활용합니다.

    장치 잠금 해제

    WHFB는 AD에 대한 키를 보유하고 있으므로 장치에 큰 의미를 둡니다. Entra ID (이전의 Azure AD). 따라서 악의적인 행위자가 장치를 잠금 해제하고 해당 키에 접근하는 것을 방지하는 것이 중요합니다. 그러나 비밀번호를 핀 코드로 대체하는 선택에 당황했습니다. 이제 로그인에 비밀번호가 없다고 주장하기에 충분합니까? 핀코드는 비밀번호가 아니기 때문에? 기기를 보호하기에 충분합니까?

    고맙게도 Microsoft는 장치 잠금 해제를 위한 추가 요소를 제공하며 핀 코드와 결합된 경우 장치 잠금 해제를 위해 암호만 사용하는 것보다 더 나은 보안을 제공해야 합니다.

    에 대한 인증 Active Directory (AD)

    컴퓨터 잠금을 해제하면 TPM에 저장된 개인 키의 잠금이 해제되며 해당 개인 키는 다음에 사용할 수 있습니다. Kerberos AD로 인증. 엔드포인트 정책에서 캐시된 자격 증명을 컴퓨터에 저장하도록 허용하는 경우 로그온할 때 인증 없이 컴퓨터가 잠금 해제됩니다. Active Directory. 그렇지 않고 자격 증명이 캐시되지 않으면 컴퓨터가 잠금 해제되기 전에 Kerberos TGT와 호스트 티켓을 요청해야 합니다. 강제 인증 캐시된 자격 증명에 의존하는 것보다 AD에 더 안전합니다.

    에 대한 인증 Entra ID (이전의 Azure AD)

    에 대한 인증 Entra ID (이전의 Azure AD)도 유사하며 장치에 저장된 개인 키를 사용합니다. 인증을 요구하는 것이 더 좋습니다. Entra ID (이전의 Azure AD) 장치를 잠금 해제하기 전에. 아래 그림은 하이브리드 구성에서 WHFB를 사용한 인증 흐름을 보여줍니다.

    다단계 잠금 해제는 다단계 인증(MFA)과 동일합니까?

    FIPS가 정의하는 방식에 따라 MFA, 당신이 알고 있거나 잠금 해제할 무언가가 필요한 물리적 토큰은 MFA로 간주됩니다. 한 요소는 물리적 토큰(당신이 가지고 있는 것)이고 다른 요소는 당신이 제공하는 제스처이기 때문입니다. 이 정의에 따르면 컴퓨터는 물리적 토큰으로 간주될 수 있으며 WHFB는 다단계 잠금 해제가 비활성화된 경우에도 공식적으로 MFA로 간주될 수 있습니다. 차이점은 보호하려는 리소스가 장치 자체인 경우 MFA를 사용하려면 다단계 잠금 해제가 필요하다는 것입니다. 보호하려는 리소스가 장치 외부에 있는 경우 다단계 잠금 해제가 없는 WHFB로 충분합니다.

    물론 이것들은 모두 형식적이며 최상의 보안을 원한다면 항상 다단계 잠금 해제를 요구해야 합니다.

    어떤 배포 및 신뢰 모델을 선택해야 합니까?

    Microsoft에는 선택할 수 있는 여러 배포 유형이 있습니다.

    • 잡종 Entra ID (이전의 Azure AD) 조인된 키 신뢰 배포
    • 잡종 Entra ID (이전의 Azure AD) 가입 인증서 신뢰 배포
    • Entra ID (이전의 Azure AD)Entra ID (이전의 Azure AD) Single Sign-On 배포 가이드 가입
    • 온프레미스 키 신뢰 배포
    • 온프레미스 인증서 신뢰 배포

    대부분의 조직이 AD를 제거할 준비가 되어 있지 않고 아마도 클라우드로 이동 중(또는 곧 이동 예정)이기 때문에 많은 조직이 마지막 3개 항목을 심각하게 고려할 수 없다고 생각합니다.

    이로 인해 우리는 하이브리드를 갖게 되었습니다. 하늘빛 광고 결합된 옵션입니다. 로컬 로그인 외에도 원격 데스크톱에 대한 보안도 활성화하므로 인증서 신뢰 배포를 사용하는 것이 좋습니다.

    사용자가 오프라인 상태이면 어떻게 됩니까?

    처음 WHFB를 시도했을 때, 컴퓨터가 오프라인일 때 로그인이 되지 않을까 걱정이 되었습니다. Microsoft의 다이어그램은 다음에 대한 인증을 보여줍니다. Entra ID (이전의 Azure AD)를 장치 잠금 해제를 위한 예비 인증 흐름으로 사용합니다. 실제로 이는 일반적으로 컴퓨터 잠금이 해제되기 전에 발생하지만 컴퓨터 잠금을 해제하는 데 필요한 단계는 아닙니다. 따라서 사용자는 오프라인 상태에서도 컴퓨터의 잠금을 해제할 수 있습니다. 이는 또한 우리가 의지할 수 없다는 것을 의미합니다. Entra ID (이전의 Azure AD)는 사용자 장치에 대한 무단 액세스를 방지합니다.

    WHFB 보안 개선

    WHFB가 MFA를 활용하는 네 가지 시나리오가 있습니다.

        • 다단계 잠금 해제
        • AD에 대한 초기 인증
        • 초기 인증 Entra ID (이전의 Azure AD)
        • 기기 등록

        그러나 한 가지 해결되지 않은 큰 문제가 있습니다. 초기 로그인 후 네트워크 내부의 민감한 리소스에 액세스하는 데 MFA가 필요하지 않다는 것입니다. 즉, 사용자가 로그인한 후 장치에 맬웨어가 있는 경우 맬웨어가 자격 증명(또는 해시)을 훔칠 수 있으며 네트워크 전체에 자유롭게 전파될 수 있습니다. 설상가상으로 SSO(Single-Sign-On)는 공격자가 추가 확인 없이 모든 리소스에 액세스할 수 있는 문을 열어줍니다.

    WHFB가 다루지 않는 것은 무엇입니까?

    WHFB 커버 Entra ID (이전의 Azure AD) 및 클라이언트가 업데이트된 Windows 10 장치인 경우의 AD입니다. 그러나 많은 기업 시나리오에서는 그렇지 않습니다. 몇 가지 예를 들면 다음과 같습니다.

      • LDAP 애플리케이션
      • Kerberos 인증을 클라이언트로 시작하는 애플리케이션(SSO 아님)
      • 맥북
      • 윈도우 7
    • Windows 서버
    • Linux

    우리 모두는 환경에 이러한 것을 가지고 있으므로 무단 액세스로부터 보호하는 방법을 알아내야 합니다.

    어떻게 Silverfort 도움?

    네트워크 내 리소스 보호

    Silverfort MFA를 시행할 수 있으며 위험 기반 인증 기업 네트워크 및 클라우드 환경 내에서 중요한 리소스에 대한 보안 액세스를 보장합니다. 다음 사항에 유의하는 것이 중요합니다. Silverfort 사용자 장치가 잠금 해제된 후 리소스에 대한 액세스를 보호합니다.

    다음과 같은 솔루션을 사용할 수 있습니다. Silverfort 추가 위험 기반 인증 WHFB가 다루지 않는 시스템에. 그런 다음 비밀번호가 차지하는 공간을 줄이려면 조직의 비밀번호 정책을 단순화하는 것부터 시작할 수 있습니다. 비밀번호를 사용하여 모든 인증 시나리오에 MFA를 추가하는 경우 비밀번호가 그렇게 복잡할 필요가 없으며(6자리 핀 코드도 사용할 수 있음) 자주 변경할 필요가 없습니다. 이 단계를 통해 조직의 비밀번호 관리 비용이 이미 크게 절감되었습니다. 다른 부분은 가시성을 확보하고 있습니다.
    애플리케이션에 대한 액세스 요청 – Silverfort 모든 액세스 요청을 식별하고 해당 인증을 암호 없는 인증 메커니즘으로 점진적으로 대체할 수 있습니다.

    엔드포인트용 모바일 MFA

    사용자 워크스테이션의 잠금을 해제하기 전에 더 강력한 보안을 구현하려면 다음을 사용할 수 있습니다. Silverfort의 MFA 솔루션 추가 인증 요소로. Silverfort Microsoft가 지원하는 요소에 대한 추가 보안을 제공할 수 있는 대역 외 인증과 함께 작동할 수 있습니다.

    또한, Silverfort Windows 7 장치와 같이 WHFB를 지원하지 않는 장치에 대역 외 인증을 추가할 수 있습니다.

    원격 데스크톱용 MFA

    Silverfort 하이브리드를 선택한 경우에도 원격 데스크톱에 MFA를 제공합니다. Entra ID (이전의 Azure AD) 가입된 키 신뢰 배포.

    디바이스 등록을 위한 MFA

    장치를 등록하는 첫 번째 단계 Entra ID (이전의 Azure AD)에는 일반적으로 MFA가 필요하며 이는 다음을 통해 달성할 수 있습니다. Silverfort.

    비밀번호 없이 가는 방법

    Microsoft는 암호 없이 전환하기 위해 다음 단계를 권장합니다.

    1. 비밀번호 교체 오퍼링 개발

    우리 모두는 한 가지 요소로는 충분하지 않다는 것을 알고 있습니다. 따라서 암호를 제거하는 것은 이제 암호 이외의 두 가지 요소가 필요하기 때문에 보안에 문제가 있습니다. WHFB는 이 문제의 일부를 해결하지만 앞서 언급한 것처럼 다른 시나리오는 보호되지 않은 상태로 둡니다. 비밀번호 교체에는 모든 리소스를 보호할 수 있는 대체 인증 요소가 포함되어야 합니다.

    2. 사용자가 볼 수 있는 비밀번호 노출 영역 줄이기

    여기서 첫 번째 단계는 WHFB를 활성화하는 것입니다. 그런 다음 다음과 같은 솔루션을 사용하고 싶을 것입니다. Silverfort 여전히 암호를 사용하는 모든 리소스를 자동으로 매핑합니다.

    3. 암호 없는 배포로 전환

    그것이 까다로워지는 곳입니다. 암호 없는 인증을 지원하지 않는 응용 프로그램은 이 단계를 달성하기 어렵게 만듭니다. 앞서 언급한 바와 같이, 저는 이러한 애플리케이션에 대해 MFA를 시행하는 동시에 암호의 길이와 복잡성을 줄이는 중간 단계를 권장합니다.

    4. ID 디렉토리에서 비밀번호 제거

    전체 환경이 SSO로 보호되고 모든 끝점에 대한 로그인이 비즈니스용 Windows Hello를 기반으로 하는 경우 디렉터리에 암호가 전혀 필요하지 않습니다. 그러나 대부분의 조직에서는 그렇게 되기까지 갈 길이 멀다고 생각합니다.

    확장된 비밀번호 없는 전략

    제가 권장하는 전략은 Microsoft의 전략보다 몇 가지 단계가 더 있지만 조금 더 실용적이며 프로세스 초기에 가치를 얻을 수 있습니다.

    이미지: '무암호' 전략 구현을 위한 권장 프로세스

    대부분의 조직은 조직의 보안을 개선하기 위해 프로세스의 상위 부분을 구현합니다. 대부분의 응용 프로그램에 액세스하는 대부분의 사용자가 간단하고 기억하기 쉬운 암호를 사용할 수 있도록 로그인 프로세스를 단순화합니다. 그러나 암호를 완전히 제거하려는 조직은 추가 단계를 거쳐야 합니다.

    최종 단어 :

    전체 암호 없는 전략을 구현하기로 선택했는지 여부에 관계없이 비즈니스용 Windows Hello와 광범위한 다단계 인증 솔루션 사용자 경험과 조직의 전반적인 보안 태세를 크게 향상시킬 수 있습니다.

    WHFB 및 Multi-Factor Unlock을 활성화하는 것은 어렵지 않습니다. 가장 민감한 자산에 대한 액세스를 보호하기 위해 MFA 솔루션을 구현하는 것은 사용하는 솔루션에 따라 더 어려울 수 있습니다. 방법을 알고 싶다면 Silverfort 소프트웨어 에이전트나 인라인 프록시 없이 배포를 단순화하고 민감한 시스템에 대한 보안 인증을 활성화하는 데 도움이 될 수 있습니다. 알려주세요. 기꺼이 도와드리겠습니다.

    Yaron Kassner, CTO 및 공동 설립자, Silverfort

    Silverfort의 CTO 및 공동 창립자 Yaron Kassner 사이버 보안 및 빅 데이터 기술 전문가입니다. 공동 창업 전 Silverfort, Yaron은 Cisco의 빅 데이터 전문 컨설턴트로 재직했습니다. 또한 Microsoft에서 빅 데이터 분석 및 기계 학습 알고리즘과 관련된 새로운 기능을 개발했습니다. 그 전에 Yaron은 이스라엘 방위군의 8200 정예 사이버 부대에서 복무하면서 평판이 좋은 R&D 팀을 이끌고 대위로 진급했으며 영예로운 우수상을 받았습니다. Yaron은 B.Sc. 수학에서 Summa Cum Laude, M.Sc. 그리고 박사. Technion – Israel Institute of Technology에서 컴퓨터 과학 학사 학위를 취득했습니다.

    모두 즐거운 연휴 보내시고 멋지고 안전한 2020년 되시기 바랍니다!

    Yaron Kassner

    데모 준비가 되셨습니까?
    오늘 등록하십시오.

    최근 게시물

    오월 6일 (2024년)

    MITM을 사용하여 FIDO2 피싱 방지 보호 우회

    , 2을 2024nd 수 있습니다

    Silverfort RSA 2024에서 연구 공개: MITM을 사용하여 SSO에 대한 최신 인증 방법 우회

    사월 24 일 (2024 년)

    AD 위생을 강화하는 5가지 방법 Silverfort  

    26년 2024월 XNUMX일

    Identity Underground 보고서: 가장 중요한 ID 보안 격차에 대한 심층적인 통찰력  
    더보기

    Follow Us

    인증 공격 막기