암호 소비자를 설정하는 방법

목차
cminder12902kr
목차
다음 프로세스는 암호 소비자를 설정하기 위해 회사의 사용자들이 반드시 완료해야 하는 작업에 대해 설명합니다. 사용자에게는 각 프로세스 단계를 완료하기 위한 지정된 역할이 있어야 합니다. 시스템 관리자 관리 역할이 있는 사용자는 이 프로세스에서 모든
Privileged Identity Manager
엔터프라이즈 콘솔 작업을 수행할 수 있습니다.
암호 소비자를 설정하려면 사용자가 다음을 수행해야 합니다.
  1. 시스템 관리자가 다음과 같이 끝점을 구성합니다.
    1. 데이터베이스, Windows Run As, 소프트웨어 개발 키트 암호 소비자를 사용하는 끝점에
      Privileged Identity Manager
      를 설치합니다.
      설치 프로세스 중에 시스템 관리자가 SAM 통합 기능을 활성화합니다.
      참고:
      Windows 예약된 작업 또는 Windows 서비스 암호 소비자를 사용하기 위해 끝점에
      Privileged Identity Manager
      를 설치할 필요는 없습니다.
    2. 다음 암호 소비자를 사용하는 끝점에서 추가 구성 단계를 수행합니다.
    끝점이 암호 소비자를 사용하도록 구성됩니다.
  2. SAM 대상 시스템 관리자 역할은
    Privileged Identity Manager
    엔터프라이즈 콘솔에서 암호 정책을 만듭니다. 암호 정책이 권한 있는 계정 및 서비스 계정에 대한 암호 규칙 및 암호 만료 주기를 설정합니다.
  3. SAM 대상 시스템 관리자는
    Privileged Identity Manager
    엔터프라이즈 콘솔에서 끝점을 만듭니다. 끝점은 권한 있는 계정 및 서비스 계정이 관리하는 장치입니다.
    Privileged Identity Manager
    엔터프라이즈 콘솔에서 끝점을 만들거나 SAM 피더를 사용하여 끝점을 가져올 수 있습니다.
    참고:
    권한 있는 계정을 설정할 때 이미 끝점을 만든 경우, 이 단계를 수행하지 마십시오.
  4. 데이터베이스, Windows Run As, 소프트웨어 개발 키트 암호 소비자를 만들려면 사용자가 다음을 수행해야 합니다.
    1. SAM 대상 시스템 관리자는
      Privileged Identity Manager
      엔터프라이즈 콘솔에서 권한 있는 계정을 검색하거나 만듭니다.
      이 사용자는
      Privileged Identity Manager
      엔터프라이즈 콘솔에서 권한 있는 계정을 검색하고 만들거나 SAM 피더를 사용하여 권한 있는 계정을 가져올 수 있습니다.
    2. 시스템 관리자가
      Privileged Identity Manager
      엔터프라이즈 콘솔에서 데이터베이스, Windows Run As, 소프트웨어 개발 키트 암호 소비자를 만듭니다.
      시스템 관리자가 암호 소비자 생성 작업의 일부로서 데이터베이스, Windows Run As, 소프트웨어 개발 키트 암호 소비자를 권한 있는 계정과 연결합니다.
  5. Windows 예약된 작업 또는 Windows 서비스 암호 소비자를 만들기 위해 SAM 대상 시스템 관리자가 서비스 계정을 검색합니다.
    Privileged Identity Manager
    엔터프라이즈 콘솔은 검색하는 각 서비스 및 예약된 작업에 대해 암호 소비자를 만듭니다.
    참고:
    Privileged Identity Manager
    엔터프라이즈 콘솔은 암호를 변경할 수 있는 계정에 의해 실행되는 서비스만 검색합니다. 예를 들어
    Privileged Identity Manager
    엔터프라이즈 콘솔은 컴퓨터의 관리자 계정 또는 도메인 계정에 의해 실행되는 서비스를 검색하지만 NT AUTHORITY\Local Service 계정에 의해 실행되는 서비스는 검색하지 않습니다.
    암호 소비자가 이제 회사를 위해 설정되었습니다.
다음 다이어그램은 각 프로세스 단계를 수행하는 권한 있는 액세스 역할을 설명합니다.
Privileged access roles process
서비스 계정 검색
서비스 계정
은 Windows 서비스가 사용하는 내부 계정입니다. 이러한 서비스는 핵심 운영 체제 및 기타 기능을 컴퓨터에 제공합니다.
Privileged Identity Manager
엔터프라이즈 콘솔에서 서비스 계정 암호를 관리하여 잠재적인 공격으로부터 이러한 서비스를 보호할 수 있습니다.
Windows Agentless 끝점에서 서비스와 예정된 작업을 관리하는 서비스 계정을 검색할 수 있습니다. 서비스 계정을 검색하면
Privileged Identity Manager
엔터프라이즈 콘솔에서 동시에 여러 서비스 계정을 만들고 암호 소비자를 서비스 계정에 할당할 수 있습니다. 서비스 계정에 대한 암호 소비자를 만들지 않으려면 "권한 있는 계정 또는 서비스 계정 만들기" 작업을 사용하여 서비스 계정을 만드십시오.
참고:
권한 있는 계정을 검색하려면 권한 있는 계정 검색 마법사를 사용하십시오.
서비스 계정 검색 마법사가 끝점에서 모든 서비스를 검색하지는 않습니다. 암호를 변경할 수 있는 계정에 의해 실행되는 서비스만 검색합니다. 예를 들어
Privileged Identity Manager
엔터프라이즈 콘솔은 컴퓨터 관리자 계정 또는 도메인 계정에 의해 실행되는 서비스를 검색하지만 NT AUTHORITY\Local Service 계정에 의해 실행되는 서비스는 검색하지 않습니다.
다음 단계를 수행하십시오.
  1. (선택 사항) 도메인 계정인 서비스 계정을 검색하려면 계정이 있는 도메인 컨트롤러(DC)가 다음 특성과 함께
    Privileged Identity Manager
    엔터프라이즈 콘솔에 정의되어 있는지 확인하십시오.
    • 끝점 유형 - Windows Agentless
    • Active Directory - True
    • 호스트 도메인 - DC가 구성원인 도메인 이름
    • 사용자 도메인 - DC에 정의된 사용자가 구성원인 도메인 이름
      참고:
      계정이 있는 도메인이 아닌 다른 도메인에서 관리 계정이 온 경우에만 사용자 도메인을 지정하십시오.
    서비스 계정 검색 마법사가 이제 도메인 계정인 서비스 계정을 검색할 수 있습니다.
  2. Privileged Identity Manager
    엔터프라이즈 콘솔에서 권
    한 있는 계정,
    색,
    비스 계정 검색 마법사를
    클릭합니다.
    서비스 계정 검색 마법사 창이 열립니다.
    참고:
    SAM은 Windows Agentless 끝점에서만 서비스 계정을 관리하므로 "끝점 유형" 필드의 값은 "Windows Agentless"입니다.
  3. 검색 특성을 선택하고 필터 값을 입력한 다음
    검색
    을 클릭합니다.
    필터 조건과 일치하는 서비스 계정의 목록과 이 서비스 계정을 사용하는 Windows 서비스 및 예약된 작업의 목록이 표시됩니다. 마법사가 알 수 없는 도메인에서 계정을 검색하면 경고 메시지가 표시됩니다.
    참고:
    이 프로세스는 완료될 때까지 시간이 걸릴 수 있습니다. 서비스 및 예약된 작업은 "암호 소비자" 열에 나열됩니다. 이 열의 아이콘으로 어떤 암호 소비자가 서비스인지 또는 예약된 작업인지 여부를 확인할 수 있습니다.
  4. 암호 소비자를 사용하여 관리할 서비스 및 예약된 작업을 선택하고
    다음
    을 클릭합니다.
    "일반 계정 속성" 창이 나타납니다.
  5. 서비스 및 예약된 작업에 할당할 암호 정책을 선택하고
    다음
    을 클릭합니다.
    "요약" 창이 나타납니다.
  6. 요약 정보를 검토한 다음
    마침
    을 클릭합니다.
    Privileged Identity Manager
    엔터프라이즈 콘솔은 작업을 제출하고 오류가 없는 경우 서비스 계정을 추가합니다.
    Privileged Identity Manager
    엔터프라이즈 콘솔은 서비스 계정을 추가한 다음 선택한 각 서비스 및 예약된 작업에 대해 암호 소비자를 자동으로 만듭니다. 적절한 암호 소비자 작업을 사용하여 암호 소비자를 보고 수정할 수 있습니다.
암호 소비자 만들기
암호 소비자는 스크립트를 실행하고, 데이터베이스에 연결하거나 Windows 서비스, 예약된 작업 또는 RunAs 명령을 관리하기 위해 권한 있는 계정 및 서비스 계정을 사용하는 응용 프로그램, Windows 서비스, Windows 예약된 작업입니다.
암호 소비자에는 두 개의 그룹이 있습니다.
  • 요청 시 암호를 가져오는 암호 소비자 - 소프트웨어 개발 키트, 데이터베이스, Windows Run As
참고:
필요 시 암호를 가져오는 암호 소비자를 사용하려면 Shared Account Management 통합 기능을 활성화하여 Shared Account Management 끝점에
Privileged Identity Manager
를 설치해야 합니다.
  • 암호 변경 시 암호를 가져오는 암호 소비자 - Windows 예약된 작업, Windows 서비스
각 그룹에서 암호 소비자를 만들기 위해 다른 정보를 제공합니다. 기본적으로 암호 소비자를 만들려면 시스템 관리자 역할이 있어야 합니다.
참고
소프트웨어 개발 키트, 데이터베이스, Windows Run As 유형의 암호 소비자를 만들려면 이 작업을 완료하십시오. 서비스 계정 검색 마법사를 사용하여 Windows 예약된 작업 또는 Windows 서비스 암호 소비자를 만들 것을 권장합니다.
다음 단계를 수행하십시오.
  1. Privileged Identity Manager
    엔터프라이즈 관리에서 "권한 있는 계정", "암호 소비자", "암호 소비자 만들기"를 클릭합니다.
    암호 소비자 만들기: 암호 소비자 검색 화면 페이지가 표시됩니다.
  2. (선택 사항) 다음과 같이 암호 소비자를 복사하여 만들기 위해 기존 암호 소비자를 선택합니다.
    1. 암호 소비자 유형의 개체 사본 만들기를 선택합니다.
    2. 검색 특성을 선택하고 필터 값을 입력한 다음 검색을 클릭합니다.
      필터 조건과 일치하는 암호 소비자의 목록이 표시됩니다.
    3. 새 암호 소비자의 기초로 사용할 개체를 선택합니다.
  3. 확인을 클릭합니다.
    "암호 소비자 만들기" 작업 페이지가 나타납니다. 기존 개체에서 암호 소비자를 만든 경우 대화 상자 필드는 기존 개체의 값으로 미리 채워집니다.
  4. 일반 탭에서 다음 필드를 완성합니다.
    • 이름
      이 암호 소비자를 참조할 이름을 정의합니다.
    • 설명
      (선택 사항) 이 암호 소비자에 대해 기록할 정보(일반 텍스트)를 정의합니다.
    • 소비자 유형
      암호 소비자의 유형을 지정합니다.
    • 응용 프로그램 경로
      (소프트웨어 개발 키트, Windows Run As, Windows 예약된 작업) 끝점의 암호 소비자에 대한 전체 경로 이름을 정의합니다.
      • 소프트웨어 개발 키트 암호 소비자의 경우 암호 요청을 수행하는 응용 프로그램의 경로 이름을 지정합니다.
      • 데이터베이스 암호 소비자의 경우 데이터베이스에 연결하는 응용 프로그램의 경로 이름을 지정합니다.
      • Windows Run As 암호 소비자의 경우 사용자가 실행하는 응용 프로그램의 경로 이름을 지정합니다.
      • Windows 예약된 작업 암호 소비자의 경우 예약된 작업의 경로 이름을 지정합니다.
      참고:
      경로 이름에 와일드카드(*)와 CA ControlMinder 변수를 사용할 수 있습니다(예: <!AC_ROOT_PATH>\bin\acpwd.exe).
    • 서비스 이름
      (Windows 서비스) Windows 서비스의 경로 이름을 정의합니다. Windows 서비스 속성 페이지에 표시되는 것과 동일하게 경로 이름을 지정하십시오.
    • 사용
      암호 소비자가 사용됨을 지정합니다. 즉, Shared Account Management가 이 소비자의 요청을 수락하거나 이 소비자의 암호를 변경하도록 강제합니다.
    • 상태
      (Windows 예약된 작업 또는 Windows 서비스) 마지막 암호 변경이 성공 또는 실패했는지 여부를 나타냅니다.
    • 마지막으로 동기화된 날짜
      (Windows 예약된 작업 또는 Windows 서비스) 마지막 성공한 암호 동기화를 표시합니다.
    • 다시 시작
      (Windows 서비스) 암호 변경 후 Windows 서비스를 다시 시작할지 여부를 지정합니다.
  5. 권한 있는 계정 탭을 클릭하고 암호 소비자와 연결된 권한 있는 계정을 지정합니다.
    소프트웨어 개발 키트, 데이터베이스, Windows Run As 암호 소비자를 만드는 경우 지정하는 권한 있는 계정에 대한 암호를 암호 소비자가 가져올 수 있습니다.
    Windows 예약된 작업 또는 Windows 서비스 암호 소비자를 만드는 경우 이러한 권한 있는 계정의 암호가 변경될 때 Shared Account Management는 암호 소비자에 대한 암호 변경을 강제합니다.
  6. 암호 소비자를 사용할 수 있는 엔터티를 지정합니다. 다음 작업 중
    하나
    를 수행합니다.
    • 소프트웨어 개발 키트, 데이터베이스, Windows Run As 암호 소비자를 만들려면 다음을 수행하십시오.
      1. "호스트" 탭을 클릭하고 "모든 호스트"를 선택하여 모든 호스트 또는 호스트 그룹에 권한 있는 계정 암호 액세스 권한을 부여합니다.
        참고:
        "이름" 필드에 호스트 또는 호스트 그룹의 이름을 입력하거나 "..."를 클릭하여 CA ControlMinder 호스트 또는 호스트 그룹(HNODE 또는 GHNODE 개체)을 검색할 수 있습니다.
      2. "사용자" 탭을 클릭하고 권한 있는 계정 암호를 요청할 수 있는 사용자 또는 그룹을 지정하거나, 모든 사용자가 권한 있는 계정 암호를 요청할 수 있도록 하려면 "모든 사용자"를 선택합니다.
        끝점에 표시된 것과 동일하게 사용자 또는 그룹의 이름을 지정하십시오(예: DOMAIN\user1). CA ControlMinder 엔터프라이즈 관리 사용자 또는 그룹을 지정하지 마십시오.
    • Windows 예약된 작업 또는 Windows 서비스 암호 소비자를 만들려면 "끝점" 탭을 클릭하고 암호 소비자를 만들 끝점을 지정하십시오.
  7. 제출을 클릭합니다.
암호 소비자 예제: Windows Run As
Windows RunAs 응용 프로그램을 사용하면 사용자가 권한 있는 계정으로부터 허가를 빌려 특정 작업을 수행할 수 있습니다. 사용자가 RunAs를 실행할 때 SAM 에이전트가 권한 있는 계정 암호를 직접 RunAs 응용 프로그램에 제공하도록 Windows Run As 암호 소비자를 만들 수 있습니다. Windows Run As 암호 소비자를 사용하면 사용자가 관리 작업을 수행하기 위해 권한 있는 계정 암호를 알 필요가 없습니다.
Windows Run As 암호 소비자는 Windows Agentless 끝점에만 만들 수 있습니다.
다음 예에서 백업 작업은 매주 실행되도록 예약되어 있습니다. 이 작업은 C:\backup\backup.exe에 있으며 Administrator에 의해 실행됩니다. 예약된 백업 작업이 실패하는 경우 시스템 관리자인 Steve는 사용자 John이 수동으로 백업을 시작하도록 하려고 합니다. Steve는 Windows Run As 암호 소비자를 사용하여 John이 Administrator 암호 없이 백업 작업을 시작하도록 할 수 있습니다.
다음 프로세스는 win123_PUPM이란 이름의 끝점에서 Windows Run As 암호 소비자를 만들고 사용하기 위해 Steve와 John이 수행하는 단계에 대해 설명합니다.
  1. Steve는 SAM 통합 기능을 활성화하여 win123_PUPM에
    Privileged Identity Manager
    를 설치합니다.
  2. Steve가
    Privileged Identity Manager
    엔터프라이즈 콘솔에서 다음 작업을 수행합니다.
    1. win123_PUPM이란 이름으로 Windows Agentless 끝점을 만듭니다.
    2. win123_PUPM 끝점에서 Administrator 권한 있는 계정을 검색합니다.
    3. 다음 매개 변수를 사용하여 Windows Run As 암호를 만듭니다.
      • 이름 - win123_PUPM Backup RunAs
      • 소비자 유형 - Windows Run As
      • 응용 프로그램 경로 - C:\backup\backup.exe
      • 계정 - 관리자
      • 호스트 - win123_PUPM
      • 사용자 - Domain1\John
        참고:
        Steve는 끝점에 보이는 그대로 John의 사용자 이름을 입력합니다.
    Windows Run As 암호 소비자가 만들어집니다.
  3. 예약된 백업 작업이 실패하고 John이 백업을 수동으로 시작하기 위해 win123_PUPM에 로그온합니다. 그는 백업 작업을 시작하기 위해 다음 매개 변수를 사용하여 RunAs 명령을 실행합니다.
    • 계정 - 관리자
    • 암호 - 없음
      참고:
      SAM 에이전트는 John이 암호로 제공하는 모든 값을 무시합니다.
    SAM 에이전트는 백업 작업을 시작하기 위해 John의 이전 요청에 대한 캐시를 확인합니다. John의 이 요청이 최초 요청이므로 요청이 캐시에 없습니다. SAM 에이전트는
    Privileged Identity Manager
    엔터프라이즈 콘솔에서 권한 있는 계정 암호를 검색하여 RunAs 응용 프로그램에 제공합니다. 백업 작업이 시작됩니다.
암호 소비자 예제: Windows 예약된 작업
Windows 예약된 작업 및 Windows 서비스 암호 소비자는 서비스 계정에 대한 암호 변경을 자동화하는 데 도움을 줍니다. 서비스 계정은 Windows 서비스에서 사용되는 내부 계정입니다. 예를 들어, 소프트웨어 업데이트를 정기적으로 확인하기 위해 예약된 작업을 구성하는 경우, 예약된 작업은 서비스 계정을 사용하여 끝점에 로그인하고 이 작업을 수행합니다.
Windows 예약된 작업 및 Windows 서비스 암호 소비자는 Windows Agentless 끝점에서만 만들 수 있습니다. Windows 서비스 및 Windows 예약된 작업 암호 소비자를 사용하기 위해 끝점에
Privileged Identity Manager
를 설치할 필요는 없습니다.
암호를 변경할 수 있는 계정에 의해 실행되는 서비스에 대해서만 Windows 서비스 암호 소비자를 만들 수 있습니다. 예를 들어, 컴퓨터의 Administrator 계정에 의해 실행되는 서비스에 대한 암호 소비자를 만들 수는 있지만 NT AUTHORITY\Local Service 계정에 의해 실행되는 서비스에 대한 암호 소비자는 만들 수 없습니다.
다음 예에서 시스템 관리자인 Steve는 win456이란 이름의 Windows 끝점에서 소프트웨어 업데이트를 확인하는 예약된 작업에 대한 암호 소비자를 만들려고 합니다. 이 예약된 작업은 win456\ServiceAdmin 계정을 사용하여 끝점에 로그인합니다.
Steve가
Privileged Identity Manager
엔터프라이즈 콘솔에서 다음 작업을 수행합니다.
  1. Steve는 30days란 이름의 암호 정책을 만듭니다. 이 암호 정책은
    Privileged Identity Manager
    엔터프라이즈 콘솔이 서비스 계정에 대한 암호를 30일마다 변경하도록 지정하고 암호를 일요일 오전 1시에서 오전 3시 사이에만 변경할 수 있도록 지정합니다.
  2. Steve는 win456이란 이름의 Windows Agentless 끝점을 만듭니다.
  3. Steve는 서비스 계정 검색 마법사를 사용하여 win456 끝점에서 win456\ServiceAdmin 계정을 검색하고 30days 암호 정책을 서비스 계정에 적용합니다.
  4. Privileged Identity Manager
    엔터프라이즈 콘솔은 다음 매개 변수를 사용하여 Windows 예약된 작업 암호 소비자를 만듭니다.
    • 이름 - win456에서 UpdateTask(C:\WINDOWS\Tasks\UpdateTask.bat)
    • 소비자 유형 - Windows 예약된 작업
    • 응용 프로그램 경로 - C:\WINDOWS\Tasks\UpdateTask.bat
    • 권한 있는 계정 - win456\ServiceAdmin
    • 끝점 - win456
    Steve가 암호 소비자를 만들었습니다.
    Privileged Identity Manager
    엔터프라이즈 콘솔이 win456\ServiceAdmin 계정에 대한 암호를 변경할 때마다 JCS는 win456 끝점에 로그인하고 소프트웨어 업데이트 예약된 작업의 암호를 변경합니다. 암호 변경이 성공하지 않으면 Steve는 "암호 소비자 동기화" 작업을 사용하여 암호 변경을 다시 시도할 수 있습니다.