콘텐츠
- 1. 중첩 그룹 다루기
- 2. ACL에서 RBAC로 전환
- 3. 컴퓨터 관리
- 버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
- 4. 사용자 계정 잠금 처리
- 5. 권한 상승 및 권한 크리프
출처 : Tmcphotos / Dreamstime.com
테이크 아웃 :
타사 소프트웨어 개입이 필요할 수있는 AD의 5 가지 주요 영역에 대해 알아 봅니다.
귀중한 응용 프로그램이나 가장 보호 된 지적 재산보다 기업에 훨씬 더 중요한 것은 Active Directory (AD) 환경입니다. Active Directory는 네트워크, 시스템, 사용자 및 응용 프로그램 보안의 중심입니다. 컴퓨팅 인프라 내의 모든 객체와 리소스에 대한 액세스 제어를 관리하고이를 관리하는 데 필요한 인적 자원과 하드웨어 자원 모두에서 상당한 비용이 소요됩니다. 또한 타사 소프트웨어 공급 업체 덕분에 Linux, UNIX 및 Mac OS X 시스템을 AD의 관리되는 리소스 레퍼토리에 추가 할 수도 있습니다.수십 명 이상의 사용자 및 그룹에 대한 AD 관리는 매우 고통스러워집니다. 그리고 Microsoft의 기본 인터페이스와 조직은 이러한 고통을 덜어주는 데 도움이되지 않습니다. Active Directory는 약한 도구는 아니지만 관리자가 타사 도구를 검색하도록하는 요소가 있습니다. 이 기사에서는 AD의 주요 관리 단점을 살펴 봅니다.
1. 중첩 그룹 다루기
믿거 나 말거나, 실제로 중첩 된 AD 그룹을 만들고 사용하는 것과 관련된 모범 사례가 있습니다. 그러나 관리자가 중첩 된 그룹을 단일 수준 이상으로 확장 할 수 없도록 기본 제공 AD 제한을 통해 이러한 모범 사례를 강화해야합니다. 또한 기존 그룹당 둘 이상의 중첩 그룹을 방지하는 제한으로 인해 향후 하우스 키핑 및 관리 문제가 발생하지 않습니다.
여러 그룹 수준을 중첩하고 그룹 내에 여러 그룹을 허용하면 복잡한 상속 문제가 발생하고 보안을 우회하며 그룹 관리가 방지하도록 설계된 조직적 조치를 망칩니다. 관리자 및 설계자는 정기적 인 AD 감사를 통해 AD 조직을 재평가하고 중첩 된 그룹 스프롤을 수정할 수 있습니다.
시스템 관리자는 "개인이 아닌 그룹 관리"신념을 수년간 뇌에 쏟아 부었지만 그룹 관리는 필연적으로 중첩 된 그룹과 제대로 관리되지 않는 권한으로 이어집니다. 여기에서 Softerra Adaxes 역할 기반 보안에 대해 알아 봅니다.
2. ACL에서 RBAC로 전환
사용자 중심 액세스 제어 목록 (ACL) AD 관리 스타일에서 좀 더 엔터프라이즈 급 RBAC (역할 기반 액세스 제어) 방법으로 전환하는 것은 쉬운 일인 것 같습니다. AD에서는 그렇지 않습니다. ACL을 관리하기는 어렵지만 RBAC로 전환하는 것도 쉽지 않습니다. ACL의 문제점은 AD에 권한을 관리 할 중앙 위치가 없기 때문에 관리가 어렵고 비용이 많이 든다는 것입니다. RBAC는 개인이 아닌 역할별로 액세스 권한을 처리하여 권한 및 액세스 실패를 완화하려고 시도하지만 중앙 집중식 권한 관리가 없기 때문에 여전히 부족합니다. 그러나 RBAC로 전환하는 것만 큼 고통스러운 것은 ACL을 사용하여 사용자별로 권한을 수동으로 관리하는 것보다 훨씬 낫습니다.
ACL은 범위가 너무 넓기 때문에 확장 성 및 민첩한 관리 효율성에 실패합니다. 관리자는 사용자 역할에 따라 권한을 부여하기 때문에 역할이 더 정확합니다. 예를 들어, 뉴스 대행사의 새 사용자가 편집자 인 경우 AD에 정의 된대로 편집자 역할을 수행합니다. 관리자는 해당 사용자를 편집자 그룹에 배치하여 동등한 액세스 권한을 얻기 위해 여러 다른 그룹에 사용자를 추가하지 않고도 편집자에게 필요한 모든 권한과 액세스 권한을 부여합니다.
RBAC는 광범위한 권한을 가질 수있는 여러 그룹에 사용자를 할당하는 대신 역할 또는 작업 기능에 따라 권한 및 제한을 정의합니다. RBAC 역할은 매우 구체적이며 더 나은 결과,보다 안전한 환경 및보다 쉽게 관리되는 보안 플랫폼을 달성하기 위해 중첩 또는 기타 ACL 복잡성이 필요하지 않습니다.
3. 컴퓨터 관리
새 컴퓨터 관리, 도메인과의 연결이 끊어진 컴퓨터 관리 및 컴퓨터 계정으로 작업을 수행하려는 경우 관리자는 가장 가까운 Martini 바 (아침 식사)로 이동하려고합니다.
버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
아무도 소프트웨어 품질에 신경 쓰지 않으면 프로그래밍 기술을 향상시킬 수 없습니다.
이와 같이 극적인 주장을 펼친 이유는 화면에서 Windows 관리자로 읽지 않으려는 11 개의 단어가 있기 때문입니다. "이 워크 스테이션과 기본 도메인 간의 트러스트 관계가 실패했습니다." 여러 번의 시도와이 길가의 워크 스테이션을 도메인에 다시 연결하는 데 몇 시간이 걸릴 수 있습니다. 불행히도 표준 Microsoft 수정 프로그램이 작동하지 않습니다. 표준 수정은 Active Directory에서 컴퓨터의 계정 개체를 재설정하고 워크 스테이션을 재부팅하고 손가락을 가로 지르는 것으로 구성됩니다. 다른 재 부착 치료는 종종 표준 재 처리와 마찬가지로 효과적이므로 관리자는 연결이 끊어진 시스템을 다시 이미지화하여 도메인에 다시 연결합니다.
4. 사용자 계정 잠금 처리
여러 타사 소프트웨어 공급 업체에서 문제를 해결했지만 계정 잠금에 대한 셀프 서비스 수정은 없습니다. 다시 시도하기 전에 일정 시간 동안 기다려야하거나 잠긴 계정을 재설정하려면 관리자에게 문의해야합니다. 잠긴 계정을 재설정해도 관리자에게는 큰 부담이되지 않지만 사용자에게는 실망 스러울 수 있습니다.
AD의 단점 중 하나는 계정 잠금이 잘못된 비밀번호를 입력 한 사용자 이외의 소스에서 시작될 수 있지만 AD는 관리자에게 해당 출처에 대한 힌트를 제공하지 않는다는 것입니다.
5. 권한 상승 및 권한 크리프
권한있는 사용자가 다른 그룹에 자신을 추가하여 권한을 더 높일 수있는 가능성이 있습니다. 권한있는 사용자는 일부 높은 권한이 있지만 그룹에 자신을 추가 할 수있는 충분한 권한이있는 사용자로 Active Directory에서 추가 권한을 부여합니다. 이 보안 결함을 통해 내부 공격자는 다른 관리자를 잠그는 기능을 포함하여 도메인에 대한 광범위한 제어가 존재할 때까지 단계적으로 권한을 추가 할 수 있습니다. (Active Directory ID 관리에서 리소스를 소비하는 수동 절차를 제거하십시오. 여기에서 방법을 배우십시오.)
권한 크립은 사용자의 작업이 변경되거나 사용자가 회사를 떠날 때 관리자가 특정 권한 그룹에서 사용자를 제거하지 못하는 경우에 발생하는 조건입니다. 권한 크리프를 통해 사용자는 더 이상 필요하지 않은 회사 자산에 액세스 할 수 있습니다. 권한 상승과 권한 크립은 모두 심각한 보안 문제를 만듭니다. 이러한 조건을 감지하고 방지하기 위해 감사를 수행 할 수있는 다양한 타사 응용 프로그램이 있습니다.
소규모 기업에서 글로벌 기업에 이르기까지 Active Directory는 사용자 인증, 리소스 액세스 및 컴퓨터 관리를 처리합니다. 오늘날 비즈니스에서 가장 가치있는 네트워크 인프라 중 하나입니다. Active Directory와 같은 강력한 도구로서 많은 단점이 있습니다. 다행스럽게도 Microsoft 이외의 소프트웨어 공급 업체는 Active Directory의 기능을 확장하고 제대로 구현되지 않은 관리 인터페이스 디자인을 해결하고 기능을 통합하며 눈에 띄지 않는 부족한 부분을 완화했습니다.
이 콘텐츠는 파트너 인 Adaxes에서 제공합니다.
