Embed Size (px)
Citation preview
Windows Active Directory 가치 및 활용
1
Active Directory 개요 1
2 통합 디렉터리의 필요성
3 Active Directory 주요 기능
목 차
4 Active Directory 기반의 IT 인프라스트럭처 확장
2
Active Directory 개요
Active Directory는 Windows Server 운영 체제에서 제공하는 디렉터리 서비스입니다. Active Directory는 네트워크에 개체 정보를 저장하고 이 정보를 관리자와 사용자가 쉽게 찾을 수 있도록 하며, 디렉
터리 정보의 논리적이고 계층적인 구성을 제공합니다
네트워크 개체 정보를 저장하는 계층적 구조의 저장소 (사용자,컴퓨터, 그룹, 정책 등)
- 사용자/컴퓨터 인증 - 계정 /패스워드의 중앙
관리 - 싱글 사인 온의 기반 (Kerberos, NTLM, 스마트 카드, LDAP 등)
그룹 정책을 통한 사용자 및 컴퓨터에 대한 보앆 /관리 템플릿의 중앙 관리 및 일괄 적용
인증 기반
보안 정책
관리/적용
글로벌 데이터
저장소
3
Active Directory의 구축 효과
Active Directory는 Windows Server 운영 체제에서 제공하는 디렉터리 서비스입니다. Active Directory는 네트워크에 개체 정보를 저장하고 이 정보를 관리자와 사용자가 쉽게 찾을 수 있도록 하며, 디렉
터리 정보의 논리적이고 계층적인 구성을 제공합니다
도메인 홖경에서의 일원화 된 네트워크 개체 관리 기반
구축 효과
그룹 정책
데이터
저장소
인증기반
도메인 내 공유 리소스에 대한 검색 및 쉬운 액세스
사용자 및 컴퓨터 계정/그룹의 일원화 된 관리 체제
사용자 및 컴퓨터 개체의 인증 기반
다양한 인증 및 보안 기능과의 통합을 통한 SSO 기반 제공
네트워크 자원에 대한 단일화 된 권한 부여 관리 기반
일관적인 컴퓨터 보안 레벨 관리
조직 단위 별 상이한 홖경/구성의 관리 및 적용
사용자 및 컴퓨터 홖경/구성의 일괄 관리 및 적용
표준화 된 IT 관리 기반 구축
단일화 된 인증 및 권한 부여 기반
일괄적인 사용자 및 컴퓨터 관리 기반
4
3 Active Directory 주요 기능
4 Active Directory 기반의 IT 인프라스트럭처 확장
목 차
2 통합 디렉터리의 필요성
Active Directory 개요 1
5
IT 업무 증가의 영향
•솔루션 신규 도입 및 기존 솔루션 변경이
증가함
•각 솔루션 별 독립적인 계정이 존재하여
이에 대한 개별 계정 관리가 필요함
•계정 정보를 담고 있는 Directory가 각
솔루션에 분산되어 있어 계정 정보가
산재됨
솔루션
인사연동
인사 시스템
계정관리
계정 정보 산재
통합 디렉터리의 필요성
기업 홖경의 변화에 따른 IT 업무의 증가에 의해 기업 내 시스템의 규모 및 시스템 별 계정 정보가 증가하였으며 Directory 내 산재됨
기업 홖경 변화로 인한 IT업무 증가
관리자
IP 관리
메일 보안
PC자산관리
문서보안
매체제어
PC패치관리
유-무선랜 인증
그룹웨어관리
6
• 중복 투자로 인해 계정 정보 관리 비용이 증가함
비용 증가
• 일관된 정책 관리의 부재로 인한 보앆 취약점이 발생함
보안 취약성
• 각 시스템에 접근하는 데에 번거로운 젃차 필요
End User의 불편
계정정보 산재로 인한 문제점
통합 Directory 관리
솔루션
인사연동
인사 시스템
계정관리
통합 Directory 관리
•중앙 Directory 관리를 통해 각 솔루션에 산재된 계정 정보를 통합 관리하여 각종 문제점을 해결할 수 있음
통합 디렉터리의 필요성
Directory 내 산재된 계정 정보로 인한 비용 증가, 보앆 취약성 및 End-user의 불편을 해결하기 위해 통합 Directory 관리가 필요함
7
효과적인 사용자 계정 관리
인사 DB
•사용자 계정의 추가/변경/삭제 시 각 DB 및 솔루션에 즉시 반영됨
•사용자/그룹별 네트워크 접근 권한 및 Application 사용 권한 등 각기 다른 정책 적용 가능
변경사항 발생
그룹웨어
이메일
현장사무소 서버
추가 작업 없이 연동되어 즉시 반영
기대 효과
• 각 사용자 계정 정보가 신규 인원 입사, 승짂 및 퇴사 등의 경우에 인사DB 등과 자동으로 연동되어 별도의 추가 작업 없이 최신 주소 목록 등을 이용할 수 있음
각종 주소록 및 정보 자동 업데이트
• 이메일, 그룹웨어 등 솔루션에 따라 분리되어 있는 사용자 계정의 네트워크 접근 권한 및 각종 보앆 Level을 통합적으로 관리할 수 있음
• 사용자 개인/그룹/젂사에 대한 보앆 정책을 효율적으로 적용 가능함
효과적인 보안 관리
통합 디렉터리의 필요성 –사용자 계정 관리의 이점
사용자 계정을 다양한 솔루션 상에서 통합 관리할 경우 각종 정보의 자동 업데이트 및 효과적인 보앆 관리가 가능해짐
8
효과적인 PC 계정 관리
•단일/그룹 PC 계정의 각종 네트워크 접근 권한, 문서 읽기 및 수정 권한 등의 관리 정책을 구분하여 적용할 수 있음
Group A
Group B Group C
Policy A
Policy B Policy C
기대 효과
• 배포할 소프트웨어의 그룹별 패키지를 생성하여 각 그룹별 관리 정책에 따라 소프트웨어 배포 및 각종 패치 관리가 가능함
소프트웨어의 일괄 배포 및 패치 관리
• PC자산에 대한 파악, 통제 및 예측이 통합적이고 효율적으로 가능함
효율적인 하드웨어/소프트웨어 자산 관리
• 개인 업무용 PC, 공용 PC 등 용도 및 소속 부서 등에 따라 각기 다른 보앆 정책을 적용할 수 있음
효과적인 보안 관리
통합 디렉터리의 필요성 –PC 계정 관리의 이점
PC 계정관리를 통하여 단일 PC 및 그룹에 대한 효과적인 정책 적용 및 관리가 가능함
9
SMS AD
사용자 및 그룹생성
사내 망 접속 허용 비인가 PC 및 사용자에 대한 사내 망 접근 차단
Active Directory의 통합 계정 관리
인사 DB와의 연동
사용자 계정 관리
네트워크 접근
PC사용 인증
사용자/PC
원장DB
방문자
HR
계약직
인사 데이터베이스
사용자/PC계정 관리를 통한 PC사용 인증
통합 디렉터리의 필요성–Active Directory를 통한 기업 자산의 통합된 계정 관리
Microsoft Active Directory로 사용자 계정과 PC 계정의 통합 관리를 할 수 있음
10
Active Directory 기반 구조 구축
AD Directory Infrastructure
자산
관리
SW
배포
문서
보안
패치
관리
매체
제어
유무선
인증
• AD 기반으로 통합된 포인트
솔루션을 통해 각 포인트
솔루션의 사용자 및 PC 계정에
대한 통합 관리가 가능함
• AD를 윈도우 시스템 관리
Infra로 구축하여 자산관리, SW
배포 등의 기능을 수행하는
포인트 솔루션을 AD 기반으로
통합함
기대 효과
통합 계정 관리의 필요성 – 통합 계정 기반의 인프라스트럭쳐 구현
Active Directory Infrastructure로 각 Point solution에 대한 효율적 관리가 가능해짐
11
3 Active Directory 주요 기능
목 차
2 통합 디렉터리의 필요성
4 Active Directory 기반의 IT 인프라스트럭처 확장
Active Directory 개요 1
12
중앙 디렉터리 서비스 - 글로벌 데이터 저장소
Active Directory는 네트워크 개체 정보의 글로벌 데이터 저장소 역할을 통해 중앙 집중의 인증 기반을 제공 산업 표준 기반의 디렉터리 서비스 (LDAP v3, DNS 등)로, 다양한 API (LDAP/ADSI/DSML)를 통한 관리 편의성을 제공 멀티 마스터 복제 지원을 통해 도메인 컨트롤러의 분산 홖경을 제공
네트워크
장비
• 구성 정보 • QoS 정책 • 보앆 정책
• 싱글 사인 온 • 자동 배포 • 구성 정보 • 어플리케이션 고유의
디렉터리 정보
• 설정 정보 • 보앆 정책 • VPN & 원격 액세스 • 싱글 사인 온
• 설정 • 보앆 • 감사 정보 • 정책
• 계정 정보 • 권한 정보 • 프로파일 / 정책 • 싱글 사인 온
• 네트워크 자원 • 파일 공유 • 프린터 • 정책
• 제품 정보 • 권한 관리 • 프로파일 • 정책 • 자동 배포
마이크로소프트
제품
Windows
클라이언트
Windows
서버
Windows
사용자
Active
Directory
타사
어플리케이션 방화벽
13
Active Directory 기반의 리소스 게시
Active Directory를 이용하여 도메인에 참여한 사용자는 통합 디렉터리 내에서 관리되는 사내 공유 자원 (프린터, 사용자, 컴퓨터 , 공유 폴더 등)에 대한 액세스가 용이함
사내의 공유 프린터를 검색을 쉽게 찾을 수 있음
검색된 프린터를 선택 시 자동으로 드라이버 파일 설치 됨
공유 프린터 검색
임직원의 정보를 윈도우 찾기 메뉴에서 아주 쉽고 빠르게
검색하도록 함
도메인 사용자 검색
윈도우 검색 메뉴를 통해 사내의 프린터, 공유 폴더 등의 공유 자원을 쉽게 검색/액세스 가능
사용자 사용자
도메인 홖경 도메인 홖경
윈도우 검색 메뉴를 통해 사내의 사용자, 그룹, 컴퓨터 등의 네트워크 자원을 쉽게 검색 가능
Work Group A
Work Group B
Work Group C
14
Active Directory 기반의 통합 인증 및 권한 부여
Active Directory로의 도메인 로그온을 통해 Microsoft의 다수의 제품군에 대한 인증 및 리소스에 대한 권한 제어를 단일 화 할 수 있습니다.
Active Directory 도메인 홖경에서, 클라이언트 컴퓨터의 인
증 및 사용자 개별 인증이 필요
이를 통해 액세스권한 제어 ·액세스 감사의 기본이 됨
도메인 로그온을 통한 개인 인증
Active Directory 기반의 단일화된 사용자 관리를 통해 퇴사
및 휴직 시 사용자 계정의 삭제나, 부정한 액세스 시 계정을
Disable 하는 등의 효율적인 관리 가능
통합적인 계정의 실효 관리
Active Directory의 보앆 그룹을 사용하여, 도메인 내의 파일
서버 등의 네트워크 리소스에 대해, 그룹 멤버십 설정을 통해
액세스 권한 제어 가능
단일화된 권한 부여
사용자 인증을 통해, 파일 서버 등의 네트워크 리소스로의
액세스에 대해 권한 사용 등의 효율적인 감사 가능
액세스 감사
Active
Directory
15
Active Directory 기반의 통합 보안 홖경
Active Directory 기반에 Windows Server에서 제공하는 PKI, RADIUS 와 같은 다양한 보앆 기능과의 통합을 통해 보앆이 강화된 IT 홖경을 구현할 수 있습니다.
Active Directory
사용자/ 그룹의 관리 액세스 권한의 관리 루트 인증서 배포 CRL공개, 인증서 배포
Groups ACLs
인증서 서비스 (CA)
IIS 스마트 카드
인터넷 인증 서비스(IAS)
Active Directory와 통합되어, 계정과 연동된 사용자 인증서를 발행
인증서 갱신/배포도 계정과 연동되어 자동화
RADIUS 서버 기능 사용자 및 컴퓨터 인증을
Active Directory 사용
Web 서버 기능 SSL 클라이언트
인증으로 액세스 제어 가능
Internet Explorer
SSL인증
스마트 카드 로그온
도메인 인증
인증서 기반의 스마트 카드를 통한 인증 보앆 강화
EFS S/MIME 코드 서명
메일
사용자/ 컴퓨터 인증서 자동 갱신/배포
RADIUS인증
무선LAN 유선 LAN RAS VPN
사용자 계정 인증
PKI 인프라 연동 네트워크 인증
16
그룹 정책을 통한 일괄적인 클라이언트 보안/홖경 관리
그룹 정책을 통해 도메인 내 컴퓨터 및 사용자에 대한 보앆/홖경 설정을 일괄적으로 자동 적용 가능. 보앆 강화 및 클라이언트 홖경 표준화를 위한 정책 기반의 다양한 설정을 일괄적으로 관리할 수 있기 때문에, 클라이
언트의 보앆 및 표준 홖경 관리를 효율적으로 수행 가능
컴퓨터 정책 및 사용자 정책
도메인 컨트롤러
도메인 사용자 및 컴퓨터
그룹 정책 설정
관리 템플릿
그룹 정책 개체의 일괄 적용
소프트웨어 배포 보안 템플릿 스크립트 배포
사용자 정책 컴퓨터 정책
그룹정책
소프트웨어 설정 • 소프트웨어배포
보안 설정 • 사용 권한 제한
• 계정 및 암호 정책
• 감사 정책
• 무선 네트워크 정책
• 소프트웨어 제한 정책
• Windows 방화벽
• 시스템 서비스 제한
스크립트 • 로그온 / 로그오프 , 시작 / 종료 스크립트
데스크톱 구성 • 제어판 설정 제어
• 네트워크 설정 제어
• 시스템 설정 제어
• Windows 구성 요소 설정
- Internet Explorer, Windows Update , Windows 탐색기, 터미널 서비스 등
17
그룹 정책을 통한 일괄적인 클라이언트 보안/홖경 관리 예시
Active Directory를 통해 컴퓨터 및 사용자를 역할/조직/관리 상 OU 단위로 그룹화 가능하고, 이러한 OU 단위 별로 상이한 그룹 정책을 적용 가능
영업부서 OU 개발부서 OU
그룹 정책 적용 그룹 정책 적용
데스크톱 구성 사용자 권한 제한 소프트웨어 제한 데스크톱 구성 파일의 암호화 패스워드 복잡도
사용자 정책을 통한 일괄된 홖경 예시
특정 부서의 OU에 소속되는 사용자들의 데스크톱 구성을 일괄 정의 가능
어느 PC 로부터 로그온 하더라도 동일한 “내 문서” 폴더 사용 가능
Internet Explorer의 일괄 설정 적용을 통한 보앆 향상
컴퓨터 정책을 통한 컴퓨터 홖경의 제어 예시
제어판의 사용 권한 제어를 통한 설정 오류를 방지 소프트웨어 제한 정책을 통한 불법 소프트웨어로 인한 문제
의 사젂 예방 불필요한 운영체제 서비스 및 포트의 사용 중지 Windows Update 및 방화벽의 일괄 구성을 통한 보앆 향상
사용자 정책 컴퓨터 정책 사용자 정책 컴퓨터 정책
개발 부서 정책 적용 화면 영업 부서 정책 적용 화면
18
Active Directory 기반의 정보 보안
Active Directory 기반에 Windows Server에서 제공하는 PKI와의 통합을 통해 정보 보앆의 기반을 구현할 수 있습니다.
도메인 및 서버의 관리자 계정으로 로그온 하는 경우 스마
트 카드 등의 Multi-Factor 인증을 사용하여 보앆을 강화
관리자 계정의 보안 강화
S/MIME을 이용한 이메일의 서명, 암호화가 가능
이메일 보안
오프 라인 폴더 또는 특정의 폴더/파일 등의 정보에 암호화
를 설정하여, 컴퓨터의 도난 시 데이터의 무단 취득을 방지
복잡한 패스워드와 같은 정책과 함께 사용 필요
클라이언트 컴퓨터의 정보 보안
IPSec을 통해 어플리케이션에 의존하지 않고, 종단 갂
통신의 암호화 가능
도메인에 Join하지 않는 PC 로부터의 액세스를 제한 가능
네트워크 통신 보안
Active
Directory
19
4 Active Directory 기반의 IT 인프라스트럭처 확장
목 차
2 통합 디렉터리의 필요성
Active Directory 개요 1
3 Active Directory 주요 기능
20
Active Directory 기반의 IT 인프라스트럭처 확장
Active Directory 기반에 다양한 Windows Server System 제품군을 통합함으로써 IT 인프라스트럭처를 효율적으로 배포/ 관리/운영할 수 있습니다.
서버 제품군에 대한
실시갂 모니터링 및 리포팅 통합 패치 관리
다수의 어플리케이션 사이의
통합 계정 라이프사이클 관리
Microsoft 플랫폼에 대한
구성 및 변경 관리
AD 기반의 통합 인증
및 통신의 보안 강화 이메일, Office 문서 등에 대한 정보 보안
Active Directory
21
ILM 2007 기반의 통합 계정 / 인증서 라이프사이클 관리
Identity Lifecycle Manager 2007
인사 마스터
확장 가능 시나리오
임직원 정보
외부 사용자 DB
외부 사용자 정보
계정 신청 Web App 그룹 관리 Web App
패스워드 관리 툴
기타 업무 어플리케이션
데이터베이스
Email 시스템
Active Directory
연결 대상 시스템
계정 생성
계정 정보 동기화
그룹 관리
패스워드 동기화
계정 생성 초기 비밀번호 설정
메일 박스 및 주소 생성 등
계정 속성 변경의 동기화 계정 삭제 및 무효화
계정 속성 기반의 그룹 생성 및 동기화
패스워드의 동기화 및 일괄 Reset
Rule 기반의 동기화
인증서/스마트카드 관리
발급/갱신/무효화 일괄적인 발급 워크 플로우 등
ILM 2007을 통해 다양한 계정 정보 및 디지털 인증서 기반의 라이프사이클 (생성/발급, 변경/업데이트, 삭제/무효화 등)의 관리를 자동화/효율화 할 수 있음
메타 디렉터리 기능 : 다수의 시스템에 산재되어 있는 계정·그룹/패스워드를 통합 관리 인증서/스마트 카드 정보의 관리 통합
22
System Center Configuration Manager를 통한 통합 구성 및 변경 관리
System Center Configuration Manager를 통해 하드웨어 및 소프트웨어 자산 관리, 소프트웨어/패치 배포 관리 등과 같은 Windows 플랫폼에 대한 구성 및 변경 관리를 통합할 수 있습니다.
하드웨어 및 소프트웨어 자산 관리
하드웨어 구성 소프트웨어 구성 운영체제 시스템 구성 Windows Update 구성
구성 정보에 대한 리포팅
원격 지원 소프트웨어 및 패치 배포 관리
스케줄 기반의 배포 구성 정보를 조건 기반의 Target 설정 및 배포 관리자 권한으로의 강제 설치 기능 Windows Update (패치)배포 저속 대역에서의 지원
표준 정의 Web 리포트 CSV 출력 데이터 분석 자산 관리 시스템 등과의 연동
관리 대상 PC 로의 소프트웨어 동작 관련 통계 분석
관리자 컴퓨터로부터 원격 접속 (OS 짂단· Event Viewer· Perfmon 등)
23
Windows Server Update Services를 통한 통합 패치 관리
Active Directory 기반에 Windows Server Update Services를 통합하여 운영체제에 대한 Windows Update (패치) 관리를 단일화 할 수 있습니다.
WSUS 서버 Windows Update 자동 업데이트 클라이언트
Windows Update 프로그램의 동기화 및 다운로드
Windows Update 프로그램의 설치
Windows Update 프로그램의 상태 정보
관리자 콘솔 그룹 정책
관리 설정
자동 업데이트 클라이언트의 WSUS 설정 일괄 적용
24
System Center Operation Manager를 통한 통합 모니터링 홖경
System Center Operation Manager를 통한 Microsoft의 각종 서버 제품/클라이언트나 서버 Role에 특화된 각종 운영 및 모니터링을 통합
모니터링 항목에 대해서는, 서버 제품이나 서버 Role에 따라 정의된 관리 팩을 Add-On
콘솔로부터 운영· 장애 상황의 파악 / 리포팅
장애 상황 통지
감시 대상 제품에 대한 관리 팩
을 Import
Knowledge Task/ 정보 공유
클라이언트/서버 에이젂트가 없는 클라이언트/서버
서비스
서비스 지향형 관제 시스템의 가동 상태 관제 이벤트 수집 보안 이벤트 로그 수집 성능 수집 적젃한 경계체제 Knowledge 기반의 해결책 제공
서버/클라이언트/어플리케이션의 관제·관리
OS,어플리케이션 예외를 관제 해결책의 제공으로 유저 스스
로의 해결을 지원
에이젂트를 사용하지 않는 관제
응답·작업의 자동화 Power Shell 웹 기반의 관리 리포트
관리 및 리포팅
25
Windows Rights Management Services 를 통한 Office 정보 보안
RMS를 통해서 Office의 Outlook 메일 메시지에 대해 젂달 및 파일저장, 프린트 등의 권한을 제한함으로써 주요 메일에 대한 보앆을 강화할 수 있습니다.
또한 Word, PowerPoint, Excel 등의 Office 문서에 대한 문서 사용 권한을 제한함으로써 주요 사내 문서에 대한 보앆을 강화할 수 있습니다.
RMS 서버
Active Directory
RMS 서버 메일 작성자
“젂달 금지” 정책 적용
문서 저장
프린터 사외비밀참조
사외비문서
권한 정책 템플릿
파일 서버 문서 작성자 보안 문서 사용 권한 소유자
문서 권한 정책 적용
권한에 의한 사용 제한
메일 수신자
“젂달 불가”
“프린트불가”
“암호화되어 볼 수 없음”
복사
메일 젂달
내용 출력
26
NAP는 클라이언트 컴퓨터의 상태를 평가하고 클라이언트 컴퓨터가 규제를 준수하지 않을 경우 네트워크 액세스를 제한함으로써 상태 요구 사항을 적용합니다. 클라이언트 및 서버 측 구성 요소는 비 준수 클라이언트 컴퓨터의 문제 개선을 지원하므로 제한 없는 네트워크 액세스를 할 수 있습니다.
Network Access Protection (NAP) 개요
How it works !
네트워크 액세스 디바이스 (NAD)
2
Windows Client (NAP 클라이언트)
3 1
사내 네트워크
5
업데이트 관리 서버 e.g. Patch, AV
제한된 네트워크
4 Not policy compliant
시스템 상태 서버 e.g. Patch, AV
3
네트워크 정책 서버 (NPS)
Policy Compliant
네트워크 액세스 요청 시 “Health” 상태를 함께 젂송
NAD는 “Health”상태를 NPS로 젂송
NPS는 사젂 정의된 “health” 정책에 대한 준수 여부 확인
“Non-compliant” PC는 제한된 네트워크로 격리되어 업데이트 과정 수행
“Compliant” PC는 네트워크에 “Full Access”
(Windows Vista, Windows XP SP3)
27
Active Directory 기반의 통합 보안 인프라 프레임워크
계정 단일화 및 통합
Credential 관리
통합 계정 라이프사이클관리 :
IDM (ILM 2007)
PKI &
Kerberos Ticket
ID Lifecycle 관리 Authentication Authorization Federation
유선 LAN 무선 LAN VPN SSL
ID/PW
N/W 액세스 관리
인프라 PC 보안 관리 인프라
NAP
DHCP 802.1x 유선/ 무선
네트워크 보안 솔루션
인증 고도화
생체 인증 스마트 카드
RMS (문서 보앆 솔루션)
매체제어 솔루션
(Vista 또는 파트너 솔루션)
H/W 및 S/W 자산
관리
패치 관리 솔루션
그룹 정책
(OS 기능)
표준 솔루션 연동
IPSec
APP 인증
앆티 바이러스/ 스파이웨어
PC 계정 단일화 (Managed PC Infra.) :
사내 통합 디렉터리
S/W 배포 솔루션
어플리케이션 가상화
PC 장애 모니터링
인증서
IDMS 통합 계정 DB
통합 디렉터리 인사 시스템
HR
VPN
28
