서버 보안 점검 사항으로 불필요한 공유 및 권한을 제거 사유에 대한 내용입니다.
AD의 경우 꼭 필요한 공유가 무엇이고 없으면 안되는 사유 이와 관련된 권한은 어떻게 되어야 하는지를 파악하기 위한 자료입니다.
공유권한과 보안권한은 기본적으로 & 속성으로 두가지 권한을 조합하여 가장 제한적인 권한을 적용하게 됩니다.
예제1) 공유권한 Everyone Full + 보안권한 Domain Users Read = Domain Users Read 권한 적용
예제2) 공유권한 Everyone Read + 보안권한 Domain Users Full = Domain Users Read 권한 적용
이 경우 네트워크로 접근할 경우 권한이며, 서버에서 탐색기로 직접 접속할 경우 보안 권한 만 적용 받게 됩니다.
결론적으로 공유권한에 Everyone Full을 설정하고 보안 권한에 제안적으로 적용하면 모두 적용 받게 되는 내용입니다.
문제는 서버 보안 점검으로 툴을 돌리게 되면 공유권한에 Everyone Full 항목이 모두 보안 위배에 해당되며 이는 모두 수정사항으로 지적 받게 됩니다.
이 경우 두가지 방법으로 대응이 가능합니다.
- 첫번째 방법으로 값을 수정합니다. – 최종 권한에도 문제가 되지 않고 지적사항에도 조치완료가 되어 대부분 이렇게 대응합니다.
- 두번째 방법으로 값을 수정하지 않고 매뉴얼 대응합니다. – 보안 지적사항은 절대 값이 아니고 권장사항으로 내부 보안 지침에 명시되어 있어 해당 지적사항이 문제가 되는 사항이 아니라는 내용을 고지하고 예외 처리합니다.
두번째 방법은 대부분 첫번째 방법으로 처리가 되지 않는 경우 (서비스를 위한 필수 값) 예외처리를 위해 사용합니다.
아래의 내용은 Active Directory를 위한 필수 예외 사항에 대한 내용입니다.
서비스가 필요에 의해 공유되는 경우 서비스를 위한 최소 값으로 권한이 설정되게 됩니다.
NETLOGON 및 SYSVOL의 최종 권한은 인증 받는 사용자 읽기 계정에게 실행 권한을 부여하여 그룹정책을 배포하기 위한 목적의 최소권한이 부여되어 있는 것으로 보안 예외 사항으로 규정하여 설정을 변경하시면 안됩니다.
만약 그래도 Everyone 읽기 권한이 문제가 된다면 Domain Users 그룹 혹은 Users 그룹에 읽기 권한을 부여하시면 됩니다.
Everyone = Users + Guest 그룹을 의미합니다.
보안 규정상 Guest 계정을 Disable 하게 되어 있어 실제 Everyone이 실제 적용되는 그룹은 Users 그룹이 적용되게 됩니다.
그냥 형식적 내용으로 설명하기 귀찮아서 원하는 대로 설정하기도 합니다.
댓글