안녕하세요, 인프라 담당을 조그마하게 하고 있습니다.
혹시 공용 PC 관리는 어떻게 하시는지 여쭤보고 싶습니다.
현재는 해당 부서의 공용 PC는 부서 실장급의 AD 계정을 공유해서 사용하고 있습니다.
1) 공용 PC 자체를 둔다는게 보안에 위배가 될까요?
1-1) 공용 PC가 보안에 위배되어 실장급 AD를 사용할 경우 파일서버 접근 권한도 동일하게 가져가기 때문에 문제가 될 것으로 보입니다.
2) AD로 연동할 경우 C:\Users 밑에 로그인한 사용자의 디렉토리만 고유한 것이고 C, D, E 등의 나머지 디렉토리는 어느 사용자가 접근해도 다 볼 수 있는게 아닐까요?
2-2) Agent 방식의 백신, DLP 솔루션을 설치하려는데 AD 가 바뀜에 따라 어떻게 진행해야할지 궁금합니다.
많은 도움 부탁 드리겠습니다!
3개의 답변이 있습니다.
공용 PC를 업무용으로 사용한다면 개인별 계정을 할당해서 관리하는게 맞을 것 같네요.
단순히 업무와 무관하게 인터넷 사용 정도라면 공용 계정으로 해도 상관없지만, 업무용으로 사용한다면 개별 계정을 할당해서 사용하는게 좋을 것 같습니다.
1) 공용 PC 자체를 둔다는게 보안에 위배가 될까요?
- 공용 PC를 사용하는게 보안에 위배 되기 보다, 보안 에이전트등을 설치 안하고 사용하는게 문제라고 생각 합니다.
1-1) 공용 PC가 보안에 위배되어 실장급 AD를 사용할 경우 파일서버 접근 권한도 동일하게 가져가기 때문에 문제가 될 것으로 보입니다.
- 말씀 하신 내용이 맞습니다. 공용 PC 또는 회의실의 계정을 각각 생성하여 회의실은 A 계정, 팀 공용 PC는 B계정으로 동일하게 AD 이행 하신 후 정책 설정등을 하시면 될 것 같습니다. 추가로 회의실등은 사내 모든 직원들이 자신의 AD계정으로 로그인 후 사용하게끔 한다면 더욱 보안이 견고 해질듯 싶습니다.
2) AD로 연동할 경우 C:\Users 밑에 로그인한 사용자의 디렉토리만 고유한 것이고 C, D, E 등의 나머지 디렉토리는 어느 사용자가 접근해도 다 볼 수 있는게 아닐까요?
■AD를 같은 ㄱㅖ정으로 이행 후 hostname은 별도로 지정 되게 하셔야 됩니다.
■예) 회의실 1 nyconf AD 이행 후 hostname : abc, 회의실2 nyconf AD 이행 후 hostname : abc2 등
2-2) Agent 방식의 백신, DLP 솔루션을 설치하려는데 AD 가 바뀜에 따라 어떻게 진행해야할지 궁금합니다.
- 백신 및 DLP를 설치 하시게 되면 백신은 그냥 사용자 정보 입력등은 없어야 하고 ASM등의 제품은 미사용 하시면 될 것 같습니다. DLP 또는 DRM 쓰시게 되면 별도의 사용자 인증을 시켜주셔야 될 것 같습니다.
1) AD 연계된 시스템, 공유폴더 등을 사용할때 권한 문제가 발생할 것 같습니다. 저희 같은 경우 AD와 연계된 시스템이 많기 때문에 별도 공유 PC 계정을 생성하여 권한의 제한을 두고 있습니다.
2) AD 계정을 변경하더라도 드라이브 내용은 열람이 가능합니다.