SharedIT | 묻고 답하기(AMP)

Active Directory 도입 DR 설정

ITasso
2022.02.05 () | 0 추천 | 7개의 답변

안녕하세요.


현재 AD도입을 준비중입니다.

사내 PC는 100여대 정도 이고 부서별로 나워 순차적으로 도입할 예정입니다.

우선 A부서의 PC(총 10대)부터 진행할 예정인데

예전에 AD 도입 후 랜섬웨어로 큰 홍역을 치뤄

DR까지 병행해서 진행하려고 합니다.

DR쪽에 아무런 지식이 없는 관계로

혹시 선,후배님들중에 AD 및 DR 혹은 백업 솔루션 같이 진행하신분이 있으시다면

답변 부탁드리겠습니다.

가장 큰 이슈는 랜섬웨어 대응입니다. 

Tags : 태그가 없습니다.

7개의 답변이 있습니다.

낭만생선
  0 추천 | 2년 이상 전

AD의 보호는 KISA쪽에 AD 랜섬웨어 관련 문서들을 몇개 보시면 중복 되는 내용들이 있을겁니다.

특히 계정 부분 중점으로 보시면 되구요.


PC를 보호 하시려면 문서 중앙화후에 PC에는 데이터를 저장하지 못하게 하고

문서 중앙화 스토리지를 주기적으로 백업 받으셔야 합니다.

스냅샵 포함해서요.

그래야 PC가 암호화 되어도 데이터는 살릴수 있습니다.

한번 들어왔으면 또 들어올수 있기 때문에 철저히 준비하셔야겠네요.

그저멍하니
  0 추천 | 2년 이상 전

AD 이중화를 추천드립니다.

AD 밑에 DB나, 기타 솔루션등을 cluster 할수 있게 구성하고

primary AD 장애시 second AD로 권한을 넘길수 있도록 구성하게 됩니다.

이 두개의 AD는 항상 동기화 옵션으로 설정하면 됩니다.

topkslee
  0 추천 | 2년 이상 전

DR을 AD DR을 의미하는지 사내 시스템 DR을 의미하는지 애매하지만

AD의 경우 이중화로 동기화 구성 하면 DR 구성이 됩니다.

사내 시스템 DR의 경우 시스템의 규모 DR로 운영할 시스템 형태에 따라

많이 달라질 수 있어 추가 정보가 필요할 것 같습니다.

백업 또한 보호 대상에 따라 구성이 다릅니다.

AD를 보호하는 것인지 아니면 운영 하시는 PC를 보호하는지에 따라 다를 수 있습니다.

램섬웨어로 고생하신 경험이 있으시다면,

100% 차단은 안되겠지만 램섬웨어 대응 보안솔루션 도입도 검토하시는게

좋지 않을까 생각됩니다.

ITasso | 2년 이상 전

하이퍼링크 통해서 AD를 올릴 예정이라 AD 백업은 크게 고려하지 않아도 될꺼 같고

중요한건 운영PC 백업이라 여겨지네요.

회사에서도 예방 1순위가 랜섬웨어라 아무래도 운영PC 지속성을 가장 우선순위로 두고 있습니다.

혹시 관련해서 의견이 있으시다면 조심스레 공유 부탁드리겠습니다.

topkslee | 2년 이상 전

램섬웨어 대응이 1순위라고 하시면 몇가지 방법 추천드립니다.

1. 램섬웨어 대응 보안솔루션 + PC 백업 솔루션

  - 램섬웨어 대응 보안솔루션 : 단순 anti-virus 프로그램 보다 높은 보안 범위 솔루션 edr 형태 보안솔루션

  - PC 백업 솔루션 : 각 백업 솔루션업체에 PC의 데이터만 백업하는 방법과 PC 이미지형태로 그대로 백업하는 방법 등이 있으니 운영 방식/비용에 따라 선택하시면 될것 같습니다.

2. 중장기적으로 VDI 구축

3. 중장기적으로 PC DaaS 서비스 이용

  - 이미 PC를 보유하게 계시겠지만 교체 시기에 PC 밴더사(Dell, HP 등)의 DaaS 서비스

활용 단순 렌탈이 아니 보안까지 같은 서비스되어 보안 대응에 좋습니다.

danis78
  0 추천 | 2년 이상 전 | 제이컴즈 | 010-2871-8756

보고서 | 자료실 - KISA 인터넷 보호나라&KrCERT (boho.or.kr)


DR 구성 말고 AD 서버를 백업할 백업 서버는 AD 에 연결되어 있지 않아야 합니다. 


보호나라 자료실에 나와 있는 문서 자료를 참고하세요 

ITasso | 2년 이상 전

답변 감사드립니다. 많은 참고가 됐습니다.

쿨가이
  0 추천 | 2년 이상 전

랜섬웨어 때문에 고생하셨군요.ㅜ

AD감염되면 전사 서버, PC에 영향이 있기때문에 치명적이죠.

AD는 이중화는 필수이고, AD서버 자체 이미지 백업도 추천드립니다.

혹시 전체적인 진행이 필요한 업체 찾으시면 솔루션 상담실 추천드립니다.

차바라기
  0 추천 | 2년 이상 전

AD구축하는데 DR하고 상관없이 보안장비를 구축하시는게 좋을듯합니다. 백신이나 랜섬웨어 차단 솔루션을 하는게 맞지 않나 싶습니다.

wansoo
  0 추천 | 2년 이상 전

AD 복제 서비스를 이용하면 따로 DR을 구축하지 않아도 되지 않을까 싶어 보이고요.

랜섬웨어 대응에...

AD DR 설정과 큰 관련이 있을까 싶어 보이는데요??

랜섬웨어는 파일을 공격해서 암호화 시키는 형태로 작동을 하는 악성 코드 이다 보니...

AD 서비스에 대한 공격은 바이러스 같은 악성 코드와 관련된게 아닐까 싶고...

AD 서비스의 취약점을 이용해서 AD에 연결된 클라이언트 컴퓨터들의 자료들이 랜섬웨어에 의해 암호화 되는 상황은 AD 서비스의 취약점을 보완해서 극복해야 할 내용이라 생각되고요.

ITasso | 2년 이상 전

네 제가 단어선택을 잘못한 것 같네요.

운영PC(사용자PC)에 대한 DR을 구축하고 싶습니다.

어짜피 랜섬웨어를 100% 예방하는건 불가능하다고 알고 있어

그렇다면 운영PC용 DR을 구축해 감염시 바로 복구할수 있도록 

계획중입니다.

원본 페이지 보기