Avast Free Antivirus와 기본 Windows 방화벽이 설치된 Windows 7 PC가 있습니다. 네트워크 리소스를 사용하려면 내 PC가 내 업무 도메인에 등록되어 있어야 합니다. 하지만 그건 시스템 관리자에게 내 컴퓨터의 열쇠를 주는 것과 같다고 생각합니다. 그는 다음을 알고 있을 수도 있습니다.
- 내 컴퓨터에 있는 내용(OS, 소프트웨어, 파일, 문서 등...)
- 내가 방문하는 웹사이트
간략히 설명하자면... 내 PC를 작업 도메인에 두는 것은 TeamViewer를 백그라운드에 설치하는 것과 같으며 시스템 관리자는 원하는 대로 무엇이든 할 수 있습니다.
나는 이것이 전적으로 사실이 아니라는 것을 알고 있습니다. 그러나 나는 가능한 한 내 개인 정보를 보호할 수 있는 방법을 찾고 있습니다.
- 업무용 새 Windows 계정을 만들어야 합니까?
- 해당 계정에 대해 특정 방화벽 규칙을 설정해야 합니까?
- Tor와 같은 다른 프록시를 사용해야 합니까?
- 등 ...
- 내가 뭘 할 수 있지?
답변1
흠... 약간의 오해가 있는 것 같습니다. (제 생각에는 꽤 흔한 오해일 수도 있습니다.) 몇 가지 명확한 세부 사항을 알려 드리겠습니다.
기술적 능력이 무엇인지 아는 것과 같은 지식을 갖는 것이 좋습니다. 특정 선택의 장점과 단점이 무엇인지 아는 것이 좋습니다. 따라서 Active Directory 보안 모델 사용을 지원하는 Microsoft Windows 변형을 사용할 때 어떤 영향이 있는지 알아 두는 것이 좋습니다.
나는 이것이 전적으로 사실이 아니라는 것을 알고 있습니다. 그러나 나는 가능한 한 내 개인 정보를 보호할 수 있는 방법을 찾고 있습니다.
사실... 그건 사실이에요.
귀하의 컴퓨터가 네트워크에 연결되면(VPN에 연결된 경우도 포함될 수 있음) 일반적으로 컴퓨터는 C:에 원격으로 액세스할 수 있습니다.
귀하의 컴퓨터가 192.0.2.150의 IP 주소로 접속할 수 있다면, 그는 \192.0.2.150\c$를 방문하여 귀하의 C:에 있는 모든 것을 볼 수 있습니다.
그는 내 컴퓨터에 무엇이 있는지 알고 있을 수도 있습니다(OS, 소프트웨어, 파일, 문서 등...).
에 관해서는
내가 방문하는 웹사이트
이를 위해 Active Directory 도메인에 있을 필요도 없습니다. 컴퓨터가 네트워크를 사용하여 트래픽을 보내는 경우 나가는 트래픽의 IP 대상을 확인할 수 있습니다. 트래픽이 네트워크를 통과하도록 VPN을 사용하는 경우 현장에 있을 필요조차 없습니다. (일부 VPN 구성은 모든 네트워크 트래픽이 VPN을 통과하도록 하고 일부는 그렇지 않습니다. 따라서 원격에 있을 때 모든 VPN이 이러한 영향을 미치는 것은 아닙니다. 또한 적어도 일부 VPN 소프트웨어는 라우터에서 일부 구성 정보를 다운로드할 수 있습니다. ; 그 중 어느 것도 귀하가 Active Directory 도메인에 속해 있는지 여부와 관련이 없습니다.)
완전히 다른 접근 방식은 컴퓨터가 DNS 서버를 사용하는 경우 사용자가 어떤 DNS 쿼리를 하는지 볼 수 있다는 것입니다. 다시 말하지만, 이 중 어느 것도 귀하가 Active Directory 도메인에 속해 있는지 여부와 관련이 없습니다.
Windows에 내장된 소프트웨어를 사용하여 일반적으로 수행되는지 여부는 또 다른 이야기일 수 있지만 그러한 기능은 확실히 존재합니다. (추가 소프트웨어를 구하거나 사용되는 일부 장비에 내장된 기능을 사용해야 할 수도 있습니다.)
단순히 귀하가 방문하는 웹사이트를 보는 것보다 더 나쁜 점은 네트워크 관리자가 귀하의 "보안" 웹 검색 세션 내용을 볼 수 있다는 것입니다. Active Directory 도메인에 있는 경우 네트워크 관리자는 컴퓨터가 HTTPS 인증서 설치를 포함하여 특정 "정책"을 따르도록 할 수 있습니다. 그러면 HTTPS 프록시가 "보안" 웹 트래픽에 대한 MITM 감시를 수행할 수 있게 되며, 컴퓨터는 HTTPS 웹 프록시의 HTTPS 인증서를 신뢰하기 때문에 결과를 신뢰하게 됩니다.
위에서 언급한 다른 "위협"과 달리 이 위협은 실제로 매우 일반적으로 수행됩니다. (장치 제조업체는 이 기능을 "MITM 공격"으로 광고하지 않습니다. 그들은 이 기능을 "HTTPS 프록시" 및/또는 "심층 패킷 검사"("DPI") 기능으로 광고합니다.)
컴퓨터가 Active Directory 도메인에 설치되어 있으면 컴퓨터가 Active Directory 도메인 컨트롤러의 보안 판단을 신뢰한다는 의미입니다. 이를 통해 컴퓨터는 Active Directory 도메인 컨트롤러에 저장된 Windows 계정을 쉽게 사용할 수 있습니다. 여기에는 컴퓨터가 준수할 업데이트된 그룹 정책 설정이 있는지 도메인 컨트롤러를 확인하는 것도 포함됩니다. 그룹 정책을 사용하면 추가 소프트웨어를 설치할 수 있습니다. 여기에는 일반적인 상용 시스템 모니터링 소프트웨어 등이 포함될 수 있습니다. 여기에는 키보드 로깅 소프트웨어를 설치하는 기능이 절대적으로 포함됩니다. (흔히 발생하는 일이 줄어들기를 바라지만, 그 기능은 확실히 존재합니다.)
간단히 말해서:
- 외부 세계의 사용에 대해 복원력이 있는 컴퓨터를 원한다면 심각하게 강화된 운영 체제를 고려하십시오. OpenBSD가 좋은 선택일 수 있습니다.
- 사용하기 쉽다고 널리 인정받는 컴퓨터를 원한다면, 이것이 바로 많은 사람들이 Microsoft Windows 사용을 선호하는 주요 이유입니다.
- 회사의 기술 지원을 통해 컴퓨터를 수정할 수 있게 하는 것을 포함하여 회사 네트워크와 원활하게 통합되는 컴퓨터를 원하는 경우 컴퓨터를 Active Directory 도메인에 가입시키십시오.
회사 정책에 따라 세 번째 옵션을 활용해야 할 수도 있습니다. 회사가 준수하도록 요구하는 정책이 있는지 여부는 기술 능력에 대한 논의 범위를 벗어납니다. 당신이 사실일 수도 있습니다~해야 한다회사에 그러한 액세스 권한을 부여하십시오. 그것이 사실인지 아닌지에 관계없이 이 답변의 첫 번째 문단은 그대로 유지됩니다.
업무용 새 Windows 계정을 만들어야 합니까?
좋지 않다. "도메인 컴퓨터"("도메인에 가입"된 컴퓨터)는 "도메인 컨트롤러"(네트워크에 보안을 제공하는 데 도움이 되는 "서버" 컴퓨터에 사용되는 이름)를 신뢰합니다. 도메인 관리자는 컴퓨터가 신뢰하는 계정만 사용할 수 있습니다.
해당 계정에 대해 특정 방화벽 규칙을 설정해야 합니까?
권장되지 않습니다. 아마도 여러분은 컴퓨터에 침입하는 데 사용될 수 있는 모든 유형의 네트워크 트래픽에 대응할 만큼 똑똑하지 않을 것입니다. 그리고 만약 그렇다고 하더라도 (컴퓨터가 도메인에 가입할 때) 한편으로는 "나는 회사 네트워크를 신뢰합니다"라고 말하고 다른 한편으로는 "나는 회사 네트워크를 신뢰하지 않습니다"라고 말하는 것은 정신 분열증적일 것입니다. 많은 것들을 깨뜨리기 위해 방화벽을 사용하세요.
컴퓨터가 적절한 도메인 구성원처럼 작동하는 경우 네트워크 관리자는 기본 제공 Windows 방화벽의 일부 측면을 제어할 수 있습니다.
Tor와 같은 다른 프록시를 사용해야 합니까?
효과적인. 이는 네트워크 트래픽이 네트워크 카드를 떠날 때 암호화되는 데 도움이 될 수 있습니다. 그렇다고 해서 네트워크 관리자가 도메인 컴퓨터에서 실행할 수 있다고 말하는 일부 소프트웨어를 도메인 컴퓨터에서 실행하는 것을 막지는 못합니다.
Tor를 사용해서는 안된다고 말하는 것은 아닙니다. 단지 Tor가 무엇을 성취하는지 알아야 하고, Tor가 뭔가 다른 것을 성취한다고 오해해서는 안 된다는 뜻입니다. Tor는 네트워크 트래픽의 내용을 보호하도록 설계되었습니다. Tor는 인증된 관리자가 컴퓨터에서 어떤 소프트웨어가 실행되고 있는지, 해당 소프트웨어가 무엇을 하는지 확인하지 못하도록 보호하도록 설계되지 않았습니다. 해당 기능으로부터 보호하고 싶다면 Tor가 비효율적이며 특히 이에 대한 보호 기능을 제공한다는 점만 말씀드립니다.
등등... 내가 뭘 할 수 있지?
당신은 지금까지 했던 일을 그대로 할 수 있습니다. 즉, 질문하고 교육을 받는 것입니다. 간단히 말해서, 개인 정보 보호를 위한 솔루션은 컴퓨터를 Active Directory 도메인에 연결하지 않는 것입니다. 파일 액세스와 같은 특정 작업을 수행하기 위해 컴퓨터를 Active Directory 도메인에 연결해야 하는 경우 Active Directory 도메인에 연결되지 않은 다른 컴퓨터를 사용하여 보다 "개인적인" 활동을 수행하세요.
(자신의 장치를 사용하는 경우에도 네트워크 운영자는 귀하가 어떤 인터넷 사이트에 연결했는지 아는 것과 같은 일부 측면을 볼 수 있다는 점을 알아두십시오. 회사 네트워크를 사용하고 있다면 회사의 네트워크 운영자가 이를 볼 수 있다는 의미입니다. 장치가 무선 전화 회사의 기지국과 직접 통신하는 방법을 사용하고 있다면 그 기능을 가진 것은 무선 전화 회사일 것입니다. 그런데 인터넷은 컴퓨터 네트워크의 일부 세부 사항을 확인/기록할 수 있는 기능을 갖춘 거대한 네트워크입니다. 대상 IP 주소와 같은 네트워크 트래픽에 대한 정보는 네트워크 운영자가 수행할 수 있는 작업입니다.어느인터넷 통신이 작동하는 데 관여하게 되는 컴퓨터 네트워크(반드시 첫 번째 홉일 필요는 없음)
Avast Free Antivirus와 기본 Windows 방화벽이 설치된 Windows 7 PC가 있습니다.
대부분의 안티 바이러스 회사는 자사 제품이 회사 네트워크를 운영하는 사람들에게 잘 팔릴 수 있기를 원할 것입니다. 따라서 안티 바이러스 회사는 일반적으로허용하다네트워크 관리자는 귀하가 비공개로 유지하도록 요청하는 것과 같은 사항을 볼 수 있는 액세스 권한을 갖습니다. 이는 네트워크 운영자가 그러한 액세스 권한을 가질 수 있도록 하는 소프트웨어가 일반적으로 합법적인 소프트웨어이기 때문입니다.인정 받은따라서 안티 바이러스 소프트웨어는 그러한 소프트웨어가 간섭 없이 작업을 수행하도록 허용할 가능성이 높습니다. 안티 바이러스 소프트웨어가 실수로 이러한 작업을 차단하기 시작하면 네트워크 관리자로부터 안티 바이러스 소프트웨어가 중요한 기능을 손상시킨다고 주장하는 수많은 불만이 접수되므로 안티 바이러스 소프트웨어 제조업체는 신속하게 이를 수정하기 위해 노력합니다. 실수".