도메인 보안을 강화하려고 하는데 이 프로세스의 일부(somr RTFM 이후)는 다음과 같습니다.
- 서비스 관리자 계정 - 서비스용(안티 바이러스, spiceworks, 작업 스케줄러, NAS 백업, SQL 관리 등)
- 관리자(CIO, CTO, RD Mgr...)를 위한 개인 관리자 계정
- 도메인 관리자 사용을 NULL로 제한해 보세요.
그러나 이러한 계정을 다음과 같이 정리하는 데 어려움을 겪고 있습니다.
서비스 ADM 계정의 경우 - 매우 명확합니다(필요한 작업에만 액세스하고 GUI 액세스를 제거함).
그러나 개인 관리자의 경우 그들(나와 다른 사람들)이 필요로 하는 자격 증명은 무엇입니까?
문자 그대로 동일한 작업을 생성하므로 비밀번호를 사용하여 adm.myuser.name으로 로그인만 하면 됩니다. 관리자 그룹에 본인을 추가해야 합니까?
- 그렇게 하면 사용자를 제어하고 공유 계정을 제한하는 등의 작업에 약간 도움이 되지만 그렇게 해야 합니까?
그러한 개인 도메인 관리자를 보유하는 가장 좋은 방법은 무엇입니까?
이 길을 시작하면 통제하고 모니터링해야 할 사용자가 너무 많아질 것입니다. 어떻게 해야 합니까? - srv.adm.sql 사용자를 어떻게 모니터링합니까?
답변1
개인 관리자 계정과 관련하여 여기에서 취할 수 있는 두 가지 길이 있습니다.
- 모든 사람은 개인 관리자 계정과 일반 사용자 계정을 갖습니다.
- 모든 사람은 일상적인 작업에 사용하는 개인 관리자 계정을 갖게 됩니다.
분명히 첫 번째 옵션이 더 안전한 옵션이지만 실제로는 많은 관리자가 이 옵션만 사용하고 다른 옵션에는 신경 쓰지 않을 것으로 나타났습니다. 이것이 두 번째 옵션이 있는 이유입니다. 별도의 관리자 계정을 사용하면 환경의 감사 가능성이 높아지며 이는 옳은 일입니다.
일반 계정과 고급 계정이라는 두 개의 계정으로 생활하는 것은 상당히 가능하지만 실제로 성공적으로 생활하려면 약간의 노력이 필요합니다. Windows의 문제는 때때로 특정 관리 도구를 승격된 계정으로 "실행"하는 경우에만 작동한다는 것입니다. 한 가지 옵션은 관리자가 승격된 계정을 사용하기 위해 로그인해야 하는 곳에 터미널 서버를 두는 것입니다. 또 다른 옵션은 관리자 전용 가상 머신입니다.
사용량을 모니터링하려면 보안 모니터링 환경 전반에 걸쳐 어떤 형태의 보안 모니터링이 필요합니다. 이는 보유할 수도 있고 보유하지 않을 수도 있습니다. 이를 수행하는 방법에는 여러 가지가 있으며 이는 이 질문의 범위를 벗어납니다. '특정 관리자-워크스테이션으로 로그인이 제한된 별도의 관리자 계정' 경로를 사용하면 환경 전체 솔루션보다 더 쉬울 수 있는 보안 로그를 직접 모니터링할 수 있습니다.