현재 MS 보안 준수 관리자에 대해 내 작업의 기본 도메인 컨트롤러 정책 GPO를 검토하고 있는데, 내가 찾은 것 중 하나는 준수 기준에 나타나지 않는 사용자 권한 할당이 있는 항목이 많다는 것입니다. 이들 중 다수는 다음과 같은 컴퓨터 계정으로 보입니다.
- 도메인\IWAM_[서버 이름]
- DOMAIN\SQLServer2005MSSQLUser$[서버 이름]$MICROSOFT##SSEE
- 도메인\IUSR_[서버 이름]
규정 준수 관리자의 조언을 따라 이를 제거해야 합니까, 아니면 Windows가 무엇을 하고 있는지 알고 있다고 믿고 그대로 두어야 합니까?
답변1
또는 Ben은 해당 계정이 무엇에 사용되는지 알고 있지만 여기에 있는 모든 사람이 그것을 알 것이라는 가정하에 해당 정보를 나열하지 않기로 결정했으며 그러한 정보를 나열하는 데 시간을 소비하는 것은 의미가 없습니다.
"새 서버로 이동하세요(물론 DNS는 제외)"
왜 "물론"입니까? 예, DNS는 도메인 컨트롤러에 있을 수 있지만 반드시 그럴 필요는 없으며, DNS를 별도로 두는 것이 적합한 환경이 있습니다(경우에 따라 Windows에서는 그렇지 않음).
일반적으로 SQL Embedded, IIS 등은 모범 사례에 따라 도메인 컨트롤러에 속하지 않지만 도메인 컨트롤러에 있어야 하는 사이트별 이유가 있을 수 있다는 점에 동의합니다.
Ben의 질문에 대한 가장 간단한 대답은 그의 특정 상황에 사실이거나 관련이 있을 수도 있고 아닐 수도 있는 많은 것들을 가정하고 실제로 문제를 일으킬 수 있는 조치를 취하도록 명령을 내리는 대신 그가 요청한 질문에 실제로 대답하는 것입니다. 더 나은 것보다는 더 나쁜 것.
답변2
이러한 계정은 잘 알려진 서비스(IIS 및 SQL)에 대한 잘 알려진 시스템 계정이며, 해당 계정이 환경에서 어떤 용도로 사용되는지 알아보는 대신 해당 계정을 제거할지 묻는 것이 가장 먼저 생각되었다는 점은 꽤 우려스럽습니다.
IIS의 ISUR 및 IWAM 사용에 대한 적절한 답변은 다음과 같습니다., 그리고 SQL 계정... 누가 알겠습니까? SSEE는 SQL Server Embedded Edition을 의미하며 일부 기본 SharePoint 설치에서 이러한 현상을 본 적이 있으므로 이것이 SSEE일 수도 있고 다른 것일 수도 있습니다. (SharePoint는 IIS와 SQL을 모두 고려하므로 도메인 컨트롤러의 SharePoint는 역겹지만)
그러나 어느 쪽이든 여기서 중요한 것은 그것이 무엇인지, 무엇을 하는지에 대한 지식 없이 물건을 만지작거리지 않는다는 것입니다. 서버를 자동차처럼 생각하십시오. 오일 교환에 관한 문서를 바탕으로 후드를 열었고, 세 가지 생소한 점을 발견했습니다. 당신은 단지 그들을 잡아채서 무슨 일이 일어나는지 보고/최선을 다할 건가요?
실제로 해야 할 일은 도메인 컨트롤러에서 실행 중인 모든 서비스가 무엇인지 파악하고 이를 새 서버로 이동한 다음(물론 DNS는 제외) 작업을 완료하고 해당 계정이 더 이상 액세스되지 않는지 확인하는 것입니다. , 그러면 도메인 컨트롤러에서 안전하게 제거할 수 있습니다.