Windows Server 2008의 사용자 계정 및 접근 관리
오늘날 많은 비즈니스에서는 사용자 계정 관리가 최우선 과제입니다. 사용자들은 다양한 장치를 통해 기업 네트워크의 복합 시스템 및 자원에 대해 액세스합니다. 이중 많은 시스템은 서로와 통신하지 않으므로 사용자들이 여러 계정을 갖는 것은 흔한 일입니다. 그 결과 이러한 중복 계정들을 관리하는 것이 어려워지고 시간 소모적이며 오류로 인한 보안 위험이 커지고 있습니다.
Microsoft Identity and Access 솔루션은 조직이 사용자 계정과 관련 액세스 권한을 관리하는 데 도움을 주는 플랫폼 기술 및 제품의 모음입니다. 보안과 사용 편의성에 중점을 둔 이러한 솔루션은 기업이 생산성을 높이고 IT 비용을 절감하며 간편하게 계정 및 액세스를 관리하는 데 도움이 됩니다. Microsoft Identity and Access 솔루션은 다음과 같은 5개의 영역으로 나뉩니다:
| • |
디렉터리 서비스 : 사용자 및 장치를 간편하게 관리할 수 있도록 해줍니다 |
| • |
강력한 인증 : 사용자 이름과 암호 이상으로 액세스 보안을 강화합니다. |
| • |
통합 계정 : 경계에 대한 제약 없이 조직 내에서 안전하게 공동 작업이 가능합니다. |
| • |
정보 보호 : 기밀 데이터가 어디로 이동하든 상관없이 기밀 데이터를 보호합니다. |
| • |
계정 수명 주기 관리 : 계정 및 액세스 관리를 자동화합니다. |
Microsoft Windows Server 2008은 Microsoft Identity and Access 파운데이션을 기반으로 여러 가지 새로운 기능과 기술을 통해 확장되므로 조직이 운영 효율성을 향상시키고, 간편하게 규정을 준수하는 것은 물론 보안을 강화할 수 있도록 도와줍니다.
이 페이지에서
 |
Directory Services의 새로운 기능 |
|
강력한 인증의 새로운 기능 |
|
정보 보호의 새로운 기능 |
Directory Services의 새로운 기능
Read-Only Domain Controllers (읽기 전용 도메인 컨트롤러): Windows Server 2008의 Active Directory Domain Services(AD DS)에서 가장 중요한 새 기능 중 하나는 Read-Only Domain Controller (RODC)입니다. RODC를 사용하면 도메인 데이터베이스의 읽기 전용 복제본을 호스팅하는 도메인 컨트롤러를 쉽게 배포할 수 있습니다. 이 RODC는 도메인 컨트롤러의 물리적 보안이 보장될 수 없는 위치나 네트워크 연결로 인해 생산성이 저하될 수 있는 위치 또는 애플리케이션이 도메인 컨트롤러에서 실행해야 하며 서버 관리자(도메인 관리자 그룹의 구성원이 아닌 것이 좋음)가 유지 관리해야 하는 위치 등에 적합합니다. 이러한 시나리오는 모두 지사 배포에서 흔합니다.
RODC는 쓰기 가능한 도메인 컨트롤러가 보유하는 것과 동일한 개체 및 속성을 보유합니다. 하지만 로컬에서 이루어진 변경 사항은 RODC 복제본 자체에는 적용되지 않으며, 대신 이러한 변경 사항은 쓰기 가능한 도메인 컨트롤러에 반영된 다음 다시 RODC로 복제됩니다. 이렇게 함으로써 지사에서 생긴 변경 사항이 복제를 통해 AD 포리스트를 오염시키거나 손상시키는 것을 방지합니다.
관리자는 사용자 자격 증명을 저장(캐시)하도록 RODC를 특수하게 구성할 수도 있습니다. 사용자가 RODC에 최초로 인증을 시도하면 RODC는 쓰기 가능한 도메인 컨트롤러로 해당 요청을 전달합니다. 인증에 성공할 경우 RODC에서도 사용자 자격 증명 사본을 요청합니다. Password Replication Policy (암호 복제 정책)에서 자격 증명을 복제하여 RODC에 캐시할 수 있는지 여부를 판단합니다. 자격 증명이 캐시되면 다음 번에 사용자가 로그온을 시도할 때 이후에 복제를 통해 자격 증명이 변경되었다는 통지가 없는 한 RODC에서 요청을 직접 처리합니다. 자격 증명 캐싱은 지사에서 흔히 발생하는 WAN 대기 시간이나 네트워크 연결 문제로 인한 영향을 완화함으로써 최종 사용자의 생산성을 향상시킵니다. AD DS는 RODC에 저장되는 모든 자격 증명 목록을 유지 관리하기도 하며, RODC가 손상될 경우 관리자는 해당 RODC에 저장된 모든 사용자 자격 증명에 대한 암호를 강제로 재설정할 수 있습니다.
RODC에는 지사에서 관리자 이외의 직원에게 설치 및 관리를 위임할 수 있는 위임 프로모션 기능이 있습니다. 지사 직원은 이전에 관리자가 만든 RODC 계정에 서버를 연결하여 설치를 완료할 수 있습니다. 이 기능으로 지사 도메인 컨트롤러를 위한 준비 사이트를 사용할 필요가 없으며 설치 미디어 및 도메인 관리자를 지사로 보낼 필요가 없어집니다.
Active Directory Federation Services: AD FS(Active Directory Federation Services)는 Windows Server 2008 운영 체제의 서버 역할입니다. AD FS를 사용하면 Windows 환경 및 Windows 이외 환경 모두를 포함하여 여러 플랫폼에서 작동할 수 있는 확장성이 뛰어나고 인터넷을 통한 확장이 가능한 보안 계정 액세스 솔루션을 만들 수 있습니다. AD FS에는 이제 정책 가져오기/내보내기 기능이 도입되어 페더레이션 파트너 간에 신뢰 관계를 쉽게 설정할 수 있습니다. 멤버 자격 공급자가 추가되어 페더레이션 파트너의 사용자에게 Windows SharePoint Services (WSS) 및 Rights Management Services (RMS)에 대한 역할 기반 인증이 허용되며, 관리자는 이제 Group Policy를 통해 Active Directory Federation Services 배포를 제한할 수 있습니다. 다양한 인증서 해지 검사 설정도 지원됩니다.
Directory Service 감사: 이제 관리자는 Directory Service Changes 감사 정책 하위 범주를 통해 보다 세밀하게 감사할 수 있습니다. Directory Service Changes 감사 정책에서는 디렉터리 서비스 개체나 특성에 수행된 변경 사항의 기존 값과 새 값을 캡쳐합니다. 관리자는 변경한 사람, 변경이 이루어진 시기, 변경된 개체 및/또는 특성 그리고 이전의 시작 값 및 끝 값을 정확하게 알 수 있습니다. Directory Service 감사는 Windows Event Log에 캡쳐되며 Microsoft Operations Manager 또는 third-party 툴을 사용하여 통합하거나 이용할 수 있습니다. 이렇게 자세한 수준의 로깅이 제공되므로 간편하게 Directory Service 변경 관리를 추적할 수 있으며 조직의 규정 준수가 향상됩니다.
Server Core 역할: AD DS 및 Active Directory Lightweight Directory Services (AD LDS)는 Windows Server 2008의 Server Core 설치에 지원되는 역할입니다. Server Core는 특정 역할 기반 서비스에 적합한 유지 관리 작업이 크게 필요하지 않은 환경을 조성하는 새로운 설치 옵션으로, Windows Server 2008 설치에서 공격 면적을 줄이면서 관리 및 서비스 요구 사항을 줄일 수 있도록 설계되었습니다.
Server Core 에 대해 더 자세히 읽어보십시오.
서비스 기반 AD DS: AD DS는 Windows Server 2008에서 서비스 기반으로 되어 이제 Microsoft Management Console(MMC) 스냅인이나 명령줄을 통해 중지하거나 시작할 수 있습니다. 서비스 기반 AD DS는 오프라인 조각 모음이나 정식 복원과 같은 오프라인 작업을 수행하는 데 필요한 시간을 단축하여 관리를 간소화합니다. 또한 AD DS 유지 관리 작업을 수행하는 동안에 도메인 컨트롤러에서 실행되는 기타 서비스가 계속 유지될 수 있도록 함으로써 이러한 서비스에 대한 가용성을 높여줍니다. 중지된 도메인 컨트롤러에 제한되어 있던 클라이언트의 경우 검색을 통해 다른 도메인 컨트롤러에 연결하기만 하면 됩니다.
AD DS Snapshot Viewer: Snapshot Viewer는 시간 경과에 따라 캡쳐한 AD DS 스냅샷의 개체에 대한 정보를 표시하여 실수로 삭제된 개체를 파악하는 데 도와줍니다.. 이러한 스냅샷은 도메인 컨트롤러를 Directory Services Restore Mode에서 시작하지 않고도 볼 수 있습니다. 서로 다른 스냅샷에 나타나는 개체의 다양한 상태를 비교함으로써 삭제된 개체를 복원하는 데 어떤 AD DS 백업을 사용할지 쉽게 결정할 수 있습니다.
세분화된 암호 및 계정 잠금 정책: 세분화된 암호 정책을 사용하면 여러 암호 정책을 지정하고 단일 도메인 내에서 다양한 사용자 그룹에 서로 다른 암호 제한 및 계정 잠금 정책을 적용할 수 있습니다.
Install from media(미디어에서 설치): IFM(미디어에서 설치) 옵션을 사용하면 기존의 도메인에 추가 도메인 컨트롤러를 설치하고 설치하는 동안 복제 트래픽을 최소화할 수 있습니다.
강력한 인증의 새로운 기능
Cryptography API: Next Generation: Cryptography API: Next Generation (CNG)은 National Security Agency의 Suite B 권장 프로토콜을 구현하는 Windows Server 2008의 완전히 새로운 인프라 API입니다. Active Directory Certificate Services (AD CS)는 암호화에 CNG를 사용합니다. CNG는 이전 Windows 버전에서 CryptoAPI를 오랫동안 대체해 오고 있습니다.
AD CS에서는 certificate service providers (CSP, 인증서 서비스 공급자)를 통해 기존 암호화 알고리즘을 계속 지원하면서 elliptic curve cryptography (ECC)와 같은 새로운 암호화 알고리즘은 CNG 주요 공급자를 통해 지원되고 있습니다. CNG의 고유 기능 중 하나는 조직에서 필요에 따라 사용자 지정 암호화 알고리즘을 이용할 수 있도록 해주는 기능입니다.
세분 관리 모델: AD CS에서는 인증서를 등록하는 사람, 등록할 수 있는 인증서 유형 및 인증서를 발급 받을 수 있는 사람 등을 보다 세밀하게 제어하는 새로운 보안 기능을 사용합니다. 이러한 관리 기능은 AD DS 보안 그룹을 등록 에이전트 및 인증서 관리자의 관리 작업과 통합합니다.
V3 인증서 템플릿: AD CS에서는 최신 Windows Server 2008 CNG 암호화 알고리즘을 지원하는 V3 인증서 템플릿이 이전 Windows 버전에서 소개된 V1 및 V2 인증서 템플릿을 대체합니다. V3 템플릿은 도메인 컨트롤러의 클라이언트 유효성 검사를 위한 보다 안전한 방법을 제공하며 클라이언트 및 서버 AD CS 관련 통신을 암호화할 수 있습니다.
전사적 공개키 인프라(PKI) 관리: Windows Server 2003 Resource Kit의 일부로 제공되는 PKIView 기능이 이제 Windows Server 2008의 AD CS를 설치할 경우 MMC snap-in으로 포함됩니다.
PKIView는 단일 관리 인터페이스 내에 중요한 certificate authority (CA, 인증기관) 관리 작업을 수행할 수 있도록 지원함으로써 간편하게 기업의 PKI를 관리할 수 있도록 해줍니다. 이렇게 통합된 뷰는 유니코드 문자 지원을 통해 전역적인 지원을 제공함으로써 지리적인 경계를 없애줍니다. 이 통합 인터페이스을 통해 관리자는 다음과 같은 기능을 이용할 수 있습니다:
| • |
등록되어 AD DS 토폴로지에 참여하는 전체 PKI 인프라에 대한 단일 계층 구조 뷰 |
| • |
부모/자식 관계 뷰―특정 루트 CA를 선택할 경우 모든 하위 CA는 루트의 트리에 자세하게 표시됩니다. |
| • |
인터페이스에서 각 노드를 직접 관리할 수 있는 기능 |
| • |
CA, 트리 또는 기업 PKI의 전체적인 상태를 나타내는 색이 지정된 표시기 |
최신 표준에 대한 지원: Windows Server 2008의 AD CS에는 Online Certificate Status Protocol(OCSP, 온라인 인증서 상태 프로토콜), Issuing Distribution Point Extension (IDP CRL, 발급 분배점 확장) 및 Simple Certificate Enrollment Protocol(SCEP, 단순 인증서 등록 프로토콜) 등을 비롯한 최신 표준에 대한 지원이 도입되었습니다.
정보 보호의 새로운 기능
통합 collaboration: Windows Server 2008은 완벽하게 통합된 Federated Rights Management Services 솔루션을 최초로 구현하여 제공합니다. 이 통합은 Active Directory Federation Services (AD FS)의 기능과 Active Directory Rights Management Services (AD RMS)의 기능을 결합하여 쉽게 배포가 가능한 외부 collaboration 프레임워크를 제공합니다.
Windows Server 2008 이전에는 외부 조직과 권한으로 보호되는 collaboration을 하기 위해 IT 관리자는 외부 사용자들이 사용할 수 있는 보조 자격 집합을 내부적으로 유지 관리해야 했습니다. 이는 일반적으로 도메인 계정 또는 Passport 통합의 일종이였습니다. AD RMS의 기능과 AD FS의 통합으로 조직의 보호되는 컨텐츠에 액세스하려는 외부 사용자는 홈 영역(“도메인 컨트롤러”)에서 최초 인증을 받게 되므로 이중으로 자격 증명 집합을 유지 관리할 필요가 없습니다.
이러한 외부 사용자가 일단 인증이 되면 AD RMS 정책은 시행되고 AD RMS에서 외부 사용자에게 조직의 보호되는 컨텐츠를 이용할 수 있는 적합한 컨텐츠 라이센스를 자동 제공합니다. 관리자는 외부 사용자가 조직의 컨텐츠를 어떻게 이용하느냐에 대한 세밀한 제어를 할 수 있으며 여러 파트너 관계에 적용할 템플릿을 정의할 수도 있습니다. Windows Server 2008의 Federated Rights Management Services는 기존 Microsoft Office SharePoint Server 2007 배포판과 완벽하게 호환되며 하위 AD RMS 클라이언트를 완벽하게 지원합니다.
공통 관리 주제: AD RMS는 보다 친숙한 관리 프레임워크로 전환합니다. 이전의 AD RMS 웹 기반 관리 인터페이스가 MMC snap0in으로 바뀌었습니다. 뿐만 아니라 요구필요하고 권장되며 선택적으로 할 수 있는 구성 작업에 대한 빠른 링크가 제공되는 작업중심 인터페이스를 통해 AD RMS를 보다 규격화하여 관리할 수 있습니다. 관리자는 4개의 새로운 보안 그룹을 사용하여 AD RMS 관리 작업을 특정 사용자 혹은 그룹으로 위임할 수 있습니다.
Windows BitLocker™ Drive Encryption: Windows BitLocker Drive Encryption은 클라이언트 컴퓨터용 Windows Vista Enterprise 및 Windows Vista Ultimate와 모든 Windows Server 2008 에디션에서 제공되는 데이터 보호 기능입니다. Windows BitLocker Drive Encryption은 분실되거나 도난당하거나 부적절하게 역할이 해제된 PC 하드웨어에 실제로 존재하는 데이터 도난 또는 노출을 해소해주는 Microsoft에서 새롭게 선보이는 기능입니다.
Windows BitLocker Drive Encryption는 다른 운영체제를 부팅하거나 소프트웨어 해킹 툴을 실행하는 절도범이 Windows Server 2008 파일 및 시스템 보호 기능을 무력화하거나 보호되는 드라이브에 저장된 파일을 오프라인으로 보지 못하도록 방지합니다. 이 기능은 이상적으로 Trusted Platform Module (TPM) 1.2를 사용하여 데이터를 보호하고 Windows Server 2008을 실행하는 컴퓨터가 오프라인 상태에 있는 동안 조작되지 않도록 해줍니다. Windows BitLocker Drive Encryption은 전체 드라이브 암호화와 초기 부팅 구성 요소의 무결성 검사라는 두 가지 주요 하위 기능을 모두 제공함으로써 데이터 보호를 강화합니다
출처:http://www.microsoft.com/korea/windowsserver2008//ida-mw.mspx