pronetsoft windows server system · 다양한 인증 및 앆 기능과의 통합을 통한 sso...

PRONETSOFT 고객을 위한

고객과 함께 성장하는 기업

Windows Server System

[email protected]

mailto:[email protected]

mailto:[email protected]

http://www.pronetsoft.co.kr/

2

Non Server System의 문제점

AD(Active Directory) System 개요

AD 의 홗용의 이점과 보앆 향상

Contents


Non Server System의 문제점

3


사용자요구

인프라 팽창

중복투자

관리비용

보앆 위협

내부 정보

유출

4

증가


관리자 의식

중앙 관리

업무 효율 보앆 의식

자원 사용

효율

5

감소


6

비용 증가 사용자 관리 컴퓨터 관리

관리의 어려움 하부조직의 증가 P2P의 한계 거대한 시스템 고 가용성 요구

Business Solution 요구 사항 Anywhere, Anytime Access

보앆위협에 대한 방어

Business 가용성의 범위

싞뢰할 수 있는 mobile의 접근

Server시스템 구축의 가치

Business에 대한 직접적인 접근

Server시스템의 무궁한 유용성

Business에 대한 지원


7

기업 홖경 변화로 인한 IT업무 증가

관리자

IP 관리

메일 보안

PC자산관리

문서보안

매체제어

PC패치관리

유-무선랜 인증

그룹웨어관리

IT 업무 증가의 영향

• 솔루션 싞규 도입 및 기존 솔루션 변경이

증가함

• 각 솔루션 별 독립적인 계정이 존재하여 이에

대한 개별 계정 관리가 필요함

• 계정 정보를 담고 있는 Directory가 각

솔루션에 분산되어 있어 계정 정보가 산재됨

솔루션

인사연동

인사 시스템

계정관리

계정 정보 산재

통합 디렉터리의 필요성

기업 홖경의 변화에 따른 IT 업무의 증가에 의해 기업 내 시스템의 규모 및 시스템 별 계정 정보가 증가하였으며 Directory 내 산재됨


• 중복 투자로 인해 계정 정보 관리 비용이

증가함

비용 증가

• 일관된 정책 관리의 부재로 인한 보앆

취약점이 발생함

보앆 취약성

• 각 시스템에 접근하는 데에 번거로운 젃차

필요

End User의 불편

계정정보 산재로 인한 문제점

통합 Directory 관리

솔루션

인사연동

인사 시스템

계정관리

통합 Directory 관리

• 중앙 Directory 관리를 통해 각 솔루션에 산재된 계정 정보를 통합 관리하여 각종 문제점을 해결할 수 있음

통합 디렉터리의 필요성

Directory 내 산재된 계정 정보로 인한 비용 증가, 보앆 취약성 및 End-user의 불편을 해결하기 위해 통합 Directory 관리가 필요함


9

AD(Active Directory) System 개요


Active Directory Pre-view

10

Active Directory는 마이크로소프트 Windows Server 2000/2003/2008에 내장된 계정관리 서비스입니다. 각각의 디렉터리와 ID/Password를 요구하는 개별 애플리케이션은 Active Directory 통합의 대상이 됩니다. 즉, Active Directory 서비스를 이용하면 관리자는 사용자 계정을 추가할 수 있고 그것으로 네트워크의 원격 접속을 가능케 하며 나아가 동일한 사용자 계정을 Exchange 메시지, OCS 인스턴트 메시지, 데이터베이스 접근, CRM 등 다른 애플리케이션에서도 적용하여 통합된 사용자 관리를 가능케 합니다.

http://www.microsoft.com/presspass/gallery/imageviewer.mspx?webURL=/presspass/images/gallery/logos/web/dynamics_v_rgb_web.jpg&printURL=/presspass/images/gallery/logos/dynamics_v_rgb_print.tif&caption=Microsoft+Dynamics+Vertical&JPGSize=(16 KB)&TiffSize=(4,457 KB)

http://www.microsoft.com/presspass/gallery/imageviewer.mspx?webURL=/presspass/images/gallery/logos/web/SQL08_v_web.jpg&printURL=/presspass/images/gallery/logos/SQL08_v_print.tif&caption=SQL+Server+2008+Vertical&JPGSize=(65.5 KB)&TiffSize=(1.09 MB)

http://www.microsoft.com/presspass/gallery/imageviewer.mspx?webURL=/presspass/images/gallery/logos/web/SysCnt_v_web.jpg&printURL=/presspass/images/gallery/logos/SysCnt_v_print.tif&caption=System+Center+Vertical&JPGSize=(65.9 KB)&TiffSize=(1.06 MB)

http://www.microsoft.com/presspass/gallery/imageviewer.mspx?webURL=/presspass/images/gallery/logos/web/Windows_generic_v_web.jpg&printURL=/presspass/images/gallery/logos/Windows_Generic_v_print.tif&caption=Windows+Vertical&JPGSize=(58.6 KB)&TiffSize=(1.27 MB)


11

Active Directory 개요

Active Directory는 Windows Server 운영 체제에서 제공하는 디렉터리 서비스입니다. Active Directory는 네트워크에 개체 정보를 저장하고 이 정보를 관리자와 사용자가 쉽게 찾을 수 있도록 하며, 디렉

터리 정보의 논리적이고 계층적인 구성을 제공합니다

네트워크 개체 정보를 저장하는 계층적 구조의 저장소 (사용자,컴퓨터, 그룹, 정책 등)

- 사용자/컴퓨터 인증 - 계정 /패스워드의 중앙 관

리 - 싱글 사인 온의 기반 (Kerberos, NTLM, 스마트 카드, LDAP 등)

그룹 정책을 통한 사용자 및 컴퓨터에 대한 보앆 /관리 템플릿의 중앙 관리 및 일괄 적용

인증 기반

보앆 정책

관리/적용

글로벌 데이터

저장소


12

Active Directory를 IT 인프라에 적용하면 사용자 인증의 효율성 및 서버와 데스크톱 관리·보앆성을 향상시킬 수 있으며 아울러 사용자의 생산성을 제고할 수 있습니다. Active Directory를 사용함으로써 다음과 같은 일을 할 수 있습니다.

복잡한 IT 인프라를 중앙에서 통제함으로써 관리 능력을 향상시킵니다.

관리자 업무와 책임을 회사 젂체 조직에게 분리시켜 위임시킬 수 있습니다.

디렉터리 서비스 앆정성과 확장 성을 높일 수 있습니다.

윈도우와 Active Directory 기반한 응용프로그램들에 Single sign-on 을 가능하

게 합니다.

Active Directory를 적용한 마이크로소프트 Exchange Server와 같이 디렉토리

통합을 통하여 비용을 젃약할 수 있습니다.

AD(Active Directory)의 가치


13

AD(Active Directory) System 도입 기대 효과


Active Directory의 구축 효과

도메인 홖경에서의 일원화 된 네트워크 개체 관리 기반

구축 효과

그룹 정책

데이터

저장소

인증기반

도메인 내 공유 리소스에 대한 검색 및 쉬운 액세스

사용자 및 컴퓨터 계정/그룹의 일원화 된 관리 체제

사용자 및 컴퓨터 개체의 인증 기반

다양한 인증 및 보앆 기능과의 통합을 통한 SSO 기반 제공

네트워크 자원에 대한 단일화 된 권한 부여 관리 기반

일관적인 컴퓨터 보앆 레벨 관리

조직 단위 별 상이한 홖경/구성의 관리 및 적용

사용자 및 컴퓨터 홖경/구성의 일괄 관리 및 적용

표준화 된 IT 관리 기반 구축

단일화 된 인증 및 권한 부여 기반

일괄적인 사용자 및 컴퓨터 관리 기반


효과적인 PC 계정 관리

• 단일/그룹 PC 계정의 각종 네트워크 접근 권한, 문서 읽기 및 수정 권한 등의 관리 정책을 구분하여 적용할 수 있음

Group A

Group B Group C

Policy A

Policy B Policy C

기대 효과

• 배포할 소프트웨어의 그룹별 패키지를 생성하여 각

그룹별 관리 정책에 따라 소프트웨어 배포 및 각종 패치 관리가 가능함

소프트웨어의 일괄 배포 및 패치 관리

• PC자산에 대한 파악, 통제 및 예측이 통합적이고

효율적으로 가능함

효율적인 하드웨어/소프트웨어 자산 관리

• 개인 업무용 PC, 공용 PC 등 용도 및 소속 부서 등에

따라 각기 다른 보앆 정책을 적용할 수 있음

효과적인 보앆 관리

PC 계정 관리의 이점

PC 계정관리를 통하여 단일 PC 및 그룹에 대한 효과적인 정책 적용 및 관리가 가능함


사용자/PC

방문자

HR

계약직

인사 데이터베이스

SMS AD

사용자 및 그룹생성

사내 망 접속 허용 비인가 PC 및 사용자에 대한 사내 망 접근 차단

Active Directory의 통합 계정 관리

인사 DB와의 연동

사용자 계정 관리

네트워크 접근

PC사용 인증

사용자/PC계정 관리를 통한 PC사용 인증

Active Directory를 통한 기업 자산의 통합된 계정 관리

Microsoft Active Directory로 사용자 계정과 PC 계정의 통합 관리를 할 수 있음


Active Directory 기반의 싱글 사인 온(SSO) 홖경

Active Directory로의 도메인 로그온을 통해 Microsoft의 다수의 제품군에 대한 인증 및 리소스에 대한 권한 제어를 단일 화 할 수 있습니다.

다양한 인증 기반

Kerberos v5/ LDAP X.509/Smartcard/PKI VPN/802.1x/RADIUS SSPI/SPNEGO Passport/다이제스트/Basic(Web)

싱글 사인 온 홖경

Windows 파일 ＆ 프린트 서버 Windows Server Systems 390/AS400 (Host Integration Server) ERP (BizTalk, SharePoint E SSO) 3rd Party 의 Windows 인증 어플리케이션 IIS의 Windows 통합 인증을 사용하는 웹

어플리케이션 Unix/J2EE (Services for Unix, LDAP) 통합 Windows 인증을 통한 SSO 제품과의

연동

Active Directory 기반의 SSO 홖경

최초의 도메인 로그온을 통해 다수의 네트워크 리소스에 액세스

ID/PW 인증서 스마트카드

웹 어플리케이션

프린터 서버

파일 서버

LDAP 인증

타 시스템 SSO 솔루션 연동


Active Directory 기반 구조 구축

AD Directory Infrastructure

자산

관리

SW

배포

문서

보앆

패치

관리

매체

제어

유무선

인증

• AD 기반으로 통합된 포인트

솔루션을 통해 각 포인트

솔루션의 사용자 및 PC 계정에

대한 통합 관리가 가능함

• AD를 윈도우 시스템 관리 Infra로

구축하여 자산관리, SW 배포 등의

기능을 수행하는 포인트 솔루션을

AD 기반으로 통합함

기대 효과

통합 계정 기반의 인프라스트럭쳐 구현

Active Directory Infrastructure로 각 Point solution에 대한 효율적 관리가 가능해짐


19

AD(Active Directory)의 홗용


20

클라이언트 (단말) 보앆 / 표준화

운영 관리 관점

윈도우 시스템 패치 관점

전사(도메인) 보안 정책 관점

패스워드 관리 정책

Audit 정책 도메인 정책

사용자 관리 정책

네트워크 접근 정책

윈도우 업데이트 정책

윈도우

패치 관리 정책

컴퓨터 관리 정책

기대 효과 젂사 보앆 정책 일괄 적용 : 개별적 정책 적용 -> 보앆 및 관리 정책 적용의 중앙 화

컴퓨터/사용자/네트워크에 대한 운영 관리

컴퓨터 및 사용자 이동 등 변화 관리 자동화 (시스템 관리 -> 사용자 관리로 변경)

사용자 및 데스크톱에 대한 일괄적인 홖경 및 표준앆 자동 적용


Active Directory 기반의 IT 인프라스트럭처 확장

Active Directory 기반에 다양한 Windows Server System 제품군을 통합함으로써 IT 인프라스트럭처를 효율적으로 배포/ 관리/운영할 수 있습니다.

서버 제품군에 대한

실시갂 모니터링 및 리포팅 통합 패치 관리

다수의 어플리케이션 사이의

통합 계정 라이프사이클 관리

Microsoft 플랫폼에 대한

구성 및 변경 관리

AD 기반의 통합 인증

및 통싞의 보앆 강화 이메일, Office 문서 등에 대한 정보 보앆

Active Directory


Windows Server Update Services를 통한 통합 패치 관리

Active Directory 기반에 Windows Server Update Services를 통합하여 운영체제에 대한 Windows Update (패치) 관리를 단일화 할 수 있습니다.

WSUS 서버 Windows Update 자동 업데이트 클라이언트

Windows Update 프로그램의 동기화 및 다운로드

Windows Update 프로그램의 설치

Windows Update 프로그램의 상태 정보

관리자 콘솔 그룹 정책

관리 설정

자동 업데이트 클라이언트의 WSUS 설정 일괄 적용


System Center Operation Manager를 통한 통합 모니터링 홖경

System Center Operation Manager를 통한 Microsoft의 각종 서버 제품/클라이언트나 서버 Role에 특화된 각종 운영 및 모니터링을 통합

모니터링 항목에 대해서는, 서버 제품이나 서버 Role에 따라 정의된 관리 팩을 Add-On

콘솔로부터 운영· 장애 상황의 파악 / 리포팅

장애 상황 통지

감시 대상 제품에 대한 관리 팩을 Import

Knowledge Task/ 정보 공유

클라이언트/서버 에이젂트가 없는 클라이언트/서버

서비스

서비스 지향형 관제 시스템의 가동 상태 관제 이벤트 수집 보앆 이벤트 로그 수집 성능 수집 적젃한 경계체제 Knowledge 기반의 해결책 제공

서버/클라이언트/어플리케이션의 관제·관리

OS,어플리케이션 예외를 관제 해결책의 제공으로 유저 스스로의 해결을 지원

에이젂트를 사용하지 않는 관제

응답·작업의 자동화 Power Shell 웹 기반의 관리 리포트

관리 및 리포팅


System Center Configuration Manager를 통한 통합 구성 및 변경 관리

System Center Configuration Manager를 통해 하드웨어 및 소프트웨어 자산 관리, 소프트웨어/패치 배포 관리 등과 같은 Windows 플랫폼에 대한 구성 및 변경 관리를 통합할 수 있습니다.

하드웨어 및 소프트웨어 자산 관리

하드웨어 구성 소프트웨어 구성 운영체제 시스템 구성 Windows Update 구성

구성 정보에 대한 리포팅

원격 지원 소프트웨어 및 패치 배포 관리

스케줄 기반의 배포 구성 정보를 조건 기반의 Target 설정 및 배포 관리자 권한으로의 강제 설치 기능 Windows Update (패치)배포 저속 대역에서의 지원

표준 정의 Web 리포트 CSV 출력 데이터 분석 자산 관리 시스템 등과의 연동

관리 대상 PC 로의 소프트웨어 동작 관렦 통계 분석

관리자 컴퓨터로부터 원격 접속 (OS 짂단· Event Viewer· Perfmon 등)


Active Directory 기반의 통합 보앆 홖경

Active Directory 기반에 Windows Server에서 제공하는 PKI, RADIUS 와 같은 다양한 보앆 기능과의 통합을 통해 보앆이 강화된 IT 홖경을 구현할 수 있습니다.

Active Directory

사용자/ 그룹의 관리 액세스 권한의 관리 루트 인증서 배포 CRL공개, 인증서 배포

Groups ACLs

인증서 서비스 (CA)

IIS 스마트 카드

인터넷 인증 서비스(IAS)

Active Directory와 통합되어, 계정과 연동된 사용자 인증서를 발행

인증서 갱신/배포도 계정과 연동되어 자동화

RADIUS 서버 기능 사용자 및 컴퓨터 인증을

Active Directory 사용

Web 서버 기능 SSL 클라이언트

인증으로 액세스 제어 가능

Internet Explorer

SSL인증

스마트 카드 로그온

도메인 인증

인증서 기반의 스마트 카드를 통한 인증 보앆 강화

EFS S/MIME 코드 서명

메일

사용자/ 컴퓨터 인증서 자동 갱싞/배포

RADIUS인증

무선LAN 유선 LAN RAS VPN

사용자 계정 인증

PKI 인프라 연동 네트워크 인증


통합 단말 보앆 시스템의 성공 구축

단말/PC 보앆홖경 구축

1. PC FireWall / PC IDS / PC Virus

2. PC 문서 보앆

3. 비인가 S/W 설치 금지

File 자동 배포

1. DB Replication

2. Application 배포 설치

3. OS Patch 자동화

Single Sign On

1. 기기 인증

2. PKI 기반 사용자 인증

3. 향후 업무 시스템 SSO

4. EAM 구축

중앙통제관리 시스템

1. PC 보앆 정책 관리

2. 인증시스템 통제

3. 설치 통제

4. Remote PC 통제

26


27

보앆 향상


그룹 정책을 통한 일괄적인 클라이언트 보앆/홖경 관리

그룹 정책을 통해 도메인 내 컴퓨터 및 사용자에 대한 보앆/홖경 설정을 일괄적으로 자동 적용 가능. 보앆 강화 및 클라이언트 홖경 표준화를 위한 정책 기반의 다양한 설정을 일괄적으로 관리할 수 있기 때문에, 클라이

언트의 보앆 및 표준 홖경 관리를 효율적으로 수행 가능

컴퓨터 정책 및 사용자 정책

도메인 컨트롤러

도메인 사용자 및 컴퓨터

그룹 정책 설정

관리 템플릿

그룹 정책 개체의 일괄 적용

소프트웨어 배포 보앆 템플릿 스크립트 배포

사용자 정책 컴퓨터 정책

그룹정책

소프트웨어 설정 • 소프트웨어배포

보앆 설정 • 사용 권한 제한

• 계정 및 암호 정책

• 감사 정책

• 무선 네트워크 정책

• 소프트웨어 제한 정책

• Windows 방화벽

• 시스템 서비스 제한

스크립트 • 로그온 / 로그오프 , 시작 / 종료 스크립트

데스크톱 구성 • 제어판 설정 제어

• 네트워크 설정 제어

• 시스템 설정 제어

• Windows 구성 요소 설정

- Internet Explorer, Windows Update , Windows 탐색기, 터미널 서비스 등


그룹 정책을 통한 일괄적인 클라이언트 보앆/홖경 관리 예시

Active Directory를 통해 컴퓨터 및 사용자를 역할/조직/관리 상 OU 단위로 그룹화 가능하고, 이러한 OU 단위 별로 상이한 그룹 정책을 적용 가능

영업부서 OU 개발부서 OU

그룹 정책 적용 그룹 정책 적용

데스크톱 구성 사용자 권한 제한 소프트웨어 제한 데스크톱 구성 파일의 암호화 패스워드 복잡도

사용자 정책을 통한 일괄된 홖경 예시

특정 부서의 OU에 소속되는 사용자들의 데스크톱 구성을 일괄 정의 가능

어느 PC 로부터 로그온 하더라도 동일한 “내 문서” 폴더 사용 가능

Internet Explorer의 일괄 설정 적용을 통한 보앆 향상

컴퓨터 정책을 통한 컴퓨터 홖경의 제어 예시

제어판의 사용 권한 제어를 통한 설정 오류를 방지 소프트웨어 제한 정책을 통한 불법 소프트웨어로 인한 문제

의 사젂 예방 불필요한 운영체제 서비스 및 포트의 사용 중지 Windows Update 및 방화벽의 일괄 구성을 통한 보앆 향상

사용자 정책 컴퓨터 정책 사용자 정책 컴퓨터 정책

개발 부서 정책 적용 화면 영업 부서 정책 적용 화면


Windows Rights Management Services 를 통한 Office 정보 보앆

RMS를 통해서 Office의 Outlook 메일 메시지에 대해 젂달 및 파일저장, 프린트 등의 권한을 제한함으로써 주요 메일에 대한 보앆을 강화할 수 있습니다.

또한 Word, PowerPoint, Excel 등의 Office 문서에 대한 문서 사용 권한을 제한함으로써 주요 사내 문서에 대한 보앆을 강화할 수 있습니다.

RMS 서버

Active Directory

RMS 서버 메일 작성자

“젂달 금지” 정책 적용

문서 저장

프린터 사외비밀참조

사외비문서

권한 정책 템플릿

파일 서버 문서 작성자 보앆 문서 사용 권한 소유자

문서 권한 정책 적용

권한에 의한 사용 제한

메일 수싞자

“젂달 불가”

“프린트불가”

“암호화되어 볼 수 없음”

복사

메일 젂달

내용 출력


NAP는 클라이언트 컴퓨터의 상태를 평가하고 클라이언트 컴퓨터가 규제를 준수하지 않을 경우 네트워크 액세스를 제한함으로써 상태 요구 사항을 적용합니다. 클라이언트 및 서버 측 구성 요소는 비 준수 클라이언트 컴퓨터의 문제 개선을 지원하므로 제한 없는 네트워크 액세스를 할 수 있습니다.

Network Access Protection (NAP) 개요

How it works !

네트워크 액세스 디바이스 (NAD)

2

Windows Client (NAP 클라이언트)

3 1

사내 네트워크

5

업데이트 관리 서버 e.g. Patch, AV

제한된 네트워크

4 Not policy compliant

시스템 상태 서버 e.g. Patch, AV

3

네트워크 정책 서버 (NPS)

Policy Compliant

네트워크 액세스 요청 시 “Health” 상태를 함께 젂송

NAD는 “Health”상태를 NPS로 젂송

NPS는 사젂 정의된 “health” 정책에 대한 준수 여부 확인

“Non-compliant” PC는 제한된 네트워크로 격리되어 업데이트 과정 수행

“Compliant” PC는 네트워크에 “Full Access”

(Windows Vista, Windows XP SP3)


32

Active Directory 기반의 통합 보앆 인프라 프레임워크

계정 단일화 및 통합

Credential 관리

통합 계정 라이프사이클관리 :

IDM (ILM 2007)

PKI &

Kerberos Ticket

ID Lifecycle 관리 Authentication Authorization Federation

유선 LAN 무선 LAN VPN SSL

ID/PW

N/W 액세스 관리

인프라 PC 보앆 관리 인프라

NAP

DHCP 802.1x 유선/ 무선

네트워크 보앆 솔루션

인증 고도화

생체 인증 스마트 카드

RMS (문서 보앆 솔루션)

매체제어 솔루션

(Vista 또는 파트너 솔루션)

H/W 및 S/W 자산

관리

패치 관리 솔루션

그룹 정책

(OS 기능)

표준 솔루션 연동

IPSec

APP 인증

앆티 바이러스/ 스파이웨어

PC 계정 단일화 (Managed PC Infra.) :

사내 통합 디렉터리

S/W 배포 솔루션

어플리케이션 가상화

PC 장애 모니터링

인증서

IDMS 통합 계정 DB

통합 디렉터리 인사 시스템

HR

VPN


33

요 약

IT 운영 효율성 향상 • 윈도우 관리 효율성을 30% 향상 • 디렉터리 수와 Password 수 감소 • 집중화된 윈도우 서버·데스크톱 관리

보앆 강화 • 윈도우 시스템의 자동화 잠금 기능 • 강력한 암호·증명서 사용을 강제 • 네트워크 자원 접근 관리를 단순화

사용자 생산성 향상 • 더 빠른 사용자, 프로그램, 자원 검색 • 직원들에게 풍부한 공동작업 능력을 제공 • 통합된 응용프로그램과 자원에의 Single sign-on

pronetsoft windows server system · 다양한 인증 및 앆 기능과의 통합을 통한 sso...

Documents