PRONETSOFT 고객을위한고객과함께성장하는기업 Windows Server System camellia@pronetsoft.co.kr
Contents http://www.pronetsoft.co.kr/ Non Server System 의문제점 AD(Active Directory) System 개요 AD 의홗용의이점과보앆향상 2
Non Server System 의문제점 3
사용자요구 내부정보 유출 인프라팽창 증가 보앆위협 중복투자 관리비용 4
관리자의식 자원사용 효율 감소 중앙관리 보앆의식 업무효율 5
비용증가 사용자관리 컴퓨터관리 관리의어려움 하부조직의증가 P2P 의한계 거대한시스템 고가용성요구 Business Solution 요구사항 Anywhere, Anytime Access 보앆위협에대한방어 Business 가용성의범위싞뢰할수있는 mobile의접근 Server 시스템구축의가치 Business에대한직접적인접근 Server시스템의무궁한유용성 Business에대한지원 6
통합디렉터리의필요성 http://www.pronetsoft.co.kr/ 기업홖경의변화에따른 IT 업무의증가에의해기업내시스템의규모및시스템별계정정보가증가하였으며 Directory 내산재됨 기업홖경변화로인한 IT 업무증가 IT 업무증가의영향 IP 관리 인사시스템 그룹웨어관리 메일보안 인사연동 솔루션 계정정보산재 계정관리 유 - 무선랜인증 관리자 PC 자산관리 PC 패치관리 매체제어 문서보안 솔루션싞규도입및기존솔루션변경이증가함 각솔루션별독립적인계정이존재하여이에대한개별계정관리가필요함 계정정보를담고있는 Directory 가각솔루션에분산되어있어계정정보가산재됨 7
통합디렉터리의필요성 http://www.pronetsoft.co.kr/ Directory 내산재된계정정보로인한비용증가, 보앆취약성및 End-user 의불편을해결하기위해통합 Directory 관리가필요함 계정정보산재로인한문제점 통합 Directory 관리 비용증가 인사시스템 중복투자로인해계정정보관리비용이증가함 보앆취약성 인사연동 통합 Directory 관리 계정관리 솔루션 일관된정책관리의부재로인한보앆취약점이발생함 End User 의불편 각시스템에접근하는데에번거로운젃차필요 중앙 Directory 관리를통해각솔루션에산재된계정정보를통합관리하여각종문제점을해결할수있음
AD(Active Directory) System 개요 9
Active Directory Pre-view http://www.pronetsoft.co.kr/ Active Directory 는마이크로소프트 Windows Server 2000/2003/2008 에내장된계정관리서비스입니다. 각각의디렉터리와 ID/Password 를요구하는개별애플리케이션은 Active Directory 통합의대상이됩니다. 즉, Active Directory 서비스를이용하면관리자는사용자계정을추가할수있고그것으로네트워크의원격접속을가능케하며나아가동일한사용자계정을 Exchange 메시지, OCS 인스턴트메시지, 데이터베이스접근, CRM 등다른애플리케이션에서도적용하여통합된사용자관리를가능케합니다. 10
Active Directory 개요 http://www.pronetsoft.co.kr/ Active Directory 는 Windows Server 운영체제에서제공하는디렉터리서비스입니다. Active Directory 는네트워크에개체정보를저장하고이정보를관리자와사용자가쉽게찾을수있도록하며, 디렉터리정보의논리적이고계층적인구성을제공합니다 글로벌데이터 저장소 네트워크개체정보를저장하는계층적구조의저장소 ( 사용자, 컴퓨터, 그룹, 정책등 ) - 사용자 / 컴퓨터인증 - 계정 / 패스워드의중앙관리 - 싱글사인온의기반 (Kerberos, NTLM, 스마트카드, LDAP 등 ) 인증기반 보앆정책 관리 / 적용 그룹정책을통한사용자및컴퓨터에대한보앆 / 관리템플릿의중앙관리및일괄적용 11
AD(Active Directory) 의가치 http://www.pronetsoft.co.kr/ Active Directory 를 IT 인프라에적용하면사용자인증의효율성및서버와데스크톱관리 보앆성을향상시킬수있으며아울러사용자의생산성을제고할수있습니다. Active Directory 를사용함으로써다음과같은일을할수있습니다. 복잡한 IT 인프라를중앙에서통제함으로써관리능력을향상시킵니다. 관리자업무와책임을회사젂체조직에게분리시켜위임시킬수있습니다. 디렉터리서비스앆정성과확장성을높일수있습니다. 윈도우와 Active Directory 기반한응용프로그램들에 Single sign-on 을가능하 게합니다. Active Directory 를적용한마이크로소프트 Exchange Server 와같이디렉토리 통합을통하여비용을젃약할수있습니다. 12
AD(Active Directory) System 도입기대효과 13
Active Directory 의구축효과 데이터 저장소 표준화된 IT 관리기반구축 도메인홖경에서의일원화된네트워크개체관리기반 사용자및컴퓨터계정 / 그룹의일원화된관리체제 도메인내공유리소스에대한검색및쉬운액세스 사용자및컴퓨터개체의인증기반 구축효과 인증기반 단일화된인증및권한부여기반 네트워크자원에대한단일화된권한부여관리기반 다양한인증및보앆기능과의통합을통한 SSO 기반제공 일관적인컴퓨터보앆레벨관리 그룹정책 일괄적인사용자및컴퓨터관리기반 사용자및컴퓨터홖경 / 구성의일괄관리및적용 조직단위별상이한홖경 / 구성의관리및적용
PC 계정관리의이점 http://www.pronetsoft.co.kr/ PC 계정관리를통하여단일 PC 및그룹에대한효과적인정책적용및관리가가능함 효과적인 PC 계정관리 기대효과 Group A 소프트웨어의일괄배포및패치관리 Policy A 배포할소프트웨어의그룹별패키지를생성하여각그룹별관리정책에따라소프트웨어배포및각종패치관리가가능함 Group B Policy B Group C Policy C 효율적인하드웨어 / 소프트웨어자산관리 PC 자산에대한파악, 통제및예측이통합적이고효율적으로가능함 단일 / 그룹 PC 계정의각종네트워크접근권한, 문서읽기및수정권한등의관리정책을구분하여적용할수있음 효과적인보앆관리 개인업무용 PC, 공용 PC 등용도및소속부서등에따라각기다른보앆정책을적용할수있음
Active Directory 를통한기업자산의통합된계정관리 http://www.pronetsoft.co.kr/ Microsoft Active Directory 로사용자계정과 PC 계정의통합관리를할수있음 Active Directory 의통합계정관리 인사 DB 와의연동 사용자 /PC 방문자 HR AD SMS 계약직 인사데이터베이스 사용자계정관리 사용자및그룹생성 사용자 /PC 계정관리를통한 PC 사용인증 PC 사용인증 네트워크접근 사내망접속허용 비인가 PC 및사용자에대한사내망접근차단
Active Directory 기반의싱글사인온 (SSO) 홖경 Active Directory 로의도메인로그온을통해 Microsoft 의다수의제품군에대한인증및리소스에대한권한제어를단일화할수있습니다. Active Directory 기반의 SSO 홖경 다양한인증기반 프린터서버 Kerberos v5/ LDAP X.509/Smartcard/PKI VPN/802.1x/RADIUS SSPI/SPNEGO Passport/ 다이제스트 /Basic(Web) 웹어플리케이션 파일서버 싱글사인온홖경 타시스템 LDAP 인증 ID/PW 인증서스마트카드 최초의도메인로그온을통해다수의네트워크리소스에액세스 SSO 솔루션연동 Windows 파일 & 프린트서버 Windows Server Systems 390/AS400 (Host Integration Server) ERP (BizTalk, SharePoint E SSO) 3 rd Party 의 Windows 인증어플리케이션 IIS 의 Windows 통합인증을사용하는웹어플리케이션 Unix/J2EE (Services for Unix, LDAP) 통합 Windows 인증을통한 SSO 제품과의연동
통합계정기반의인프라스트럭쳐구현 http://www.pronetsoft.co.kr/ Active Directory Infrastructure 로각 Point solution 에대한효율적관리가가능해짐 Active Directory 기반구조구축 기대효과 AD 기반으로통합된포인트솔루션을통해각포인트솔루션의사용자및 PC 계정에대한통합관리가가능함 자산 관리 SW 배포 문서 보앆 패치 관리 매체 제어 유무선 인증 AD 를윈도우시스템관리 Infra 로구축하여자산관리, SW 배포등의기능을수행하는포인트솔루션을 AD 기반으로통합함 AD Directory Infrastructure
AD(Active Directory) 의홗용 19
클라이언트 ( 단말 ) 보앆 / 표준화 http://www.pronetsoft.co.kr/ 기대효과 젂사보앆정책일괄적용 : 개별적정책적용 -> 보앆및관리정책적용의중앙화 컴퓨터 / 사용자 / 네트워크에대한운영관리 컴퓨터및사용자이동등변화관리자동화 ( 시스템관리 -> 사용자관리로변경 ) 사용자및데스크톱에대한일괄적인홖경및표준앆자동적용 전사 ( 도메인 ) 보안정책관점 윈도우시스템패치관점 윈도우패치관리정책 윈도우업데이트정책 도메인정책 Audit 정책패스워드관리정책 네트워크접근정책 컴퓨터관리정책 사용자관리정책 20 운영관리관점
Active Directory 기반의 IT 인프라스트럭처확장 http://www.pronetsoft.co.kr/ Active Directory 기반에다양한 Windows Server System 제품군을통합함으로써 IT 인프라스트럭처를효율적으로배포 / 관리 / 운영할수있습니다. 다수의어플리케이션사이의 통합계정라이프사이클관리 Microsoft 플랫폼에대한 구성및변경관리 통합패치관리 서버제품군에대한 실시갂모니터링및리포팅 Active Directory 이메일, Office 문서등에대한정보보앆 AD 기반의통합인증 및통싞의보앆강화
Windows Server Update Services 를통한통합패치관리 Active Directory 기반에 Windows Server Update Services 를통합하여운영체제에대한 Windows Update ( 패치 ) 관리를단일화할수있습니다. Windows Update WSUS 서버 자동업데이트클라이언트 Windows Update 프로그램의설치 Windows Update 프로그램의동기화및다운로드 Windows Update 프로그램의상태정보 자동업데이트클라이언트의 WSUS 설정일괄적용 관리설정 관리자콘솔 그룹정책
System Center Operation Manager 를통한통합모니터링홖경 System Center Operation Manager 를통한 Microsoft 의각종서버제품 / 클라이언트나서버 Role 에특화된각종운영및모니터링을통합 모니터링항목에대해서는, 서버제품이나서버 Role 에따라정의된관리팩을 Add-On 감시대상제품에대한관리팩을 Import 관리및리포팅 응답 작업의자동화 Power Shell 웹기반의관리리포트 서버 / 클라이언트 / 어플리케이션의관제 관리 서비스지향형관제 시스템의가동상태관제 이벤트수집 보앆이벤트로그수집 성능수집 적젃한경계체제 Knowledge 기반의해결책제공 장애상황통지 콘솔로부터운영 장애상황의파악 / 리포팅 Knowledge Task/ 정보공유 에이젂트를사용하지않는관제 서비스 클라이언트 / 서버 에이젂트가없는클라이언트 / 서버 OS, 어플리케이션예외를관제 해결책의제공으로유저스스로의해결을지원
System Center Configuration Manager 를통한통합구성및변경관리 System Center Configuration Manager 를통해하드웨어및소프트웨어자산관리, 소프트웨어 / 패치배포관리등과같은 Windows 플랫폼에대한구성및변경관리를통합할수있습니다. 하드웨어및소프트웨어자산관리 하드웨어구성 소프트웨어구성 운영체제시스템구성 Windows Update 구성 구성정보에대한리포팅 표준정의 Web 리포트 CSV 출력 데이터분석 자산관리시스템등과의연동 소프트웨어및패치배포관리 원격지원 스케줄기반의배포 구성정보를조건기반의 Target 설정및배포 관리자권한으로의강제설치기능 Windows Update ( 패치 ) 배포 저속대역에서의지원 관리대상 PC 로의소프트웨어동작관렦통계분석 관리자컴퓨터로부터원격접속 (OS 짂단 Event Viewer Perfmon 등 )
Active Directory 기반의통합보앆홖경 http://www.pronetsoft.co.kr/ Active Directory 기반에 Windows Server 에서제공하는 PKI, RADIUS 와같은다양한보앆기능과의통합을통해보앆이강화된 IT 홖경을구현할수있습니다. 인증서서비스 (CA) Active Directory 인터넷인증서비스 (IAS) Active Directory 와통합되어, 계정과연동된사용자인증서를발행 인증서갱신 / 배포도계정과연동되어자동화 ACLs Groups 사용자 / 그룹의관리 액세스권한의관리 루트인증서배포 CRL 공개, 인증서배포 RADIUS 서버기능 사용자및컴퓨터인증을 Active Directory 사용 사용자 / 컴퓨터인증서자동갱싞 / 배포 IIS 스마트카드 사용자계정인증 RADIUS 인증 메일 S/MIME 코드서명 PKI 인프라연동 EFS Web 서버기능 SSL 클라이언트인증으로액세스제어가능 SSL 인증 인증서기반의스마트카드를통한인증보앆강화 도메인인증 무선 LAN 유선 LAN RAS VPN 네트워크인증 Internet Explorer 스마트카드로그온
통합단말보앆시스템의성공구축 중앙통제관리시스템 File 자동배포 1. DB Replication 2. Application 배포설치 3. OS Patch 자동화단말 /PC 보앆홖경구축 1. PC FireWall / PC IDS / PC Virus 2. PC 문서보앆 3. 비인가 S/W 설치금지 Single Sign On 1. 기기인증 2. PKI 기반사용자인증 3. 향후업무시스템 SSO 4. EAM 구축 1. PC 보앆정책관리 2. 인증시스템통제 3. 설치통제 4. Remote PC 통제 26
보앆향상 27
그룹정책을통한일괄적인클라이언트보앆 / 홖경관리 http://www.pronetsoft.co.kr/ 그룹정책을통해도메인내컴퓨터및사용자에대한보앆 / 홖경설정을일괄적으로자동적용가능. 보앆강화및클라이언트홖경표준화를위한정책기반의다양한설정을일괄적으로관리할수있기때문에, 클라이언트의보앆및표준홖경관리를효율적으로수행가능 도메인컨트롤러 그룹정책 컴퓨터정책및사용자정책 소프트웨어설정 소프트웨어배포 그룹정책설정관리템플릿보앆템플릿소프트웨어배포그룹정책개체의일괄적용 스크립트배포 보앆설정 사용권한제한 계정및암호정책 감사정책 무선네트워크정책 소프트웨어제한정책 Windows 방화벽 시스템서비스제한 스크립트 로그온 / 로그오프, 시작 / 종료스크립트 사용자정책 컴퓨터정책 도메인사용자및컴퓨터 데스크톱구성 제어판설정제어 네트워크설정제어 시스템설정제어 Windows 구성요소설정 - Internet Explorer, Windows Update, Windows 탐색기, 터미널서비스등
그룹정책을통한일괄적인클라이언트보앆 / 홖경관리예시 Active Directory 를통해컴퓨터및사용자를역할 / 조직 / 관리상 OU 단위로그룹화가능하고, 이러한 OU 단위별로상이한그룹정책을적용가능 소프트웨어제한 사용자권한제한 데스크톱구성 패스워드복잡도 파일의암호화 데스크톱구성 그룹정책적용 그룹정책적용 사용자정책컴퓨터정책사용자정책컴퓨터정책 개발부서 OU 개발부서정책적용화면 영업부서 OU 영업부서정책적용화면 사용자정책을통한일괄된홖경예시 특정부서의 OU 에소속되는사용자들의데스크톱구성을일괄정의가능 어느 PC 로부터로그온하더라도동일한 내문서 폴더사용가능 Internet Explorer 의일괄설정적용을통한보앆향상 컴퓨터정책을통한컴퓨터홖경의제어예시 제어판의사용권한제어를통한설정오류를방지 소프트웨어제한정책을통한불법소프트웨어로인한문제의사젂예방 불필요한운영체제서비스및포트의사용중지 Windows Update 및방화벽의일괄구성을통한보앆향상
Windows Rights Management Services 를통한 Office 정보보앆 RMS 를통해서 Office 의 Outlook 메일메시지에대해젂달및파일저장, 프린트등의권한을제한함으로써주요메일에대한보앆을강화할수있습니다. 또한 Word, PowerPoint, Excel 등의 Office 문서에대한문서사용권한을제한함으로써주요사내문서에대한보앆을강화할수있습니다. RMS 서버 젂달금지 정책적용 젂달불가 Active Directory 메일젂달 RMS 서버 메일작성자 메일수싞자 프린트불가 권한정책템플릿 내용출력 사외비밀참조 사외비문서 문서저장 문서권한정책적용 권한에의한사용제한 프린터 암호화되어볼수없음 복사 문서작성자 파일서버 보앆문서사용권한소유자
Network Access Protection (NAP) 개요 NAP 는클라이언트컴퓨터의상태를평가하고클라이언트컴퓨터가규제를준수하지않을경우네트워크액세스를제한함으로써상태요구사항을적용합니다. 클라이언트및서버측구성요소는비준수클라이언트컴퓨터의문제개선을지원하므로제한없는네트워크액세스를할수있습니다. How it works! 시스템상태서버 e.g. Patch, AV 1 네트워크액세스요청시 Health 상태를함께젂송 2 NAD 는 Health 상태를 NPS 로젂송 3 NPS 는사젂정의된 health 정책에대한준수여부확인 3 제한된네트워크 Not policy compliant 4 업데이트관리서버 e.g. Patch, AV Windows Client (NAP 클라이언트 ) 네트워크정책서버 (NPS) Non-compliant PC 는제한된네트워크로격리되어업데이트과정수행 (Windows Vista, Windows XP SP3) 네트워크액세스디바이스 (NAD) Policy Compliant 사내네트워크 Compliant PC 는네트워크에 Full Access 5
Active Directory 기반의통합보앆인프라프레임워크 http://www.pronetsoft.co.kr/ N/W 액세스관리 인프라 PC 보앆관리인프라 네트워크보앆솔루션 표준솔루션연동 NAP RMS ( 문서보앆솔루션 ) 매체제어솔루션 (Vista 또는파트너솔루션 ) H/W 및 S/W 자산관리 패치관리솔루션 S/W 배포솔루션 그룹정책 (OS 기능 ) 앆티바이러스 / 스파이웨어 어플리케이션가상화 PC 장애모니터링 802.1x 유선 / 무선 DHCP IPSec VPN Credential 관리 PKI & Kerberos Ticket 인증서 ID/PW 유선 LAN 무선 LAN VPN SSL APP 인증 생체인증 인증고도화 스마트카드 계정단일화및통합 통합계정라이프사이클관리 : IDM (ILM 2007) ID Lifecycle 관리 Authentication Authorization Federation PC 계정단일화 (Managed PC Infra.) : 사내통합디렉터리 IDMS 통합계정 DB 통합디렉터리 HR 인사시스템 32
요약 http://www.pronetsoft.co.kr/ IT 운영효율성향상 윈도우관리효율성을 30% 향상 디렉터리수와 Password 수감소 집중화된윈도우서버 데스크톱관리 보앆강화 윈도우시스템의자동화잠금기능 강력한암호 증명서사용을강제 네트워크자원접근관리를단순화 사용자생산성향상 더빠른사용자, 프로그램, 자원검색 직원들에게풍부한공동작업능력을제공 통합된응용프로그램과자원에의 Single sign-on 33