보안 권한에 대한 진실 혹은 거짓...
기초 보안 포스팅 세번째 시간입니다. :)
이 포스팅을 처음 보시는 분들께서는 아래의 두개의 컨텐츠 보안의 시작.. 기본적인 권한 설정에서부터.., 폴더나 파일에 권한은 누가 줄 수 있을까?를 보시고 읽어보시면 더욱 이해가 빠르실 거라 생각합니다.
마이크로소프트 공인 커리큘럼(MOC)의 교육을 받아보신 분들께서는 보안 권한을 다룰 때 아래의 원칙을 들어보신 적이 있으실 겁니다.
- 권한은 상위 개체에서 하위 개체로 상속된다.
- 거부된 권한은 허가된 권한보다 우선한다.
- 거부된 권한을 제외하곤 권한은 합쳐진다. (읽기+수정 = 수정)
- 사용자가 포함된 보안 그룹에 권한을 줄 경우, 사용자에게도 권한이 할당된다.
자, 먼저 상속된 권한이란 무엇일까요? C:\ZOO\Koalra\Food라는 폴더 구조를 가지고 있을 때, ZOO에 부여한 권한은 Koalra, Food로 기본적으로는 상속됩니다. 상속된 권한의 경우에는 화면에 표시될 때, 음영처리된 체크박스로 표시됩니다.
해당 체크박스를 해제하기 위해서는 상속된 권한에 대한 해제를 먼저하셔야 하며, 이를 해제하실 경우, 명시적으로 권한을 부여할 수 있게 됩니다. 그렇다면 이제 상속된 권한에 대한 오해를 하나 풀어볼까요?
위의 그림을 잘 보시고, User1의 권한을 생각해보세요. 왼쪽 그림의 경우에는 User1 권한이 무엇일까요?
네.. 모든 권한 거부가 맞습니다.
그렇다면 이제, 오른쪽 그림에서 User1의 권한은 무엇일까요? 헷갈리시나요? 조금은 이상하다라고 생각하시나요? 모든 권한 거부는 상속되어져 있고, 모든 권한 허용은 체크되어져 있고, 어떻게 이렇게 했을까라는 의문도 드시나요?
정답은, 모든 권한 허용이 맞습니다.
권한에 대한 원칙에 꼭 염두하셔야 할 사실이 있습니다. 바로 명시적으로 부여한 권한이 상속된 권한보다 우선한다입니다. 이 원칙을 모르시는 경우, 대부분의 폴더를 상속 해제를 하신 후, 설정을 하시게 되고, 많은 상속 해제 폴더나 파일의 배치는 차후에 권한 변경을 난해하게 만드는 잘못된 습관중에 하나입니다.
여담의 질문 하나 더 드려볼까요? 위의 예에서 User3이 접근할 경우 어떻게 될까요? 쉽게 권한이 부여된 그룹이나 사용자는 위의 그림내 4개의 계정 혹은 그룹이라 생각하세요.
정답은, 거부가 됩니다.
또하나 원칙중에 하나가 명시되지 않은 사용자나 그룹이 접근할 경우, 권한은 암시적으로 거부가 됩니다.
Exchange Server를 사용해보신 관리자분께서는 이런 경우를 잘 아실 겁니다. 기본적으로 모든 사용자는 자신의 메일 박스를 제외하곤 접근이 거부됩니다. 액티브 디렉터리 관리 도구에서 해당 사서함의 권한에 가보면, Mailbox Full Access 권한이 관리자조차도 상속된 허용, 상속된 거부가 다 체크되어져 있어서, 결론적으로는 거부가 되게 됩니다. 명시적 허용을 할 경우, 위 그림에 오른쪽에 해당되는 형태로 나오게 되고, 관리자는 접근을 할 수 있게 됩니다.
저런 명시적 형태의 권한 부여는 기본적인 보안 편집에서는 불가능하며, 개체 등록 정보의 보안 고급 버튼으로 들어가시면 설정하실 수 있습니다.
허용이 최상위에서 상속, 거부가 바로 위에서 상속, 직접 부여한 허용.. 결론은 허용이 된다는 것이죠.
내용이 잘 이해가 되시나요? 정확한 보안 권한 설정 원칙에 대한 이해가 잘못된 권한 부여를 막을 수 있습니다.
다음 포스팅에서는 상속에 대한 여러 설정 방안에 대해서 살펴보죠~