어떠한 기본 그룹도 포함하지 않는 ConnectService라는 로컬 계정을 만듭니다.
마지막 업데이트 날짜
2022년 11월 28일
|
다음에도 적용됨 Adobe Connect 10, Adobe Connect 9
Adobe Connect Server 및 관련 데이터베이스, 네트워크 및 클러스터의 보안 방법에 대해 알아봅니다. 서비스 계정을 만들어 Adobe Connect를 보다 안전하게 실행합니다.
네트워크 보안
Adobe Connect는 통신에 몇 가지 사설 TCP/IP 서비스를 사용합니다. 이러한 서비스는 일부 포트와 채널을 개방해 두기 때문에 이를 외부 사용자로부터 보호해야 합니다. Adobe Connect를 사용하려면 중요한 포트를 방화벽으로 보호해야 합니다. 방화벽은 패킷 필터링뿐 아니라 상태 저장 패킷 검사도 지원해야 합니다. 방화벽에서는 명시적으로 허용된 서비스를 제외한 모든 서비스를 기본적으로 거부합니다. 방화벽은 적어도 네트워크 인터페이스가 두 개 이상인 듀얼 홈 방식이어야 합니다. 이러한 아키텍처는 승인되지 않은 사용자가 방화벽 보안을 통과할 수 없도록 차단합니다.
Adobe Connect의 보안을 유지하는 가장 쉬운 방법은 서버에서 80, 1935 및 443 포트를 제외한 모든 포트를 차단하는 것입니다. 외부 하드웨어 방화벽 장비를 사용하면 운영 체제의 결함으로부터 시스템을 보호하는 레이어를 만들 수 있습니다. 하드웨어 기반 방화벽의 레이어를 구성하여 DMZ를 형성할 수 있습니다. IT 부서에서 최신 Microsoft 보안 패치를 사용하여 서버를 지속적으로 업데이트하는 경우 추가 보안이 가능하도록 소프트웨어 기반 방화벽을 구성할 수 있습니다.
인트라넷 액세스
사용자가 인트라넷에서 Adobe Connect에 액세스할 수 있도록 하려면 Adobe Connect Server와 Adobe Connect 데이터베이스를 방화벽으로 분리된 별도의 서브넷에 배치합니다. Adobe Connect가 설치된 내부 네트워크 세그먼트는 개인 IP 주소(10.0.0.0/8, 172.16.0.0/12 또는 192.168.0.0/16)를 사용하여 공격자가 트래픽을 공용 IP로 라우팅하거나 내부 IP로 변환된 네트워크 주소로부터 라우팅하는 것을 더욱 어렵게 만들어야 합니다. 자세한 내용은 RFC 1918을 참조하십시오. 이러한 방법으로 방화벽을 구성하는 경우 모든 Adobe Connect 포트는 물론이고 이를 인바운드 트래픽으로 구성할지 아웃바운드 트래픽으로 구성할지도 고려해야 합니다.
데이터베이스 서버 보안
Adobe Connect와 동일한 서버에서 데이터베이스를 호스팅하는지 여부와 상관없이 데이터베이스의 보안이 유지되는지 확인합니다. 데이터베이스를 호스팅하는 컴퓨터는 물리적으로 안전한 위치에 두어야 합니다. 다음은 추가적인 주의 사항입니다.
데이터베이스는 인트라넷에서도 안전한 영역에 설치해야 합니다.
데이터베이스가 인터넷에 직접 연결되어서는 안 됩니다.
모든 데이터를 정기적으로 백업하고 외부의 안전한 위치에 복사본을 저장해야 합니다.
데이터베이스 서버에 최신 패치를 설치합니다.
신뢰할 수 있는 SQL 연결을 사용합니다.
SQL Server 보안에 대한 자세한 내용은 Microsoft SQL 보안 웹 사이트를 참조하십시오.
서비스 계정 만들기
Adobe Connect에 대한 서비스 계정을 만들면 Adobe Connect를 보다 안전하게 실행할 수 있습니다. Adobe Connect용으로 서비스 계정 하나와 SQL Server Express Edition 서비스 계정 하나를 만드는 것이 좋습니다. 자세한 내용은 Microsoft 문서 "HOWTO: SQL Server 2000에서 SQL 엔터프라이즈 관리자를 사용하지 않고 또는 SQL Server 2008에서 SQL Server 구성 관리자를 사용하지 않고 SQL Server 또는 SQL Server 에이전트 서비스 계정 변경" 및 서비스 및 서비스 계정 보안 계획 가이드를 참조하십시오.
서비스 계정 만들기
-
-
Adobe Connect Service 서비스, Adobe Media Administration Server 서비스 및 AMS(Adobe Media Server) 서비스를 이 새로운 계정에 설정합니다.
-
다음 레지스트리 키에 "모든 권한"을 설정합니다.
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
루트 Adobe Connect 폴더 경로(기본적으로 C:₩Connect)의 NTFS 폴더에 대해 "모든 권한"을 설정합니다.
하위 폴더와 파일에도 같은 권한이 설정되어야 합니다. 클러스터의 경우 각 컴퓨터 노드에서 해당 경로를 수정합니다.
-
ConnectService 계정에 대해 다음 로그온 권한을 설정합니다.
서비스로 로그온-SeServiceLogonRight
SQL Server Express Edition 서비스 계정 만들기
-
어떠한 기본 그룹도 포함하지 않는 ConnectSqlService라는 로컬 계정을 만듭니다.
-
SQL Server Express Edition 서비스 계정을 LocalSystem에서 ConnectSqlService로 변경합니다.
-
다음 레지스트리 키에 ConnectSqlService에 대한 "모든 권한"을 설정합니다.
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
클러스터의 경우 클러스터의 모든 노드에 대해 이 단계를 수행합니다. 모든 권한은 이름이 지정된 데이터베이스 인스턴스의 모든 하위 키에 적용됩니다.
-
데이터베이스 폴더에서 ConnectSqlService에 대해 "모든 권한"을 설정합니다. 하위 폴더와 파일에도 같은 권한이 설정되어야 합니다. 클러스터의 경우 각 컴퓨터 노드에서 해당 경로를 수정합니다.
-
ConnectSqlService 서비스에 대해 다음 사용자 권한을 설정합니다.
운영 체제의 일부로 작동할 수 있는 권한-SeTcbPrivilege 통과 검사 무시-SeChangeNotify 메모리의 페이지 잠금-SeLockMemory 배치 작업으로 로그온-SeBatchLogonRight 서비스로 로그온-SeServiceLogonRight 프로세스 수준의 토큰 바꾸기-SeAssignPrimaryTokenPrivilege
단일 서버 설치 보안
다음 워크플로는 단일 컴퓨터에서 Adobe Connect를 설정하고 보호하는 프로세스를 요약한 것입니다. 이 프로세스에서는 데이터베이스가 동일한 컴퓨터에 설치되어 있고 사용자가 인터넷을 통해 Adobe Connect에 액세스할 수 있다고 가정합니다.
방화벽을 설치합니다.
사용자가 인터넷을 통해 Adobe Connect에 연결할 수 있도록 허용하기 때문에 서버가 해커의 공격에 노출됩니다. 이 경우 방화벽을 사용하여 서버에 대한 액세스를 차단하고 인터넷과 서버 사이의 통신을 제어할 수 있습니다.
방화벽을 구성합니다.
방화벽을 설치한 후 다음과 같이 구성합니다.
아카딘 또는 InterCall 전화 연결 어댑터용 포트: 9080 또는 9443.
인터넷에서 들어오는 인바운드 포트: 80, 443, 1935.
메일 서버로 나가는 아웃바운드 포트: 25.
TCP/IP 프로토콜만 사용.
데이터베이스가 Adobe Connect와 동일한 서버에 설치되어 있으므로 방화벽에서 1434 포트를 열 필요가 없습니다.
Adobe Connect를 설치합니다.
Adobe Connect 응용 프로그램이 작동하는지 확인합니다.
Adobe Connect를 설치한 후 인터넷과 로컬 네트워크에서 제대로 작동하는지 확인합니다.
방화벽을 테스트합니다.
방화벽을 설치하고 구성한 후 방화벽이 제대로 작동하는지 확인합니다. 차단된 포트의 사용을 시도하여 방화벽을 테스트합니다.
클러스터 보안
클러스터(다중 서버) 시스템은 본래 단일 서버 구성보다 복잡합니다. Adobe Connect 클러스터는 하나의 데이터 센터에 배치하거나 지리적으로 떨어져 있는 여러 네트워크 운영 센터에 분산 시켜 배치할 수 있습니다. Adobe Connect를 호스팅하는 서버를 여러 위치에 설치하고 구성한 후 데이터베이스 복제를 통해 이러한 서버를 동기화할 수 있습니다.
참고:
클러스터에서 데이터베이스의 포함된 Standard Edition이 아닌 Microsoft SQL Server Enterprise Edition을 사용하십시오.
다음은 클러스터 보안을 유지하는 데 중요한 사항입니다.
개인 네트워크
단일 위치에 클러스터를 구축하는 가장 간단한 방법은 Adobe Connect 시스템의 추가 서브넷을 만드는 것입니다. 이 방법은 높은 수준의 보안 기능을 제공합니다.
로컬 소프트웨어 방화벽
클러스터 내에 있지만 다른 서버와 공용 네트워크를 공유하는 Adobe Connect Server의 경우 개별 서버마다 소프트웨어 방화벽을 사용하는 것이 좋습니다.
VPN 시스템
각기 다른 물리적 위치에서 Adobe Connect를 호스팅하는 다중 서버 환경에서는 암호화된 채널을 사용하여 원격 서버와 통신하는 방법을 고려하십시오. 많은 소프트웨어 및 하드웨어 공급업체에서는 원격 서버에 대한 통신 보안을 유지하기 위해 VPN 기술을 제공하고 있습니다. Adobe Connect는 데이터 트래픽을 암호화해야 하는 경우 이러한 외부 보안 기능을 사용합니다.
