지원되는 ONTAP SMB GPO에 대해 알아봅니다
변경 제안
PDF
모든 GPO(그룹 정책 개체)가 CIFS 지원 SVM(스토리지 가상 머신)에 적용되는 것은 아니지만 SVM은 관련 GPO 세트를 인식하고 처리할 수 있습니다.
현재 SVM에서 지원되는 GPO는 다음과 같습니다.
-
고급 감사 정책 구성 설정:
객체 액세스: 중앙 액세스 정책 스테이징
다음 설정을 포함하여 중앙 액세스 정책(CAP) 스테이징에 대해 감사할 이벤트 유형을 지정합니다.
-
감사 금지
-
성공 이벤트만 감사합니다
-
오류 이벤트만 감사합니다
-
성공 및 실패 이벤트를 모두 감사합니다
세 가지 감사 옵션 중 하나를 설정하면(성공 이벤트만 감사, 실패 이벤트만 감사, 성공 및 실패 이벤트 모두 감사) ONTAP는 성공 및 실패 이벤트를 모두 감사합니다.
Advanced Audit Policy Configuration/Audit Policies/Object Access GPO에서 Audit Central Access Policy Staging 설정을 이용하여 설정한다.
고급 감사 정책 구성 GPO 설정을 사용하려면 이 설정을 적용할 CIFS 지원 SVM에 대해 감사를 구성해야 합니다. SVM에서 감사를 구성하지 않으면 GPO 설정이 적용되지 않고 삭제됩니다.
-
-
레지스트리 설정:
-
CIFS 지원 SVM에 대한 그룹 정책 업데이트 간격
레지스트리 GPO를 사용하여 설정합니다.
-
그룹 정책 무작위 오프셋을 새로 고칩니다
레지스트리 GPO를 사용하여 설정합니다.
-
BranchCache에 대한 해시 게시
BranchCache GPO의 해시 게시는 BranchCache 운영 모드에 해당합니다. 지원되는 세 가지 작동 모드가 지원됩니다.
-
공유당
-
전체 공유
-
'레지스트리' GPO를 사용하여 설정을 비활성화했습니다.
-
-
BranchCache에 대한 해시 버전 지원
다음 세 가지 해시 버전 설정이 지원됩니다.
-
BranchCache 버전 1
-
BranchCache 버전 2
-
BranchCache 버전 1 및 2는 레지스트리 GPO를 사용하여 설정합니다.
-
BranchCache GPO 설정을 사용하려면 이러한 설정을 적용할 CIFS 지원 SVM에 BranchCache를 구성해야 합니다. SVM에 BranchCache가 구성되어 있지 않으면 GPO 설정이 적용되지 않고 삭제됩니다.
-
-
보안 설정
-
감사 정책 및 이벤트 로그
-
로그온 이벤트를 감사합니다
다음 설정을 포함하여 감사할 로그온 이벤트의 유형을 지정합니다.
-
감사 금지
-
성공 이벤트만 감사합니다
-
장애 이벤트 감사
-
Local Policies/Audit Policy GPO에서 Audit logon events 설정을 이용하여 성공 및 실패 이벤트를 모두 Audit한다.
세 가지 감사 옵션 중 하나를 설정하면(성공 이벤트만 감사, 실패 이벤트만 감사, 성공 및 실패 이벤트 모두 감사) ONTAP는 성공 및 실패 이벤트를 모두 감사합니다.
-
-
개체 액세스를 감사합니다
다음 설정을 포함하여 감사할 개체 액세스 유형을 지정합니다.
-
감사 금지
-
성공 이벤트만 감사합니다
-
장애 이벤트 감사
-
Local Policies/Audit Policy GPO의 Audit object access 설정을 이용하여 성공 이벤트와 실패 이벤트를 모두 Audit한다.
세 가지 감사 옵션 중 하나를 설정하면(성공 이벤트만 감사, 실패 이벤트만 감사, 성공 및 실패 이벤트 모두 감사) ONTAP는 성공 및 실패 이벤트를 모두 감사합니다.
-
-
로그 보존 방법입니다
다음 설정을 포함하여 감사 로그 보존 방법을 지정합니다.
-
로그 파일의 크기가 최대 로그 크기를 초과할 경우 이벤트 로그를 덮어씁니다
-
이벤트 로그 GPO의 보안 로그 보관 방법 설정을 사용하여 이벤트 로그(수동으로 로그 지우기) 집합을 덮어쓰지 마십시오.
-
-
최대 로그 크기입니다
감사 로그의 최대 크기를 지정합니다.
이벤트 로그 GPO에서 최대 보안 로그 크기 설정을 사용하여 설정합니다.
감사 정책 및 이벤트 로그 GPO 설정을 사용하려면 이 설정을 적용할 CIFS 지원 SVM에 감사를 구성해야 합니다. SVM에서 감사를 구성하지 않으면 GPO 설정이 적용되지 않고 삭제됩니다.
-
-
파일 시스템 보안
GPO를 통해 파일 보안을 적용할 파일 또는 디렉터리 목록을 지정합니다.
파일 시스템 GPO를 사용하여 설정합니다.
파일 시스템 보안 GPO를 구성하는 볼륨 경로가 SVM 내에 있어야 합니다.
-
Kerberos 정책
-
최대 클럭 불균형
컴퓨터 시계 동기화에 대한 최대 허용 시간(분)을 지정합니다.
계정 정책/Kerberos 정책 GPO에서 컴퓨터 시계 동기화에 대한 최대 허용 한도를 사용하여 설정합니다.
-
최대 항공권 사용 기간
사용자 티켓의 최대 수명(시간)을 지정합니다.
계정 정책/Kerberos 정책 GPO에서 사용자 티켓의 최대 수명 설정을 사용하여 설정합니다.
-
최대 티켓 갱신 기간
사용자 티켓 갱신에 대한 최대 수명(일)을 지정합니다.
계정 정책/Kerberos 정책 GPO에서 사용자 티켓 갱신을 위한 최대 수명 설정을 사용하여 설정합니다.
-
-
사용자 권한 할당(권한 권한)
-
소유권 가져오기
보안 개체의 소유권을 가져올 권한이 있는 사용자 및 그룹 목록을 지정합니다.
Local Policies/User Rights Assignment GPO에서 파일 또는 기타 개체의 소유권 가져오기 설정을 사용하여 설정합니다.
-
보안 권한
파일, 폴더 및 Active Directory 개체와 같은 개별 리소스의 개체 액세스에 대한 감사 옵션을 지정할 수 있는 사용자 및 그룹 목록을 지정합니다.
Local Policies/User Rights Assignment GPO에서 MManage auditing and security log 설정을 이용하여 설정한다.
-
알림 권한 변경(통과 확인 무시)
사용자 및 그룹에 통과 디렉터리에 대한 권한이 없더라도 디렉터리 트리를 통과할 수 있는 사용자 및 그룹 목록을 지정합니다.
사용자가 파일 및 디렉토리의 변경 알림을 수신하는 경우에도 동일한 권한이 필요합니다. Local Policies/User Rights Assignment GPO에서 통과 확인 무시 설정을 사용하여 설정합니다.
-
-
레지스트리 값
-
서명 필요 설정
필요한 SMB 서명을 설정 또는 해제할지 여부를 지정합니다.
보안 옵션 GPO의 'Microsoft 네트워크 서버: 디지털 서명 통신(항상)' 설정을 사용하여 설정합니다.
-
-
익명 제한
익명 사용자의 제한 사항을 지정하고 다음 세 가지 GPO 설정을 포함합니다.
-
SAM(보안 계정 관리자) 계정의 열거 없음:
이 보안 설정은 컴퓨터에 대한 익명 연결에 대해 부여되는 추가 권한을 결정합니다. 이 옵션이 활성화된 경우 ONTAP에서 "no-enumeration"으로 표시됩니다.
Local Policies/Security Options GPO에서 Network access: do not allow anonymous enumeration of SAM accounts(SAM 계정의 익명 열거 허용 안 함) 설정을 사용하여 설정합니다.
-
SAM 계정 및 공유의 열거 없음
이 보안 설정은 SAM 계정과 공유의 익명 열거가 허용되는지 여부를 결정합니다. 이 옵션이 활성화된 경우 ONTAP에서 "no-enumeration"으로 표시됩니다.
Local Policies/Security Options GPO에서 Network access: do not allow anonymous enumeration of SAM accounts and 공유 설정을 이용하여 설정한다.
-
공유 및 명명된 파이프에 대한 익명 액세스를 제한합니다
이 보안 설정은 공유 및 파이프에 대한 익명 액세스를 제한합니다. 이 옵션이 활성화된 경우 ONTAP에서 이 옵션이 "no-access"로 표시됩니다.
Local Policies/Security Options GPO에서 Network access: restrict anonymous access to named pipes and Shares 설정을 이용하여 설정한다.
정의된 그룹 정책과 적용된 그룹 정책에 대한 정보를 표시할 때 "익명 사용자에 대한 결과 제한" 출력 필드는 세 가지 익명 GPO 제한 설정의 결과 제한에 대한 정보를 제공합니다. 가능한 결과 제한은 다음과 같습니다.
-
-
"접근 불가"
익명 사용자는 지정된 공유 및 명명된 파이프에 대한 액세스가 거부되며 SAM 계정과 공유의 열거를 사용할 수 없습니다. 네트워크 액세스: 명명된 파이프 및 공유에 대한 익명 액세스 제한 GPO가 설정된 경우 이러한 제한이 나타납니다.
-
번호 매기기
익명 사용자는 지정된 공유 및 명명된 파이프에 액세스할 수 있지만 SAM 계정과 공유의 열거를 사용할 수는 없습니다. 이 결과 제한은 다음 두 조건이 모두 충족되는 경우에 나타납니다.
-
네트워크 액세스 : 명명된 파이프와 공유에 대한 익명 액세스 제한 GPO가 비활성화됩니다.
-
Network access: do not allow anonymous enumeration of SAM accounts(SAM 계정의 익명 열거 허용 안 함) 또는 Network access: do not allow anonymous enumeration of SAM accounts and 공유 GPO(SAM 계정과 공유의 익명 열거 허용 안 함) 중 하나가 활성화됩니다.
-
-
무제한입니다
익명 사용자는 모든 액세스 권한이 있으며 열거형을 사용할 수 있습니다. 이 결과 제한은 다음 두 조건이 모두 충족되는 경우에 나타납니다.
-
네트워크 액세스 : 명명된 파이프와 공유에 대한 익명 액세스 제한 GPO가 비활성화됩니다.
-
Network access: do not allow anonymous enumeration of SAM accounts(SAM 계정의 익명 열거 허용 안 함) 및 Network access: do not allow anonymous enumeration of SAM accounts and ses(SAM 계정과 공유의 익명 열거 허용 안 함) GPO가 모두 비활성화됩니다.
-
제한된 그룹
제한된 그룹을 구성하여 기본 제공 그룹 또는 사용자 정의 그룹의 구성원을 중앙에서 관리할 수 있습니다. 그룹 정책을 통해 제한된 그룹을 적용하면 CIFS 서버 로컬 그룹의 구성원은 적용된 그룹 정책에 정의된 멤버 자격 목록 설정과 일치하도록 자동으로 설정됩니다.
-
-
제한 그룹 GPO를 사용하여 설정합니다.
-
-
중앙 액세스 정책 설정
중앙 액세스 정책 목록을 지정합니다. 중앙 액세스 정책과 관련 중앙 액세스 정책 규칙에 따라 SVM의 여러 파일에 대한 액세스 권한이 결정됩니다.