Windows용 끝점 관리 안내서 › 모니터 및 감사 › CA Access Control 감사 대상 › 로그인 차단 제한 사항

로그인 차단 제한 사항

Windows의 로그인 차단은 CA Access Control 하위 인증 방식에서만 지원됩니다.

커널을 통해 로그인 차단을 설정할 수 없습니다. 그 결과 다음을 고려해야 합니다.

• Windows 도메인 환경에서 하위 인증 구성 요소는 DC(도메인 컨트롤러) 수준에서 작동하며, 어떤 DC가 사용자의 로그인 이벤트를 인증하고 CA Access Control 하위 인증 모듈을 트리거할 것인지를 OS가 결정하므로, CA Access Control을 모든 DC에 설치해야 합니다.
• Windows 도메인 환경에서 작업할 때 CA Access Control 로그인 정책(TERMINAL 규칙)은 DC에 있어야 하며 대상 서버에는 있을 필요가 없습니다.

  Windows 도메인의 일부이며 DC가 아닌 파일 서버에서 도메인 사용자가 만든 로그인 이벤트를 보호 또는 감사하려는 경우, 대상 파일 서버가 아니라 DC에서 CA Access Control 로그인 정책을 정의해야 합니다. 그 이유는 도메인 사용자가 공유 파일 디렉터리에 액세스할 때 파일 서버가 아니라 DC에서 로그인 권한 부여가 발생하기 때문입니다.

• DC가 여러 개인 경우 CA Access Control 로그인 권한 부여는 이 DC 중 하나에서 처리될 수 있습니다. 따라서 모든 DC 간에 CA Access Control 로그인 정책을 동기화하는 것이 좋습니다.

  이 작업은 모든 DC가 PMDB의 구독자인 정책 모델 메커니즘을 통해 구현할 수도 있고, 모든 DC를 호스트 그룹에 추가한 후 고급 정책 관리를 사용하여 공통된 정책을 배포함으로써 구현할 수도 있습니다.

• 로그인 이벤트와 상응하는 일부 사용자 속성은 런타임에(이벤트 권한 부여 중에) 업데이트됩니다. 로그인 권한 부여는 DC 중 하나에서만 발생하므로 이러한 속성이 동기화되지 않을 수 있습니다. 이러한 속성에는 유예 로그인, 마지막으로 액세스한 날짜 및 마지막 액세스 시간이 있습니다.

  예를 들어, CA Access Control 하위 인증은 모든 DC가 아니라 DC 중 하나에서 트리거되므로 사용자 속성인 마지막 액세스 시간 값이 DC 간에 다를 수 있습니다.

• 로컬 사용자(도메인 사용자가 아님) 로그인 이벤트를 적용하려면 로컬 사용자가 액세스해야 할 로컬 컴퓨터에 CA Access Control을 설치해야 합니다. 이는 로컬 컴퓨터가 도메인 컴퓨터로 사용되기 때문입니다(도메인이 로컬 컴퓨터임).
• RDP(원격 데스크톱 프로토콜)/터미널 서비스 로그인 이벤트는 대상 서버에 적용되는데, 이는 대상 서버에 이전 CA Access Control 버전이 있었기 때문입니다. 그러나 대상 서버에서 RDP 로그인 이벤트에 대해 CA Access Control 로그인 정책을 정의해야 합니다.