none
로컬 power user계정의 인터넷뱅킹문제.. RRS feed

  • 질문

  • 안녕하세요?

     

    WIN2003 AD환경 하에 클라이언트들은 XP PRO SP2 + IE7 을 사용하는 로컬 POWER USER들로 구성되어 있습니다.

     

    인터넷뱅킹 환경이 보안프로그램들을 ADMIN 계정으로만 설치/실행하게 되어있어서 해결방법에 대한 조언을 얻고자 합니다.

     

    ADMIN 계정으로 설치하고 다시 POWER USER 계정으로 실행해도 ADMIN 계정을 요구하며 오류가 뜹니다.

     

    다른 분들은 어떻게 사용하고 계신지 조언 부탁드립니다. ㅜ.ㅜ

     

     

    2007년 7월 16일 월요일 오전 7:02

모든 응답

  • 계정권한명세입니다  참고하세요.    
     

    [ Administrator ]

    Install, start, and stop services and device drivers.

    Create, modify, and delete registry settings.

    Install, run, and uninstall programs.

    Replace operating system files.

    Terminate processes.

    Control firewall settings.

    Manage event log entries.

    Install Microsoft ActiveX® controls.

    Access the SAM.


    [ Power User ]


      Run legacy applications, in addition to Windows certified applications.

    Install programs that do not modify operating system files or install system services.

    Customize systemwide resources including printers, date, time, power options, and other Control Panel resources.

    Create and manage local user accounts and groups.

    Stop and start system services which are not started by default.


    [ User ]


    View the status of services and device drivers.

    Create, modify, and delete registry settings within HKEY_CURRENT_USER, and read registry settings in HKEY_LOCAL_MACHINE.

    Run programs.

    Read most operating system files.

    View running processes.

    View firewall settings.

    View system and application log entries only.

    2007년 7월 18일 수요일 오전 12:49
  • jslee 님께서 답변 달아 주신 내용의 한글 technet 전문입니다.

     

    함께 참고하세요...^^

     

    그룹의 기본 보안 설정

     

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/library/ServerHelp/e5b458fe-e207-456c-9554-60f25f94a915.mspx

     

     

    제 개인적인 경험으로 미루어 보아도 도메인의 멤버 컴퓨터로 참여해서 Power Users 그룹에

     

    속한 사용자들은 인터넷 뱅킹 관련 보안 프로그램 설치가 되지 않습니다. 권한 문제입니다.

     

    하여 님과 같이 admin 계정으로 로그인 후 관련 프로그램을 정상적으로 설치 후 다시 사용자 계정으로 로그인

     

    할 경우 아무런 사용 제한 없이 잘 사용하였는데요.

     

    위와 같은 환경에서 생활 했을 때는 회사내에서 재경팀 이외 인터넷 뱅킹 사용해야 하는 사람에게만

     

    허용 했었고 나머지 직원들은 인터넷 뱅킹을 못했었다는.....ㅡㅡ;

     

    다시 한 번 말끔히 지우시고 재설치 해 보심도 좋을 듯 싶습니다...^^

     

     

    2007년 9월 21일 금요일 오후 2:21
  •  

    저의 경우에는 users 계정으로 모두 준다음

    로컬에 admin 계정하나 만들어 놓고 뱅킹시에만 admin 계정으로 실행하라고 합니다.

     

    인터넷 익스플러로 단축아이콘에서 우측클릭 >  다음계정으로 실행해서

     

    로컬 admin 계정으로 실행하라고 합니다.

     

    일반 사용자들은 뱅킹시에만 다음계정으로 실행하나 보다라고 생각합니다.

     

    물론 회전 빠른 사람은 admin 계정으로 하면 모든게 설치되는줄 알지만 여지껏 이렇게

     

    사용할 수 있는 사용자 못봤습니다.

     

    admin 계정으로 로그인 시에 바탕화면을 못건들게 강제적으로 만드는 방법도 편법인거 같지만요

     

    위의 사항은 제가 쓰는 편법입니다...ㅜㅜ

     

    AD환경하에 클라이언트에 대해서 뱅킹이 가능하도록 하는 방법이 있으면 좋겠네요.

     

    정책에 보면 인증서배포관련도 있던데...아직 안해봐서...

     

    더 좋은 방법 없을까요? ^^

     

    2007년 9월 28일 금요일 오전 1:23
  • 안녕하세요?

     

    인터넷 뱅킹 관련되서 좀 더 제한적으로 사용할 수 없을지에 대해서 고민을 해봤습니다.

    인터넷 뱅킹시 인증서 배포 관련 문제라기 보다는 아시는 것 처럼 권한 문제로 인해서

    은행권에서 제공하는 프로그램 설치 문제가 발생합니다.

     

    지난 번에도 한 번 말씀 드렸지만 admin 권한으로 한 번 설치 한 후 Power Users 권한으로 실행하는데는

    문제가 없는 것으로 알고 있는데요.

    제가 오늘 Virtual Machine에서 테스트 해 본 결과 Admin으로 로그인하라는 경고창이 뜨기는 하지만

    정상적으로 결재 처리가 되는 것을 확인 하였습니다. 다분히 Admin 권한으로 로그인 했는지 여부를

    프로그램상에서 체크하는 것 같네요. 서비스 받는데는 전혀 문제가 없는 것 같습니다.

    (테트스 해본 은행은 하나은행 입니다.....확인해 보시길....^^)

     

    현재 kimdk 님의 고민은 Local Admin 계정으로 "다음계정으로 실행"을 통해 지속적으로

    사용자들이 남용하게 될 소지가 문제가 되는 것인데요.

     

    완벽한 해결책은 아니겠지만 그룹 정책을 통해서 이 문제는 어느 정도 해결 되리라 생각됩니다.

    물론 관리자가 좀 불편하긴 한데요. Local Admin 권한 노출 위험을 생각할 때 사용해 봄직할 것 같습니다.

     

    일단 그룹 정책 적용하는 부분에 대해서 잠시 말씀 드리겠습니다.

    현재 사내 OU 정책이 어떻게 되어 있는지 모르겠으나 임의대로 말씀드리면,

     

    그룹정책 적용

     

    1. 부서별OU (컴퓨터 계정)로 분류한다.

     

    2. 그룹정책을 통해 Secondary Logon 서비스를 사용안함으로 설정한다.

        - Default Domain Policy - 컴퓨터 구성 - Windows 설정 - 보안 설정 - 시스템 서비스 - Secondary Logon (사용안함 적용)

          Secondary Logon 서비스는 "다른 계정으로 실행:Runas" 가능하도록하는 서비스 입니다...^^

       

        - 해당 서비스를 적용 시 Default Domain Policy에 기본적으로 전체 도메인에 적용할 것인지

          아니면 각 OU 별로 정책을 적용하실지에 대해서는 결정하셔야겠죠?

       

        - 처음 부터 Default Domain Policy에 적용하시지 마시고 특정 OU에 정책을 적용하셔서

          테스트 해 보시고 적용하시기 바랍니다....^^

     

    사용자가 인터넷 뱅킹 사용 관련해서 요청이 오시면 아래와 같은 절차를 밟으시면 될 것 같습니다.

    1. 인터넷 뱅킹 설치해야 하는 컴퓨터가 속한 OU에서 Secondary Logon 서비스 정책 해제

        - Secondary Logon 사용 함 정책이 적용되어 있는 OU를 따로 만들어 놓으셔도 되겠죠....^^

        - 정책 적용된 컴퓨터 계정 - gpudpate /force (즉시 정책 반영을 위해서)

     

    2. (사용자) Local Admin 암호로 "다른 계정으로 실행"을 통해 해당 프로그램 설치

     

    3. 해당 OU의 Secondary Logon 서비스 정책 재할당 (여유있게 1시간 후에 재할당 하면 되겠죠..^^)

     

    4. 중앙에서 스크립트로 Local Admin 암호 변경

        - 사용자가 Local Admin 계정 암호를 알던 모르던 일정 기간에 한 번씩

           Local Admin 패스워드 변경하는 것이 좋겠죠....^^

        - psexec를 활용한 패스워드 변경 예시

          psexec \\192.168.6.3 net user administrator Passw0rd

     

    해당 정책을 설정/해제 반복과 Local Admin 계정의 패스워드 변경에 대한 불편함이 남아 있겠지만

    제가 말씀 드린 부분을 보완하셔서 적용하신다면 도움이 되실것 같습니다.

     

    Windows에서 프로그램을 실행할 때 "다음 계정으로 실행" 명령을 설정하고 사용하는 방법

    http://support.microsoft.com/kb/294676/ko

     

    Windows XP에서 사용자 계정에 최소 권한의 원칙 적용(참고)

    http://www.microsoft.com/korea/technet/prodtechnol/winxppro/maintain/luawinxp.mspx

    2007년 10월 3일 수요일 오전 8:58