스키마를 실제로 변경하는 경우가 아니면 Schema Admins 그룹에서 모든 구성원 제거

이 점을 고려해야하는 이유

Schema Admins 그룹 구성원만이 스키마를 수정할 수 있으므로 스키마를 변경해야 할 때만 이 그룹에 계정을 추가해야 하며 그 후에는 계정을 제거해야 합니다. 이러한 방식을 사용하면 공격자에 의한 스키마 관리자 계정 손상을 방지할 수 있습니다. 공격자가 스키마 관리자 계정을 손상시키면 심각한 결과가 발생할 수 있습니다.

고객 엔지니어가 문제를 설명하는 것을 보세요

상황 배경 & 모범 사례

Schema Admins 그룹 구성원은 스키마를 변경할 수 있습니다. 스키마는 포리스트를 구성하는 모든 개체 및 특성의 기본 정의입니다.

Schema Admins 그룹의 구성원 자격은 스키마 변경 작업 외에는 어떤 용도로도 필요하지 않습니다. 스키마 변경은 그다지 자주 수행되지 않으므로 스키마를 실제로 변경하는 경우가 아니면 Schema Admins 그룹을 비워 두는 것이 좋습니다.

이러한 방식을 사용하면 스키마가 실수로 변경될 가능성을 줄일 수 있습니다. 또한 스키마를 변경하려는 사용자는 먼저 자신을 그룹에 추가해야 하므로 보안이 한층 강화됩니다.

권장 조치

Schema Admins 그룹의 구성원을 제거합니다.

스키마를 변경해야 하는 요구 사항이 있을 때만 이 그룹에 계정을 추가하고 그 후에는 계정을 제거하는 프로세스를 구현합니다.