윈도우 시스템 보안 설정 ( 윈도우 서버 2008)

IT CookBook, 정보 보안 개론과 실습 : 시스템 해킹과 보안 (개정판 )

윈도우 시스템 보안 설정 ( 윈도우 서버 2008)

2/33

Contents

학습목표 윈도우의 계정 관리를 이해한다 . 윈도우에 설정 가능한 보안 설정사항을 이해한다 . 윈도우에서 운영되는 네트워크 서비스의 취약점을 이해한다 . 윈도우에서 운영되는 네트워크 서비스의 취약점에 대한 보안 설정할 수

있다 . 윈도우에서 네트워크 및 파일 시스템에 대해 접근 제어 설정할 수 있다 .

내용 계정 정책 로컬 정책 데몬 관리 접근 제어 파일과 디렉터리 관리 패치

3/33

계정 정책

계정 관리 보안의 기본 , 패스워드 관리 패스워드 : 보안의 첫번째 방벽

• 주기적으로 크래킹 , 취약한 패스워드를 가진 계정 체크

계정 생성 반드시 문서화 기록 , 불필요한 계정 주기적 삭제 윈도우에서 Administrator 가 윈도우의 기본 계정임을 알고 있어 계정을 변경 필요 [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터관리 ] 의 사용자 목록이나 명령 창‘ net user’ 명령 이용

확인 [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터 관리 ] 의 사용자 관리 창 Administrator 계정 이름

바꾸기암호 정책

계정에 대한 정책 적용 : [ 제어판 ]-[ 관리도구 ]-[ 로컬 보안 설정 ] 에서 설정 암호 정책 : 최소 암호길이와 사용 기간 설정

계정 잠금 정책 계정 잠금 임계값 : 일정 수 이상의 잘못된 로그인 시도시 계정 사용 금지토록하는 횟수 ( 보통 5 회로 설정 ) 계정 잠금 기간 : 잘못된 로그인 시도로 계정이 잠기는 기간 다음 시간 후 계정 잠금 수를 원래대로 설정 : 이 값을 2 일로 지정하면 2 일 후 시스템에

지정된 잘못된 로그인 시도 값이 0 으로 초기화

4/33

로컬 정책

사용자 권한 할당 네트워크에서 이 컴퓨터 엑세스 / 엑세스 거부

• 기본 설정 : [ 네트워크에서 이 컴퓨터 액세스 ] 속성 창에는 현재 시스템의 모든 그룹에 , • [ 네트워크에서 이 컴퓨터 액세스 거부 ] 속성 창은 비움• 하나의 사용자가 액세스에도 액세스 거부에도 존재 시 윈도우의 설정 대부분 거부 우선권• 거부 설정 시 : ‘ 네트워크에서 이 컴퓨터 액세스’등록여부 관계없이 원격 로그인 불가능

로컬 로그온 허용 /거부• ‘ 네트워크에서 이 컴퓨터 액세스 거부’ 설정 : 원격에서만 접속 불가능• ‘ 로컬 로그온 거부’ : 원격 접속가능 하지만 로컬에서 접속 불가능• 둘 다 설정 : 계정 사용 중지와 동일

시스템 종료 /원격에서 강제로 시스템 종료• 윈도우 서버 2008 : Administrators, Backup Operators 그룹만 로컬에서 시스템 종료• 윈도우 서버 2003 : 윈도우 서버 2008 과 동일• 윈도우 서버 2000 : Power Users 그룹도 가능• 시스템 원격 강제 종료 가능 그룹 : Administrator 뿐 ( 그룹관리에 유의 )• 윈도우 서버 2008 에서는 각 속성 설정 창에서 설명 탭 제공

5/33

로컬 정책

보안 옵션 감사 : 보안 감사를 로그할 수 없는 경우 시스템 종료

• 감사 (Auditing) 로그가 꽉 차거나 정상적 로그인 시행할 수 없을 때 시스템 재부팅하는 설정• 시스템 운영보다는 사용 기록이 중요하다면 감사 옵션 활성화• 사용 기록보다는 정상운영이 중요하다면 비활성화

로그인 절차 관련• 대화형 로그온 : 마지막 사용자 이름 표시 안 함 - 윈도우 서버 2000 과 윈도우 서버 2003 : 마지막 로그인한 사용자 계정 로그인 창에 뜸 - 윈도우 서버 2008 : 계정 목록 뜸 - 이런 설정은 해당 시스템에 어떤 계정이 존재하는지 알 수 있게 함 - 계정 노출 방지 위해 ‘로그인 스크린에 마지막 사용자 이름 표시 안함’을 ‘사용’으로 바꿈• 대화형 로그온 : 로그온 시도하는 사용자에 대한 메시지 제목 /텍스트 - GUI 환경의 터미널 접속에서 경고 창 생성해 로그인 시도자에게 알려주기 위한 설정 - 경고 창 : 해커에게 심적 부담을 줌으로써 경고• 시스템 종료 : 로그온하지 않고 시스템 종료 허용 - 윈도우 NT : 기본 활성화 - 윈도우 서버 2000 부터 : 기본 설정 금지된 옵션- 이 항목을 사용으로 바꾸면 , 오른쪽 아래에 < 시스템 종료 > 버튼 활성화

6/33

로컬 정책

인증 관련 • 네트워크 보안 : LAN Manager 인증 수준 - 윈도우 : 패스워드 인증 시 LM, NTML, NTMLv2 등의 인증 프로토콜 사용 - 윈도우 서버 2008 : ‘ 네트워크 보안 :LAN Manager 인증 수준 속성’에서 네트워크

로그인에 사용되는 시도 /응답 인증 프로토콜 설정

- 기본 값 : ‘NTLMv2 응답만 보내기’로 NTLMv2 만 인증 프로토콜 허용• ‘ 네트워크 보안 :LAN Manager 인증 수준 속성’ 항목 - LM 및 NTLM 응답 보내기 - NTLMv2 응답만 보내기 /LM 거부 - NTLMv2 응답만 보내기 /LM 및 NTLM 거부• 네트워크 보안 : 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함 - LM 해시는 NT 해시에 비해 약하기 때문에 공격에 노출 용이 - LM 해시가 보안 데이터베이스의 로컬 컴퓨터에 저장되므로 보안 데이터 베이스 공격 받으면 암호가 노출 가능 - 윈도우 비스타 이후의 시스템에서는 LM 해시 값을 시스템에 기본 저장하지 않는다 .• 네트워크 보안 : 로그온 시간이 만료되면 강제로 로그오프 - 로컬 컴퓨터에 연결된 사용자가 사용자 계정의 유효한 로그온 시간이 지난 경우 사용자의 - 연결을 끊을 것인지 여부에 대한 설정

7/33

데몬 관리

동작 중인 서비스 확인

[ 그림 10-18] 윈도우 서버 2008 nmap 스캔 결과

주요 서비스 보안 설정 FTP(File Transfer Protocol, 21)

• [ 제어판 ]-[ 관리도구 ]-[IIS( 인터넷정보서비스 ) 6.0 관리자 ] 에서 설정 확인• FTP 사용하지 않으면 보안을 위해 중지• 가장 일반적인 FTP 취약점 : 익명 계정 (Anonymous) 의 로그인 허용 ( 윈도우

시스템에서는 익명 계정이 기본 허용 )

8/33

FTP 보안 : [ 제어판 ]-[ 관리 도구 ]-[IIS( 인터넷 정보 서비스 ) 6.0 관리자 ], [ 속성 ] 메뉴

세션 설정

FTP 속성의 [FTP 사이트 ] 탭에서 FTP 서버 IP 주소와 TCP 포트 번호

세션에 대한 제한 설정

[ 그림 10-21] FTP 속성의 [FTP 사이트 ] 탭

실습 10-1 윈도우 FTP 서비스 보안 설정하기

1

9/33

로그 정책 설정

기본 값 : ‘ 로깅 사용’ , W3C(World Wide Web Consotium) 형식 로그 기본 사용

[ 그림 10-22] FTP 로그에 대한 속성 창

로그 파일 디렉터리 (C:\Windows\system32\LogFiles)

[ 그림 10-23] 2011-02-26 일자 FTP 로그 파일 확인

실습 10-1 윈도우 FTP 서비스 보안 설정하기2

10/33

익명 연결 허용 여부 설정

익명 계정을 사용 않으면 ‘익명 연결 허용’ 체크하지 않는 것이 좋음

[ 그림 10-24] FTP 속성의 [ 보안 계정 ] 탭


11/33

FTP 배너 출력

FTP 에서 접속 시에 배너 출력 가능 배너 : FTP 서비스의 내용에 대한 안내 , 불법적인 접근에 대한 경고 포함

[ 그림 10-25] FTP 속성의 [ 메시지 ] 탭과 배너 설정


12/33

FTP 홈 디렉터리 권한 설정

FTP 속성의 [ 홈 디렉터리 ] 탭 : FTP 기본 디렉터리 지정 , 디렉터리에 대한 FTP 계정의

권한 설정 ( 기본 권한은 읽기만 가능 )

[ 그림 10-26] FTP 속성의 [ 홈 디렉터리 ] 탭


13/33

FTP 서비스 접근 제어 설정

FTP 서비스에 대한 접근 제한 설정 : [ 디렉터리 보안 ] 탭

[ 그림 10-27] FTP 속성의 [ 디렉터리 보안 ] 탭


14/33

데몬 관리

SMTP(Simple Mail Transfer Protocol, 25)• 텔넷을 이용한 배너 그래빙 (Banner Grabbing) : SMTP 버전과 운영체제 예상

[ 그림 10-28] SMTP 버전 확인• 필요치 않으면 중지

[ 그림 10-29] SMTP 서비스 확인

telnet 192.168.75.129 25

15/33

데몬 관리

• SMTP 는 기본적으로 로깅하지 않도록 설정• 이용하려면 ‘로깅 사용’을 체크하여 < 속성 > 버튼 활성화

[ 그림 10-30] SMTP 속성의 [ 일반 ] 탭

16/33

데몬 관리

• < 속성 > 버튼 클릭하면 FTP 처럼 로깅에 대한 여러 속성을 선택• SMTP 에는 기본 로깅 항목이 설정되어 있지 않아 , 필요에 따라 로깅 항목 결정 , 선택• [ 고급 ] ‘ ’ 탭 확장된 로깅 옵션 에서 로깅으로 설정 가능한 항목 목록을 확인 , 각 항목별 선택

로깅• 항목 설정 항목 중 날짜 , 시간 , 클라이언트의 IP 주소 , 사용자 이름 , 서버 IP 주소는 필수로깅

• SMTP 의 로그 파일 C:/Windows/system32/logfiles/smtpsvc1 에 저장

[ 그림 10-31] SMTP 로그 스케줄 설정과 로깅 옵션 선택

17/33

데몬 관리

• SMTP 속성의 [ 액세스 ] 탭 : FTP 서비스처럼 특정 IP 와 네트워크에 대해 접근 제어 설정• 릴레이 제한 : 자신에게 전달되는 메일을 다른 메일 서버로 전달해주도록 설정

[ 그림 10-32] SMTP 속성의 [ 액세스 ] 탭과 연결 제어와 SMTP 릴레이 제어

18/33

데몬 관리

HTTP(HyperText Transfer Protocol, 80)• IIS 관리자 실행 : [ 제어판 ]-[ 관리도구 ]-[IIS( 인터넷 정보 서비스 ) 관리자 ]

[ 그림 10-33] ‘Default Web Site’ 에서 설정 메뉴 확인

19/33

데몬 관리

• 기본 문서 설정- 기본 문서 : www.wishfree.com 과 같이 URL 로 웹 사이트에 접근시 기본으로 선택되는 웹 문서

- 기본 문서 설정 : Default.htm 과 같이 사용하지 않는 기본문서 제거• SSL(Secure Socket Layer) 또는 HTTPS 설정 - SSL(HTTPS) 은 443 번 포트 사용 , 암호화된 웹 접속 가능케 함 - 40 비트 또는 128 비트 선택• 디렉터리 목록화 금지 설정 - 디렉터리 검색 : 해당 디렉터리 목록 일괄적으로 출력• 로깅 설정 - W3C 형식의 로그 사용

20/33

데몬 관리

LOC-SRV(135), NETBIOS-SSN(139), SMB(Server Message Block, 445)• NetBIOS 프로토콜 : 윈도우 랜상에서 윈도우 시스템 이름 확인 , 폴더 및 파일 공유[ 표 10-1] 윈도우 NetBIOS 관련 프로토콜

• NetBIOS 관련 취약점 : Null 세션과 관리자 공유 - 레지스트리 편집기에서 HKEY_ LOCAL_MACHINE\Syste\CurrentControlSet\Control\Lsa 의

restrictanonymous 값을 2 로 설정하면 Null 세션을 생성 불가• 관리자 기본 공유 제거 : [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터 관리 ] 의 [ 시스템 도구 ]-[ 공유 폴더 ]

• NetBIOS 를 이용한 원격 셀 생성 - 윈도우 서버 2008 은 psexec(Process Execution) 를 사용하여 생성 불가 - 윈도우 서버 2000 과 2003 에서는 생성 가능• 로그인 : psexec 툴 이용 원격 시스템에 관리자 권한을 가진 계정 (wishtobefree) 으로 시도

프로토콜 포트 서비스

TCP 135 RPC/DCE 종단 맵퍼

UDP 137 NetBIOS 이름 해석 서비스

UDP 138 NetBIOS 데이터그램 서비스

TCP 139 NetBIOS 세션 서비스 (SMB/CIFS over NetBIOS)

TCP/UDP 445 Direct Host(SMB/CIFS over TCP)

21/33

데몬 관리

• 레지스트리 관련 보안 설정 사항 - 가장 강력한 방법 : NetBIOS 프로토콜 사용 않는 것 - 제어판의 네트워크 설정에 대한 등록정보에서 ‘ Microsoft 네트워크용 클라이언트’프로토콜만

남겨두고 ,‘ Microsoft 네트워크용 파일 및 프린터 공유’프로토콜 사용 않는 것 . 이렇게 설정하면

본인의 시스템에서 NetBIOS 프로토콜 이용 다른 시스템 접근 가능 , 다른 시스템에서는 본인의

시스템에 NetBIOS 프로토콜 이용 접근 불가 , 또한 psexec 를 통한 셸 생성 역시 불가능

22/33

데몬 관리

MS Terminal Service(3389)• MS-Term-Service 포트 : GUI(Graphic User Interface) 기반 윈도우 터미널 서비스제공

• 윈도우 터미널 서비스 - 윈도우 서버 2008 이후 버전부터 새로운 보안 옵션 제공 - [ 내 컴퓨터 ] 에서 마우스 오른쪽 버튼 [ 속성 ] 메뉴 선택 ‘원격 설정’항목 클릭 해당 옵션 확인•‘ 원격 데스크톱’에 대한 설정 ➊ 이 컴퓨터에 대한 연결 허용 안 함 ➋ 모든 버전의 원격 데스크톱을 실행 중인 컴퓨터에서 연결 허용 ( 보안 수준 낮음 ) ➌ 네트워크 수준 인증 가진 원격 데스크톱 실행 중인 컴퓨터에서만 연결 허용 ( 보안수준 높음 ) - 터미널 서비 사용 조건 • 터미널 서비스 클라이언트 : ‘ 원격 데스크톱 연결 6.0’ 이상 사용 •클라이언트 컴퓨터 : CredSSP(Credential Security Support Provider) 프로토콜 지원하는

윈도우 서버 2008/ 비스타 /XP 서비스 팩 3 등의 운영체제 사용 • 서버 컴퓨터 : 윈도우 서버 2008 이상 버전의 운영체제 실행

23/33

TCP Wrapper 암호화 및 세션 관리 설정

터미널 서비스 보안 설정 : [ 제어판 ]-[ 관리도구 ]-[ 터미널 서비스 ]-[ 터미널 서비스구성 ]

[ 그림 10-47] ‘ 터미널 서비스 구성’에서 터미널에 대한 속성 열람

실습 10-2 윈도우 터미널 서비스 보안 설정하기

1

24/33

‘ ’ ‘연결 항목 RDP-Tcp’ 에서 마우스 오른쪽 버튼 눌러 [ 속성 ] 메뉴 선택 [ 일반 ] ‘ ’ ‘ ’ 탭에서 보안과 관련한 보안 계층 과 암호화 수준 설정 ‘ ’ 네트워크 수준 인증 이 가능한 클라이언트만 접속할 수 있게 제한하는 체크 박스 확인

[ 그림 10-48] RDP-Tcp 속성의 [ 일반 ] 탭


25/33

[ 표 10-2] ‘ 보안 계층’항목 내용


항목 내용

SSL(TLS 1.0)

서버를 인증하고 서버와 클라이언트 간 전송되는 모든 데이터를 암호화한다 .

RDP 보안 계층

기본 RDP 암호화를 사용하여 서버와 클라이언트가 통신한다 .

선택하면 네트워크 수준 인증을 사용할 수 없다

협상 기본 설정으로 , 클라이언트에서 지원하는 가장 안전한 계층을 사용한다 .

SSL(TLS 1.0) 의 사용이 가능한 경우 SSL(TLS 1.0) 을 사용하고 , 그렇지 않으면

RDP 보안 계층을 사용한다 .

26/33

[ 표 10-3] ‘ ’ 암호화 수준 항목 내용

RDP-Tcp 속성의 [ 세션 ] 탭 : 터미널 서비스 세션에 대한 보안 정책 적용 ‘ 사용자 설정 무시’체크 한 후 세션에 대해 강제적 적용 ‘ 활성 세션 제한’ 설정 : 사용자가 터미널을 이용할 수 있는 최대 시간에 대한 설정 ‘ 유휴 세션 제한’ 설정 : 사용자가 터미널을 통해 데이터를 보내지 않을 때의 세션 유지

시간설정


항목 내용

낮음 56 비트 암호화를 사용해 클라이언트에서 서버로 보내는 데이터를 암호화 한다

서버에서 클라이언트로 보내는 데이터는 암호화하지 않는다 .

높음 128 비트 암호화를 사용해 클라이언트와 서버 간 주고받는 데이터를 암호화한다

원격 데스크톱에서 연결 클라이언트와 같이 128 비트 클라이언트만으로 구성된

환경에서 터미널 서버가 실행되는 경우에 사용한다 . 이 암호화 수준을 지원하지

않는 클라이언트는 연결할 수 없다 .

FIPS 규격 FIPS(Federal Information Processing Standard) 140-1 에서 검증한 암호화

방식을 사용해 클라이언트와 서버 간 주고받는 데이터를 암호화하고 해독한다 .

이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없다 .

클라이언트 호환 가능

기본 설정으로 , 클라이언트에서 지원하는 최대 키 강도로 클라이언트와 서버 간

주고받는 데이터를 암호화한다

27/33

원격제어 권한 관리

[ 원격제어 ] 탭 : 터미널 이용한 접근 권한 설정 사용자 기본설정 사용 ‘ 원격 제어’로 설정 : 로그인한 사용자 계정의 권한 따름 ‘ 원격 제어할 수 없음’으로 설정 : 로그인한 계정에 관계없이 원격 제어 불가능 ‘ 다음 설정을 사용하여 원격 제어’로 설정 : 터미널접속 허용한 서버에 접속 허용 필요

[ 그림 10-49] RDP-Tcp 속성의 [ 세션 ] 과 [ 원격 제어 ] 탭


2

28/33

원격 제어 인터페이스 제한

RDP-Tcp 속성의 [ 네트워크 어댑터 ] 탭 : 터미널 접속 위해 접근해야 하는 네트워크

어댑터 설정

[ 그림 10-50] RDP-Tcp 속성의 [ 네트워크 어탭터 ] 탭


3

29/33

터미널 서비스 사용자 제한

[ 보안 ] 탭 : 터미널 사용 가능한 사용자에 대한 접근 권한 설정

[ 그림 10-51] RDP-Tcp 속성의 [ 보안 ] 탭


4

30/33

터미널 서비스 연결 세션 ( 사용자 ) 확인

터미널 서비스의 현재 사용자 목록 [ 제어판 ]-[ 관리도구 ]-[ 터미널 서비스 ]-[ 터미널 서비스 관리자 ] 에서 확인

[ 그림 10-52] 터미널 연결에 대한 속성 설정


5

31/33

터미널 서비스 포트 변경

터미널 서비스는 3389 포트 기본 사용 서비스 포트를 임의의 다른 포트로 바꿔 보안 포트 번호 레지스트리 편집기 이용 변경 레지스트리키 값 :‘HKEY_LOCAL_MACHINE\System\CurrentControlSet

\Control\TerminalServer\Wds\Rdpwd\Tds\Tcp\PortNumber’

[ 그림 10-53] 터미널 서비스 포트 번호 설정


6

32/33

데몬 관리

기타 서비스 보안 설정 SNMP(Simple Network Management Protocol, 161)

• NMS(Network Management System) 가 사용 프로토콜 , 네트워크 및 네트워크상의 장비 관리

• 계정 목록 및 세션 정보 등 너무 많은 정보 노출시켜 해킹에 자주 이용• [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터 관리 ]-[ 서비스 ] 에서 서비스 중단

PRINTER(515) : 프린터와 TCP/IP 이용 연결할 때 사용

IIS(1025)• 윈도우 서버 2000 과 2003 : IIS 시스템에서 DCE(Distributed Computing

Environment) 운영 위한 포트로 , 메신저 서비스 운영• 메신저 서비스 운영하는 시스템에 특정 메시지 전송• 메신저 서비스 [ 제어판 ]-[ 관리 도구 ]-[ 컴퓨터 관리 ]-[ 서비스 ] 에서 중지

LSA 또는 nterm(1030)• (1030) 포트는 BBN(Bolt, Beranek and Newman) IAD(Interface Access Device)라고 함

• 브리지 또는 라우터와 IP 이용 통신할 때 조절 역할

MSDTC(3372) : 설정 변경에 대한 클러스터링 시스템 간 동기화

33/33

접근 제어

윈도우 서버 2008 의 방화벽 [ 제어판 ]-[ 관리 도구 ]-[ 서버 관리자 ] 의 [ 구성 ]-[ 고급 보안이 설정된 Windows

방화벽 ] 의

인바운드 /아웃바운드 규칙을 통해 설정 인바운드 : 시스템의 네트워크 인터페이스를 통해 시스템 외부에서 시스템 내부의

서비스 방향 , 또는시스템의 클라이언트 방향으로 흘러들어오는 네트워크 트래픽 아웃바운드 : 인바운드의 반대 개념 방화벽은 일반적으로 인바운드 /아웃바운드의 규칙을 별도로 설정

34/33

새 규칙 생성 마법사 시작

윈도우 서버 2008 : [ 서버 관리자 ] 의 [ 구성 ]-[ 고급 보안이 설정된 Windows 방화벽 ]-

[ 인바운드 규칙 ] 을 선택 ‘작업’창에서‘새 규칙’ 선택 규칙을 설정할 수 있는‘새 인바운드 규칙 마법사’가 실행

[ 그림 10-57] 서버 관리자에서 새 인바운드 규칙 마법사 시작

실습 10-3 윈도우 방화벽 규칙 적용하기

1

35/33

생성 규칙 선택

‘새 인바운드 규칙 마법사’ 실행 후 ,‘규칙종류’ 선택 • 프로그램 : 윈도우에 설치된 프로그램별로 접근 권한을 설정한다 .

• 포트 : 포트 번호별로 접근 권한을 설정한다 .

• 미리 정의됨 : 미리 정의된 프로그램 또는 포트 번호별 ( 서비스 ) 로 접근 권한을 설정한다 .

• 사용자 지정 : 프로그램별로 특정 포트에 대한 접근 권한을 설정한다

‘포트’ 선택

[ 그림 10-58] 포트 번호별 접근 권한 설정


2

36/33

프로토콜 및 포트 선택

프로토콜의 종류와 포트 번호 선택

[ 그림 10-59] TCP 프로토콜의 8080 포트에 대해 접근 권한 설정


3

37/33

연결 허용 및 차단 여부 설정

연결 허용은 일반 허용과 IPSec 으로 보호된 연결에 대한 허용

[ 그림 10-60] 연결 허용 및 차단 설정


4

38/33

방화벽 규칙 적용 네트워크 선택

도메인 , 개인 , 공용 중 네트워크 환경 선택

[ 그림 10-61] 방화벽 규칙 적용 환경 설정


5

39/33

방화벽 접근 제어 규칙 이름과 설명 입력

설정한 접근 제어 규칙의 이름과 설명 입력

[ 그림 10-62] 방화벽 접근 제어 규칙에 대한 이름과 설명 입력


6

40/33

설정한 규칙 목록에서 확인

[ 그림 10-63] 설정한 인바운드 규칙 확인


41/33

방화벽 접근 제어 규칙 확인

설정한 인바운드 규칙에서 마우스 오른쪽 버튼 눌러 [ 속성 ] 메뉴 선택 설정한 인바운드

규칙에 대한 사항 확인 [ 일반 ] 탭 : 포트 이름과 그 규칙이 연결 허용에 대한 것인지 차단에 대한 것인지 확인

[ 그림 10-64] 설정한 인바운드 규칙 속성의 [ 일반 ] 탭


7

42/33

IP 단위로 접근제어 가능 시스템 설정

[ 사용자 및 컴퓨터 ] 탭에서는 접근이 가능한 특정 컴퓨터와 사용자를 , [ 영역 ] 탭에서는 접근이 가능한 컴퓨터를 IP 단위로 설정

[ 그림 10-65] 설정한 인바운드 규칙 속성의 [ 사용자 및 컴퓨터 ] 와 [ 영역 ] 탭


8

43/33

파일과 디렉터리 관리 관리

NTFS 에서 설정한 디렉터리 및 파일에 대한 접근 권한 설정 규칙 • 규칙 1. NTFS 접근 권한은 누적 - 개별 사용자가 여러 그룹에 속한 경우 특정 파일이나 디렉터리에 대한 접근 권한 누적• 규칙 2. 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선 - 파일이 포함된 디렉터리의 권한보다 파일에 대한 권한 설정이 우선• 규칙 3‘. ’ ‘ ’ 허용 보다 거부 가 우선 - 중첩 권한 중 명백한‘거부’설정이 있으면‘허용’보다‘거부’가 우선 적용

44/33

디렉터리에 대한 기본 권한 설정

임의의 폴더 ( 디렉터리 ) 에서 마우스 오른쪽 버튼 눌러 [ 속성 ] 메뉴 선택한 후

[ 보안 ] 탭 선택 . <편집> 버튼을 누르면 접근 권한 편집

[ 그림 10-66] 생성한 wishfree 폴더의 [wishfree 속성 ]-[ 보안 ] 탭과 권한 편집

실습 10-4 파일과 디렉터리 권한 설정하기

1

45/33

NTFS 에서 설정할 수 있는 디렉터리 권한의 종류

• 모든 권한 : 디렉터리에 대한 접근 권한과 소유권 변경 , 서브 폴더와 파일 삭제

• 수정 : 폴더 삭제‘ , 읽기및 실행’과 ‘쓰기’가 동일 권한

•읽기 및 실행 : 읽기 수행 , 디렉터리나 파일 이동

•폴더 내용 보기 : 디렉터리의 파일이나 서브 디렉터리의 이름 볼 수 있다 .

•읽기 : 디렉터리의 내용 읽기만 가능

•쓰기 : 디렉터리의 서브 디렉터리와 파일 생성 , 소유권이나 접근 권한 설정 내용 확인


46/33

디렉터리에 대한 특정 권한 설정

[ 그림 10-66] 왼쪽 화면의 < 고급> 버튼 눌러 설정

[ 그림 10-67] 고급 보안 설정 창의 확인


2

47/33

<편집> 버튼 눌러 사용자 계정과 그룹 추가하여 개별적으로 권한 설정 다시 <편집> 버튼 누르면 상세한 권한 목록 확인

[ 그림 10-68] 고급 보안 설정 창에서 사용 권한 편집창 확인


48/33

6 가지 권한과 맵핑 [ 표 10-4] 기본 권한별 상세 권한 맵핑


구분 모든 권한 수정 읽기 및 실행 폴더 내용 보기 읽기 쓰기

폴더 열기 /파일 실행 ○ ○ ○ ○

폴더 목록 /데이터 읽기 ○ ○ ○ ○ ○

특성 읽기 ○ ○ ○ ○ ○

확장 특성 읽기 ○ ○ ○ ○ ○

파일 만들기 /데이터 쓰기

○ ○ ○

폴더 만들기 /데이터 추가

○ ○ ○

특성 쓰기 ○ ○ ○

확장 특성 쓰기 ○ ○ ○

하위 폴더 및 파일 삭제 ○

삭제 ○ ○

권한 읽기 ○ ○ ○ ○ ○ ○

변경 권한 ○

소유권 가져오기 ○

동기화 ○ ○ ○ ○ ○ ○

49/33

유효 권한 확인 방법 윈도우 서버 2008 : ‘ ’ 유효 권한 확인 기능 ( 실직적 권한 확인 용이 ) 고급 보안 설정 창에서 [ 유효 사용 권한 ] 탭 선택 계정 및 그룹별 유효 사용 권한 확인 특정 사용자 계정 및 그룹의 유효 권한을 확인하려면 확인 할 계정이나 그룹 선택

[ 그림 10-69] 고급 보안 설정 창에서 [ 유효 사용 권한 ] 탭


3

50/33

< 고급> 버튼 누르고 일반 계정인 user 계정 선택

[ 그림 10-70] 사용자 또는 그룹 선택 화면


51/33

user 계정 선택 후 , < 확인 > 버튼 누르면 [ 유효 사용 권한 ] 탭에서 user 계정 에 대한

실질 권한 목록 확인

[ 그림 10-71] 선택한 계정 및 그룹에 대한 유효 권한 확인


52/33

EFS 설정• 파일이나 디렉터리의 등록 정보의 [ 일반 ] 탭에서 < 고급 > 버튼 누른다 . • 파일에 대한 압축과 암호화를 지원하는데 , 암호화한 파일이나 디렉터리는 관리자와 생성자만 읽을 수 있음

[ 그림 10-72] 임의의 디렉터리 속성의 [ 일반 ] 탭 [ 그림 10-73] EFS 적용을 위한 설정 창


53/33

패치

윈도우는 소스 코드의 비공개 원칙 MS 를 통해서만 패치를 받을 수 있음 패치 서비스 사 이트에 접속하면 원격에서 현재 시스템에 대한 패치 정보 수집하여

적절한 패치 권장

IT CookBook, 정보 보안 개론과 실습 : 시스템 해킹과 보안 (개정판 )

Documents

윈도우 시스템 보안 설정 ( 윈도우 서버 2008)