윈도우 시스템 보안 설정 ( 윈도우 서버 2008)
DESCRIPTION
10. 윈도우 시스템 보안 설정 ( 윈도우 서버 2008). 학습목표 윈도우의 계정 관리를 이해한다. 윈도우에 설정 가능한 보안 설정사항을 이해한다. 윈도우에서 운영되는 네트워크 서비스의 취약점을 이해한다. 윈도우에서 운영되는 네트워크 서비스의 취약점에 대한 보안 설정할 수 있다. 윈도우에서 네트워크 및 파일 시스템에 대해 접근 제어 설정할 수 있다 . 내용 계정 정책 로컬 정책 데몬 관리 접근 제어 파일과 디렉터리 관리 패치. 계정 정책. 계정 관리 보안의 기본 , 패스워드 관리 - PowerPoint PPT PresentationTRANSCRIPT
IT CookBook, 정보 보안 개론과 실습 : 시스템 해킹과 보안 (개정판 )
윈도우 시스템 보안 설정 ( 윈도우 서버 2008)
2/33
Contents
학습목표 윈도우의 계정 관리를 이해한다 . 윈도우에 설정 가능한 보안 설정사항을 이해한다 . 윈도우에서 운영되는 네트워크 서비스의 취약점을 이해한다 . 윈도우에서 운영되는 네트워크 서비스의 취약점에 대한 보안 설정할 수
있다 . 윈도우에서 네트워크 및 파일 시스템에 대해 접근 제어 설정할 수 있다 .
내용 계정 정책 로컬 정책 데몬 관리 접근 제어 파일과 디렉터리 관리 패치
3/33
계정 정책
계정 관리 보안의 기본 , 패스워드 관리 패스워드 : 보안의 첫번째 방벽
• 주기적으로 크래킹 , 취약한 패스워드를 가진 계정 체크
계정 생성 반드시 문서화 기록 , 불필요한 계정 주기적 삭제 윈도우에서 Administrator 가 윈도우의 기본 계정임을 알고 있어 계정을 변경 필요 [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터관리 ] 의 사용자 목록이나 명령 창‘ net user’ 명령 이용
확인 [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터 관리 ] 의 사용자 관리 창 Administrator 계정 이름
바꾸기암호 정책
계정에 대한 정책 적용 : [ 제어판 ]-[ 관리도구 ]-[ 로컬 보안 설정 ] 에서 설정 암호 정책 : 최소 암호길이와 사용 기간 설정
계정 잠금 정책 계정 잠금 임계값 : 일정 수 이상의 잘못된 로그인 시도시 계정 사용 금지토록하는 횟수 ( 보통 5 회로 설정 ) 계정 잠금 기간 : 잘못된 로그인 시도로 계정이 잠기는 기간 다음 시간 후 계정 잠금 수를 원래대로 설정 : 이 값을 2 일로 지정하면 2 일 후 시스템에
지정된 잘못된 로그인 시도 값이 0 으로 초기화
4/33
로컬 정책
사용자 권한 할당 네트워크에서 이 컴퓨터 엑세스 / 엑세스 거부
• 기본 설정 : [ 네트워크에서 이 컴퓨터 액세스 ] 속성 창에는 현재 시스템의 모든 그룹에 , • [ 네트워크에서 이 컴퓨터 액세스 거부 ] 속성 창은 비움• 하나의 사용자가 액세스에도 액세스 거부에도 존재 시 윈도우의 설정 대부분 거부 우선권• 거부 설정 시 : ‘ 네트워크에서 이 컴퓨터 액세스’등록여부 관계없이 원격 로그인 불가능
로컬 로그온 허용 /거부• ‘ 네트워크에서 이 컴퓨터 액세스 거부’ 설정 : 원격에서만 접속 불가능• ‘ 로컬 로그온 거부’ : 원격 접속가능 하지만 로컬에서 접속 불가능• 둘 다 설정 : 계정 사용 중지와 동일
시스템 종료 /원격에서 강제로 시스템 종료• 윈도우 서버 2008 : Administrators, Backup Operators 그룹만 로컬에서 시스템 종료• 윈도우 서버 2003 : 윈도우 서버 2008 과 동일• 윈도우 서버 2000 : Power Users 그룹도 가능• 시스템 원격 강제 종료 가능 그룹 : Administrator 뿐 ( 그룹관리에 유의 )• 윈도우 서버 2008 에서는 각 속성 설정 창에서 설명 탭 제공
5/33
로컬 정책
보안 옵션 감사 : 보안 감사를 로그할 수 없는 경우 시스템 종료
• 감사 (Auditing) 로그가 꽉 차거나 정상적 로그인 시행할 수 없을 때 시스템 재부팅하는 설정• 시스템 운영보다는 사용 기록이 중요하다면 감사 옵션 활성화• 사용 기록보다는 정상운영이 중요하다면 비활성화
로그인 절차 관련• 대화형 로그온 : 마지막 사용자 이름 표시 안 함 - 윈도우 서버 2000 과 윈도우 서버 2003 : 마지막 로그인한 사용자 계정 로그인 창에 뜸 - 윈도우 서버 2008 : 계정 목록 뜸 - 이런 설정은 해당 시스템에 어떤 계정이 존재하는지 알 수 있게 함 - 계정 노출 방지 위해 ‘로그인 스크린에 마지막 사용자 이름 표시 안함’을 ‘사용’으로 바꿈• 대화형 로그온 : 로그온 시도하는 사용자에 대한 메시지 제목 /텍스트 - GUI 환경의 터미널 접속에서 경고 창 생성해 로그인 시도자에게 알려주기 위한 설정 - 경고 창 : 해커에게 심적 부담을 줌으로써 경고• 시스템 종료 : 로그온하지 않고 시스템 종료 허용 - 윈도우 NT : 기본 활성화 - 윈도우 서버 2000 부터 : 기본 설정 금지된 옵션- 이 항목을 사용으로 바꾸면 , 오른쪽 아래에 < 시스템 종료 > 버튼 활성화
6/33
로컬 정책
인증 관련 • 네트워크 보안 : LAN Manager 인증 수준 - 윈도우 : 패스워드 인증 시 LM, NTML, NTMLv2 등의 인증 프로토콜 사용 - 윈도우 서버 2008 : ‘ 네트워크 보안 :LAN Manager 인증 수준 속성’에서 네트워크
로그인에 사용되는 시도 /응답 인증 프로토콜 설정
- 기본 값 : ‘NTLMv2 응답만 보내기’로 NTLMv2 만 인증 프로토콜 허용• ‘ 네트워크 보안 :LAN Manager 인증 수준 속성’ 항목 - LM 및 NTLM 응답 보내기 - NTLMv2 응답만 보내기 /LM 거부 - NTLMv2 응답만 보내기 /LM 및 NTLM 거부• 네트워크 보안 : 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함 - LM 해시는 NT 해시에 비해 약하기 때문에 공격에 노출 용이 - LM 해시가 보안 데이터베이스의 로컬 컴퓨터에 저장되므로 보안 데이터 베이스 공격 받으면 암호가 노출 가능 - 윈도우 비스타 이후의 시스템에서는 LM 해시 값을 시스템에 기본 저장하지 않는다 .• 네트워크 보안 : 로그온 시간이 만료되면 강제로 로그오프 - 로컬 컴퓨터에 연결된 사용자가 사용자 계정의 유효한 로그온 시간이 지난 경우 사용자의 - 연결을 끊을 것인지 여부에 대한 설정
7/33
데몬 관리
동작 중인 서비스 확인
[ 그림 10-18] 윈도우 서버 2008 nmap 스캔 결과
주요 서비스 보안 설정 FTP(File Transfer Protocol, 21)
• [ 제어판 ]-[ 관리도구 ]-[IIS( 인터넷정보서비스 ) 6.0 관리자 ] 에서 설정 확인• FTP 사용하지 않으면 보안을 위해 중지• 가장 일반적인 FTP 취약점 : 익명 계정 (Anonymous) 의 로그인 허용 ( 윈도우
시스템에서는 익명 계정이 기본 허용 )
8/33
FTP 보안 : [ 제어판 ]-[ 관리 도구 ]-[IIS( 인터넷 정보 서비스 ) 6.0 관리자 ], [ 속성 ] 메뉴
세션 설정
FTP 속성의 [FTP 사이트 ] 탭에서 FTP 서버 IP 주소와 TCP 포트 번호
세션에 대한 제한 설정
[ 그림 10-21] FTP 속성의 [FTP 사이트 ] 탭
실습 10-1 윈도우 FTP 서비스 보안 설정하기
1
9/33
로그 정책 설정
기본 값 : ‘ 로깅 사용’ , W3C(World Wide Web Consotium) 형식 로그 기본 사용
[ 그림 10-22] FTP 로그에 대한 속성 창
로그 파일 디렉터리 (C:\Windows\system32\LogFiles)
[ 그림 10-23] 2011-02-26 일자 FTP 로그 파일 확인
실습 10-1 윈도우 FTP 서비스 보안 설정하기2
10/33
익명 연결 허용 여부 설정
익명 계정을 사용 않으면 ‘익명 연결 허용’ 체크하지 않는 것이 좋음
[ 그림 10-24] FTP 속성의 [ 보안 계정 ] 탭
실습 10-1 윈도우 FTP 서비스 보안 설정하기3
11/33
FTP 배너 출력
FTP 에서 접속 시에 배너 출력 가능 배너 : FTP 서비스의 내용에 대한 안내 , 불법적인 접근에 대한 경고 포함
[ 그림 10-25] FTP 속성의 [ 메시지 ] 탭과 배너 설정
실습 10-1 윈도우 FTP 서비스 보안 설정하기4
12/33
FTP 홈 디렉터리 권한 설정
FTP 속성의 [ 홈 디렉터리 ] 탭 : FTP 기본 디렉터리 지정 , 디렉터리에 대한 FTP 계정의
권한 설정 ( 기본 권한은 읽기만 가능 )
[ 그림 10-26] FTP 속성의 [ 홈 디렉터리 ] 탭
실습 10-1 윈도우 FTP 서비스 보안 설정하기5
13/33
FTP 서비스 접근 제어 설정
FTP 서비스에 대한 접근 제한 설정 : [ 디렉터리 보안 ] 탭
[ 그림 10-27] FTP 속성의 [ 디렉터리 보안 ] 탭
실습 10-1 윈도우 FTP 서비스 보안 설정하기5
14/33
데몬 관리
SMTP(Simple Mail Transfer Protocol, 25)• 텔넷을 이용한 배너 그래빙 (Banner Grabbing) : SMTP 버전과 운영체제 예상
[ 그림 10-28] SMTP 버전 확인• 필요치 않으면 중지
[ 그림 10-29] SMTP 서비스 확인
telnet 192.168.75.129 25
15/33
데몬 관리
• SMTP 는 기본적으로 로깅하지 않도록 설정• 이용하려면 ‘로깅 사용’을 체크하여 < 속성 > 버튼 활성화
[ 그림 10-30] SMTP 속성의 [ 일반 ] 탭
16/33
데몬 관리
• < 속성 > 버튼 클릭하면 FTP 처럼 로깅에 대한 여러 속성을 선택• SMTP 에는 기본 로깅 항목이 설정되어 있지 않아 , 필요에 따라 로깅 항목 결정 , 선택• [ 고급 ] ‘ ’ 탭 확장된 로깅 옵션 에서 로깅으로 설정 가능한 항목 목록을 확인 , 각 항목별 선택
로깅• 항목 설정 항목 중 날짜 , 시간 , 클라이언트의 IP 주소 , 사용자 이름 , 서버 IP 주소는 필수로깅
• SMTP 의 로그 파일 C:/Windows/system32/logfiles/smtpsvc1 에 저장
[ 그림 10-31] SMTP 로그 스케줄 설정과 로깅 옵션 선택
17/33
데몬 관리
• SMTP 속성의 [ 액세스 ] 탭 : FTP 서비스처럼 특정 IP 와 네트워크에 대해 접근 제어 설정• 릴레이 제한 : 자신에게 전달되는 메일을 다른 메일 서버로 전달해주도록 설정
[ 그림 10-32] SMTP 속성의 [ 액세스 ] 탭과 연결 제어와 SMTP 릴레이 제어
18/33
데몬 관리
HTTP(HyperText Transfer Protocol, 80)• IIS 관리자 실행 : [ 제어판 ]-[ 관리도구 ]-[IIS( 인터넷 정보 서비스 ) 관리자 ]
[ 그림 10-33] ‘Default Web Site’ 에서 설정 메뉴 확인
19/33
데몬 관리
• 기본 문서 설정- 기본 문서 : www.wishfree.com 과 같이 URL 로 웹 사이트에 접근시 기본으로 선택되는 웹 문서
- 기본 문서 설정 : Default.htm 과 같이 사용하지 않는 기본문서 제거• SSL(Secure Socket Layer) 또는 HTTPS 설정 - SSL(HTTPS) 은 443 번 포트 사용 , 암호화된 웹 접속 가능케 함 - 40 비트 또는 128 비트 선택• 디렉터리 목록화 금지 설정 - 디렉터리 검색 : 해당 디렉터리 목록 일괄적으로 출력• 로깅 설정 - W3C 형식의 로그 사용
20/33
데몬 관리
LOC-SRV(135), NETBIOS-SSN(139), SMB(Server Message Block, 445)• NetBIOS 프로토콜 : 윈도우 랜상에서 윈도우 시스템 이름 확인 , 폴더 및 파일 공유[ 표 10-1] 윈도우 NetBIOS 관련 프로토콜
• NetBIOS 관련 취약점 : Null 세션과 관리자 공유 - 레지스트리 편집기에서 HKEY_ LOCAL_MACHINE\Syste\CurrentControlSet\Control\Lsa 의
restrictanonymous 값을 2 로 설정하면 Null 세션을 생성 불가• 관리자 기본 공유 제거 : [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터 관리 ] 의 [ 시스템 도구 ]-[ 공유 폴더 ]
• NetBIOS 를 이용한 원격 셀 생성 - 윈도우 서버 2008 은 psexec(Process Execution) 를 사용하여 생성 불가 - 윈도우 서버 2000 과 2003 에서는 생성 가능• 로그인 : psexec 툴 이용 원격 시스템에 관리자 권한을 가진 계정 (wishtobefree) 으로 시도
프로토콜 포트 서비스
TCP 135 RPC/DCE 종단 맵퍼
UDP 137 NetBIOS 이름 해석 서비스
UDP 138 NetBIOS 데이터그램 서비스
TCP 139 NetBIOS 세션 서비스 (SMB/CIFS over NetBIOS)
TCP/UDP 445 Direct Host(SMB/CIFS over TCP)
21/33
데몬 관리
• 레지스트리 관련 보안 설정 사항 - 가장 강력한 방법 : NetBIOS 프로토콜 사용 않는 것 - 제어판의 네트워크 설정에 대한 등록정보에서 ‘ Microsoft 네트워크용 클라이언트’프로토콜만
남겨두고 ,‘ Microsoft 네트워크용 파일 및 프린터 공유’프로토콜 사용 않는 것 . 이렇게 설정하면
본인의 시스템에서 NetBIOS 프로토콜 이용 다른 시스템 접근 가능 , 다른 시스템에서는 본인의
시스템에 NetBIOS 프로토콜 이용 접근 불가 , 또한 psexec 를 통한 셸 생성 역시 불가능
22/33
데몬 관리
MS Terminal Service(3389)• MS-Term-Service 포트 : GUI(Graphic User Interface) 기반 윈도우 터미널 서비스제공
• 윈도우 터미널 서비스 - 윈도우 서버 2008 이후 버전부터 새로운 보안 옵션 제공 - [ 내 컴퓨터 ] 에서 마우스 오른쪽 버튼 [ 속성 ] 메뉴 선택 ‘원격 설정’항목 클릭 해당 옵션 확인•‘ 원격 데스크톱’에 대한 설정 ➊ 이 컴퓨터에 대한 연결 허용 안 함 ➋ 모든 버전의 원격 데스크톱을 실행 중인 컴퓨터에서 연결 허용 ( 보안 수준 낮음 ) ➌ 네트워크 수준 인증 가진 원격 데스크톱 실행 중인 컴퓨터에서만 연결 허용 ( 보안수준 높음 ) - 터미널 서비 사용 조건 • 터미널 서비스 클라이언트 : ‘ 원격 데스크톱 연결 6.0’ 이상 사용 •클라이언트 컴퓨터 : CredSSP(Credential Security Support Provider) 프로토콜 지원하는
윈도우 서버 2008/ 비스타 /XP 서비스 팩 3 등의 운영체제 사용 • 서버 컴퓨터 : 윈도우 서버 2008 이상 버전의 운영체제 실행
23/33
TCP Wrapper 암호화 및 세션 관리 설정
터미널 서비스 보안 설정 : [ 제어판 ]-[ 관리도구 ]-[ 터미널 서비스 ]-[ 터미널 서비스구성 ]
[ 그림 10-47] ‘ 터미널 서비스 구성’에서 터미널에 대한 속성 열람
실습 10-2 윈도우 터미널 서비스 보안 설정하기
1
24/33
‘ ’ ‘연결 항목 RDP-Tcp’ 에서 마우스 오른쪽 버튼 눌러 [ 속성 ] 메뉴 선택 [ 일반 ] ‘ ’ ‘ ’ 탭에서 보안과 관련한 보안 계층 과 암호화 수준 설정 ‘ ’ 네트워크 수준 인증 이 가능한 클라이언트만 접속할 수 있게 제한하는 체크 박스 확인
[ 그림 10-48] RDP-Tcp 속성의 [ 일반 ] 탭
실습 10-2 윈도우 터미널 서비스 보안 설정하기
25/33
[ 표 10-2] ‘ 보안 계층’항목 내용
실습 10-2 윈도우 터미널 서비스 보안 설정하기
항목 내용
SSL(TLS 1.0)
서버를 인증하고 서버와 클라이언트 간 전송되는 모든 데이터를 암호화한다 .
RDP 보안 계층
기본 RDP 암호화를 사용하여 서버와 클라이언트가 통신한다 .
선택하면 네트워크 수준 인증을 사용할 수 없다
협상 기본 설정으로 , 클라이언트에서 지원하는 가장 안전한 계층을 사용한다 .
SSL(TLS 1.0) 의 사용이 가능한 경우 SSL(TLS 1.0) 을 사용하고 , 그렇지 않으면
RDP 보안 계층을 사용한다 .
26/33
[ 표 10-3] ‘ ’ 암호화 수준 항목 내용
RDP-Tcp 속성의 [ 세션 ] 탭 : 터미널 서비스 세션에 대한 보안 정책 적용 ‘ 사용자 설정 무시’체크 한 후 세션에 대해 강제적 적용 ‘ 활성 세션 제한’ 설정 : 사용자가 터미널을 이용할 수 있는 최대 시간에 대한 설정 ‘ 유휴 세션 제한’ 설정 : 사용자가 터미널을 통해 데이터를 보내지 않을 때의 세션 유지
시간설정
실습 10-2 윈도우 터미널 서비스 보안 설정하기
항목 내용
낮음 56 비트 암호화를 사용해 클라이언트에서 서버로 보내는 데이터를 암호화 한다
서버에서 클라이언트로 보내는 데이터는 암호화하지 않는다 .
높음 128 비트 암호화를 사용해 클라이언트와 서버 간 주고받는 데이터를 암호화한다
원격 데스크톱에서 연결 클라이언트와 같이 128 비트 클라이언트만으로 구성된
환경에서 터미널 서버가 실행되는 경우에 사용한다 . 이 암호화 수준을 지원하지
않는 클라이언트는 연결할 수 없다 .
FIPS 규격 FIPS(Federal Information Processing Standard) 140-1 에서 검증한 암호화
방식을 사용해 클라이언트와 서버 간 주고받는 데이터를 암호화하고 해독한다 .
이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없다 .
클라이언트 호환 가능
기본 설정으로 , 클라이언트에서 지원하는 최대 키 강도로 클라이언트와 서버 간
주고받는 데이터를 암호화한다
27/33
원격제어 권한 관리
[ 원격제어 ] 탭 : 터미널 이용한 접근 권한 설정 사용자 기본설정 사용 ‘ 원격 제어’로 설정 : 로그인한 사용자 계정의 권한 따름 ‘ 원격 제어할 수 없음’으로 설정 : 로그인한 계정에 관계없이 원격 제어 불가능 ‘ 다음 설정을 사용하여 원격 제어’로 설정 : 터미널접속 허용한 서버에 접속 허용 필요
[ 그림 10-49] RDP-Tcp 속성의 [ 세션 ] 과 [ 원격 제어 ] 탭
실습 10-2 윈도우 터미널 서비스 보안 설정하기
2
28/33
원격 제어 인터페이스 제한
RDP-Tcp 속성의 [ 네트워크 어댑터 ] 탭 : 터미널 접속 위해 접근해야 하는 네트워크
어댑터 설정
[ 그림 10-50] RDP-Tcp 속성의 [ 네트워크 어탭터 ] 탭
실습 10-2 윈도우 터미널 서비스 보안 설정하기
3
29/33
터미널 서비스 사용자 제한
[ 보안 ] 탭 : 터미널 사용 가능한 사용자에 대한 접근 권한 설정
[ 그림 10-51] RDP-Tcp 속성의 [ 보안 ] 탭
실습 10-2 윈도우 터미널 서비스 보안 설정하기
4
30/33
터미널 서비스 연결 세션 ( 사용자 ) 확인
터미널 서비스의 현재 사용자 목록 [ 제어판 ]-[ 관리도구 ]-[ 터미널 서비스 ]-[ 터미널 서비스 관리자 ] 에서 확인
[ 그림 10-52] 터미널 연결에 대한 속성 설정
실습 10-2 윈도우 터미널 서비스 보안 설정하기
5
31/33
터미널 서비스 포트 변경
터미널 서비스는 3389 포트 기본 사용 서비스 포트를 임의의 다른 포트로 바꿔 보안 포트 번호 레지스트리 편집기 이용 변경 레지스트리키 값 :‘HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Control\TerminalServer\Wds\Rdpwd\Tds\Tcp\PortNumber’
[ 그림 10-53] 터미널 서비스 포트 번호 설정
실습 10-2 윈도우 터미널 서비스 보안 설정하기
6
32/33
데몬 관리
기타 서비스 보안 설정 SNMP(Simple Network Management Protocol, 161)
• NMS(Network Management System) 가 사용 프로토콜 , 네트워크 및 네트워크상의 장비 관리
• 계정 목록 및 세션 정보 등 너무 많은 정보 노출시켜 해킹에 자주 이용• [ 제어판 ]-[ 관리도구 ]-[ 컴퓨터 관리 ]-[ 서비스 ] 에서 서비스 중단
PRINTER(515) : 프린터와 TCP/IP 이용 연결할 때 사용
IIS(1025)• 윈도우 서버 2000 과 2003 : IIS 시스템에서 DCE(Distributed Computing
Environment) 운영 위한 포트로 , 메신저 서비스 운영• 메신저 서비스 운영하는 시스템에 특정 메시지 전송• 메신저 서비스 [ 제어판 ]-[ 관리 도구 ]-[ 컴퓨터 관리 ]-[ 서비스 ] 에서 중지
LSA 또는 nterm(1030)• (1030) 포트는 BBN(Bolt, Beranek and Newman) IAD(Interface Access Device)라고 함
• 브리지 또는 라우터와 IP 이용 통신할 때 조절 역할
MSDTC(3372) : 설정 변경에 대한 클러스터링 시스템 간 동기화
33/33
접근 제어
윈도우 서버 2008 의 방화벽 [ 제어판 ]-[ 관리 도구 ]-[ 서버 관리자 ] 의 [ 구성 ]-[ 고급 보안이 설정된 Windows
방화벽 ] 의
인바운드 /아웃바운드 규칙을 통해 설정 인바운드 : 시스템의 네트워크 인터페이스를 통해 시스템 외부에서 시스템 내부의
서비스 방향 , 또는시스템의 클라이언트 방향으로 흘러들어오는 네트워크 트래픽 아웃바운드 : 인바운드의 반대 개념 방화벽은 일반적으로 인바운드 /아웃바운드의 규칙을 별도로 설정
34/33
새 규칙 생성 마법사 시작
윈도우 서버 2008 : [ 서버 관리자 ] 의 [ 구성 ]-[ 고급 보안이 설정된 Windows 방화벽 ]-
[ 인바운드 규칙 ] 을 선택 ‘작업’창에서‘새 규칙’ 선택 규칙을 설정할 수 있는‘새 인바운드 규칙 마법사’가 실행
[ 그림 10-57] 서버 관리자에서 새 인바운드 규칙 마법사 시작
실습 10-3 윈도우 방화벽 규칙 적용하기
1
35/33
생성 규칙 선택
‘새 인바운드 규칙 마법사’ 실행 후 ,‘규칙종류’ 선택 • 프로그램 : 윈도우에 설치된 프로그램별로 접근 권한을 설정한다 .
• 포트 : 포트 번호별로 접근 권한을 설정한다 .
• 미리 정의됨 : 미리 정의된 프로그램 또는 포트 번호별 ( 서비스 ) 로 접근 권한을 설정한다 .
• 사용자 지정 : 프로그램별로 특정 포트에 대한 접근 권한을 설정한다
‘포트’ 선택
[ 그림 10-58] 포트 번호별 접근 권한 설정
실습 10-3 윈도우 방화벽 규칙 적용하기
2
36/33
프로토콜 및 포트 선택
프로토콜의 종류와 포트 번호 선택
[ 그림 10-59] TCP 프로토콜의 8080 포트에 대해 접근 권한 설정
실습 10-3 윈도우 방화벽 규칙 적용하기
3
37/33
연결 허용 및 차단 여부 설정
연결 허용은 일반 허용과 IPSec 으로 보호된 연결에 대한 허용
[ 그림 10-60] 연결 허용 및 차단 설정
실습 10-3 윈도우 방화벽 규칙 적용하기
4
38/33
방화벽 규칙 적용 네트워크 선택
도메인 , 개인 , 공용 중 네트워크 환경 선택
[ 그림 10-61] 방화벽 규칙 적용 환경 설정
실습 10-3 윈도우 방화벽 규칙 적용하기
5
39/33
방화벽 접근 제어 규칙 이름과 설명 입력
설정한 접근 제어 규칙의 이름과 설명 입력
[ 그림 10-62] 방화벽 접근 제어 규칙에 대한 이름과 설명 입력
실습 10-3 윈도우 방화벽 규칙 적용하기
6
40/33
설정한 규칙 목록에서 확인
[ 그림 10-63] 설정한 인바운드 규칙 확인
실습 10-3 윈도우 방화벽 규칙 적용하기
41/33
방화벽 접근 제어 규칙 확인
설정한 인바운드 규칙에서 마우스 오른쪽 버튼 눌러 [ 속성 ] 메뉴 선택 설정한 인바운드
규칙에 대한 사항 확인 [ 일반 ] 탭 : 포트 이름과 그 규칙이 연결 허용에 대한 것인지 차단에 대한 것인지 확인
[ 그림 10-64] 설정한 인바운드 규칙 속성의 [ 일반 ] 탭
실습 10-3 윈도우 방화벽 규칙 적용하기
7
42/33
IP 단위로 접근제어 가능 시스템 설정
[ 사용자 및 컴퓨터 ] 탭에서는 접근이 가능한 특정 컴퓨터와 사용자를 , [ 영역 ] 탭에서는 접근이 가능한 컴퓨터를 IP 단위로 설정
[ 그림 10-65] 설정한 인바운드 규칙 속성의 [ 사용자 및 컴퓨터 ] 와 [ 영역 ] 탭
실습 10-3 윈도우 방화벽 규칙 적용하기
8
43/33
파일과 디렉터리 관리 관리
NTFS 에서 설정한 디렉터리 및 파일에 대한 접근 권한 설정 규칙 • 규칙 1. NTFS 접근 권한은 누적 - 개별 사용자가 여러 그룹에 속한 경우 특정 파일이나 디렉터리에 대한 접근 권한 누적• 규칙 2. 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선 - 파일이 포함된 디렉터리의 권한보다 파일에 대한 권한 설정이 우선• 규칙 3‘. ’ ‘ ’ 허용 보다 거부 가 우선 - 중첩 권한 중 명백한‘거부’설정이 있으면‘허용’보다‘거부’가 우선 적용
44/33
디렉터리에 대한 기본 권한 설정
임의의 폴더 ( 디렉터리 ) 에서 마우스 오른쪽 버튼 눌러 [ 속성 ] 메뉴 선택한 후
[ 보안 ] 탭 선택 . <편집> 버튼을 누르면 접근 권한 편집
[ 그림 10-66] 생성한 wishfree 폴더의 [wishfree 속성 ]-[ 보안 ] 탭과 권한 편집
실습 10-4 파일과 디렉터리 권한 설정하기
1
45/33
NTFS 에서 설정할 수 있는 디렉터리 권한의 종류
• 모든 권한 : 디렉터리에 대한 접근 권한과 소유권 변경 , 서브 폴더와 파일 삭제
• 수정 : 폴더 삭제‘ , 읽기및 실행’과 ‘쓰기’가 동일 권한
•읽기 및 실행 : 읽기 수행 , 디렉터리나 파일 이동
•폴더 내용 보기 : 디렉터리의 파일이나 서브 디렉터리의 이름 볼 수 있다 .
•읽기 : 디렉터리의 내용 읽기만 가능
•쓰기 : 디렉터리의 서브 디렉터리와 파일 생성 , 소유권이나 접근 권한 설정 내용 확인
실습 10-4 파일과 디렉터리 권한 설정하기
46/33
디렉터리에 대한 특정 권한 설정
[ 그림 10-66] 왼쪽 화면의 < 고급> 버튼 눌러 설정
[ 그림 10-67] 고급 보안 설정 창의 확인
실습 10-4 파일과 디렉터리 권한 설정하기
2
47/33
<편집> 버튼 눌러 사용자 계정과 그룹 추가하여 개별적으로 권한 설정 다시 <편집> 버튼 누르면 상세한 권한 목록 확인
[ 그림 10-68] 고급 보안 설정 창에서 사용 권한 편집창 확인
실습 10-4 파일과 디렉터리 권한 설정하기
48/33
6 가지 권한과 맵핑 [ 표 10-4] 기본 권한별 상세 권한 맵핑
실습 10-4 파일과 디렉터리 권한 설정하기
구분 모든 권한 수정 읽기 및 실행 폴더 내용 보기 읽기 쓰기
폴더 열기 /파일 실행 ○ ○ ○ ○
폴더 목록 /데이터 읽기 ○ ○ ○ ○ ○
특성 읽기 ○ ○ ○ ○ ○
확장 특성 읽기 ○ ○ ○ ○ ○
파일 만들기 /데이터 쓰기
○ ○ ○
폴더 만들기 /데이터 추가
○ ○ ○
특성 쓰기 ○ ○ ○
확장 특성 쓰기 ○ ○ ○
하위 폴더 및 파일 삭제 ○
삭제 ○ ○
권한 읽기 ○ ○ ○ ○ ○ ○
변경 권한 ○
소유권 가져오기 ○
동기화 ○ ○ ○ ○ ○ ○
49/33
유효 권한 확인 방법 윈도우 서버 2008 : ‘ ’ 유효 권한 확인 기능 ( 실직적 권한 확인 용이 ) 고급 보안 설정 창에서 [ 유효 사용 권한 ] 탭 선택 계정 및 그룹별 유효 사용 권한 확인 특정 사용자 계정 및 그룹의 유효 권한을 확인하려면 확인 할 계정이나 그룹 선택
[ 그림 10-69] 고급 보안 설정 창에서 [ 유효 사용 권한 ] 탭
실습 10-4 파일과 디렉터리 권한 설정하기
3
50/33
< 고급> 버튼 누르고 일반 계정인 user 계정 선택
[ 그림 10-70] 사용자 또는 그룹 선택 화면
실습 10-4 파일과 디렉터리 권한 설정하기
51/33
user 계정 선택 후 , < 확인 > 버튼 누르면 [ 유효 사용 권한 ] 탭에서 user 계정 에 대한
실질 권한 목록 확인
[ 그림 10-71] 선택한 계정 및 그룹에 대한 유효 권한 확인
실습 10-4 파일과 디렉터리 권한 설정하기
52/33
EFS 설정• 파일이나 디렉터리의 등록 정보의 [ 일반 ] 탭에서 < 고급 > 버튼 누른다 . • 파일에 대한 압축과 암호화를 지원하는데 , 암호화한 파일이나 디렉터리는 관리자와 생성자만 읽을 수 있음
[ 그림 10-72] 임의의 디렉터리 속성의 [ 일반 ] 탭 [ 그림 10-73] EFS 적용을 위한 설정 창
실습 10-4 파일과 디렉터리 권한 설정하기
53/33
패치
윈도우는 소스 코드의 비공개 원칙 MS 를 통해서만 패치를 받을 수 있음 패치 서비스 사 이트에 접속하면 원격에서 현재 시스템에 대한 패치 정보 수집하여
적절한 패치 권장
IT CookBook, 정보 보안 개론과 실습 : 시스템 해킹과 보안 (개정판 )