본문 바로가기

보안

보안기사 - 윈도우 서버의 계정 관리, 서비스 관리, 로그 관리(감사정책)

계정 관리


Administrator 계정 이름 변경

유추하기 어려운 관리자 계정명으로 변경

제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 에서 계정명 확인

제어판 > 관리도구 > 로컬보안정책 > 로컬정책 > 보안옵션 의 '계정:Administrator 계정 이름 바꾸기'를 통해 변경

Gurest 계정 사용 제한

Gurest 계정은 외부 사용자가 컴퓨터를 잠시 접근할 수 있는 계정
불특정 사용자의 시스템 접근을 허용하는 취약한 계정이므로 사용제한을 권장

불특정 다수의 접근이 필요한 경우 Guest 계정이 아닌 일반 사용자 계정을 생성해 사용하도록

제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 에서 Guest 계정 선택 후 '계정 사용 안함' 적용

불필요한 계정 제거

제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 에서 불필요한 계정에 대한 '삭제' 또는 '계정 사용 안함'

관리자 그룹에 최소한의 사용자 포함

제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 그룹 에서 'Administrators' 그룹 선택 후 불필요한 계정 확인하여 제거

암호/패스워드 정책 설정

제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 암호 정책 선택

  1. 패스워드 복잡성 설정
  2. 최근 패스워드 기억 설정 (12개 이상 권장)
  3. 패스워드 최대 사용 기간 설정 (90일 이하 권장, 계정 속성의 '암호 사용 기간 제한 없음' 해제)
  4. 패스워드 최소 사용 기간 설정 (0보다 큰 값 권장(보통 1)
  5. 패스워드 최소 길이 설정 (8 이상 권장)
  6. 해독 가능한 암호화 사용 설정 (사용 안함 설정)

계정 잠금 정책

제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 계정 잠금 정책 선택

  1. 계정 잠금 기간 (60분 이상 권장)
  2. 계정 잠금 임계값 (5 이하 권장)
  3. 다음 시간 후 계정 잠금 수를 원래대로 설정 (60분 이상 권장)

서비스 관리


하드디스크 기본 공유 제거

Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성
    하드디스크 기본 공유 : C$, D$ 등
    원격 관리 및 IPC용 기본 공유 : ADMIN$, IPC$

하드디스크 기본 공유 제거하지 않으면 기본 공유 폴더를 통해 인가받지 않은 사용자가 하드디스크 내의 폴더나 파일에 접근하거나 바이러스가 침투하는 경로가 될 수 있다

  • 보안설정
    1. 제어판 > 관리도구 > 시스템 도구 > 공유 폴더 > 공유 선택하여 하드디스크 기본 공유 설정 확인
    2. 관리화면에서 공유 중지를 하거나 net share 명령을 통해 공유 중지 가능
      단, 기본공유의 경우 공유 중지를 해도 운영체제가 재시작 되면 다시 생성되므로 레지스트리 수정이 필요
      (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 선택 후 'AutoShareServer' DWORD값 생성 후 0으로 설정)

공유 권한 및 사용자 그룹 설정

공유 폴더에 Everyone 그룹이 포함되어 있으면 익명 사용자에 의한 접근이 가능하므로 Everyone 그룹 제거

제어판 > 관리도구 > 시스템 도구 > 공유 폴더 > 공유 선택하여 공유 폴더의 사용 권한 확인, Everyone 그룹이 있으면 제거

불필요한 서비스 제거

취약한 서비스들이 디폴트로 설치되어 실행되고 있으면 공격 지점이 될 수 있으므로 사용하지 않거나 제거

  • ex
    Alerter (서버에서 클라이언트로 경고 메시지 전송)
    Clipbook (서버 내 Clipbook을 다른 클라이언트와 공유)
    Messenger (net send 명령어를 이용하여 클라이언트에 메시지 전송)
    Simple TCP/IP Services (Echo, Discard, Character Generator, Daytime, Quote of the Day)

  • 보안설정
    1. 제어판 > 관리도구 > 서비스 에서 불필요한 서비스 확인
    2. 불필요한 서비스가 시작상태이면 이를 중지한 후 시작 유형을 '사용 안함'으로 선택

로그 관리 - 감사정책 설정


  • 윈도우 운영체제의 감사정책
    어떤 로그를 남길지를 정의한 규칙
    감사 정책을 설정하게 되면 감사 정책에 의해 지정한 이벤트 범주에 대해서만 로그가 남는다

  • 권장 감사 정책 설정
감사 항목 권장값     설명
개체 엑세스 감사안함     파일, 디렉터리, 레지스트리, 프린터 등의 객체에 대한 접근 성공/실패 여부 기록할지 결정
계정 관리 실패     계정 관리 이벤트를 감사할지 여부 결정
    사용자 계정 또는 그룹의 생성, 변경, 삭제, 암호의 설정 및 변경 등의 이벤트 성공/실패 로그를 기록
계정 로그온 이벤트 성공, 실패     도메인 계정에 대한 로그온 성공/실패 관련 이벤트 로그를 기록할지 결정
권한 사용 실패     권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트 생성
디렉터리 서비스 액세스 실패     Active Directory 개체의 시스템 액세스 컨트롤 목록(SACL)에 나열된 사용자가 해당 개체에 액세스를
    시도할 때 이벤트 생성
로그온 이벤트 성공, 실패     로컬 계정에 대한 로그온/오프 성공/실패에 대한 이벤트를 기록할지 결정
시스템 이벤트 감사안함     시스템 시작 또는 종료, 보안 로그에 영향을 미치는 이벤트 등을 감사할지 여부를 결정
정책 변경 성공, 실패     감사 정책 변경의 성공 및 실패를 감사
프로세스 추적 감사안함     실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 프로세스 생성, 프로세스 종료, 핸들
    복제 및 간접 개체 액세스 같은 프로세스 관련 이벤트를 감사할지 여부를 결정

'보안' 카테고리의 다른 글

보안기사 - OSI 7 layer  (0) 2020.04.20
보안기사 - 시스템 문제편  (0) 2020.04.19
보안기사 - UNIX/Linux 서버 취약점  (0) 2020.04.18
보안기사 - 시스템 해킹  (0) 2020.04.18
보안기사 - UNIX/Linux 로그  (0) 2020.04.17