[정보보안개론] - 시스템 보안(윈도우)

현 페이지에서 다룰 시스템 = 서버용 운영체제를 의미함

 

1. 계정 관리

계정(account): 시스템에 접근하는 것이 허가된 사용자인지를 검증하기 위한 정보

- 대부분의 계정 정보는 ID와 PASSWORD의 결합 형태임

• 윈도우의 경우 administrator 계정이 관리자 계정에 해당됨
• 관리자 계정은 컴퓨터를 전체적으로 관리할 수 있는 매우 막강한 권한이 있는 계정임
• 공격자가 관리자 계정을 탈취하면 상당히 심각한 문제가 발생할 수 있음

1) 관리자 계정의 수는 최소화해야 함

제어판 > 시스템 및 보안 > 관리 도구 > 컴퓨터 관리

Administrator 그룹에 구성원 중 굳이 관리자 그룹일 필요가 없다면 관리자 그룹에서 제거해야 함

 

*cmd에서 net localgroup administrators 명령어를 통해서도 확인 가능, net localgroup은 전체 그룹을, net users는 일반 사용자를 보여줌

 

1-2) 관리자 아이디를 변경

윈도우 관리자 계정의 경우 비밀번호 임계치가 없음 -> 로그인 시도가 여러 번 실패해도 계정이 잠기지 않음 -> brute force 공격이 가능함

(현재는 로컬 보안 정책에서 관리자 계정 잠금 허용을 설정할 수 있음)

제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책 or secpol.msc

 

2. 암호 관리

2) 비밀번호 암호 설정

비밀번호는 가장 기본적인 authentication 방법임 -> 강도 높은 비밀번호 설정 권고

로컬 보안 정책에서 암호 정책의 필드에서 필요한 항목들을 설정

 

2-2) 계정 잠금 정책

계정 잠금 임계값 설정을 해주어야 함

 

2-3) 비밀번호 변경

비밀번호의 안전성은 길수록, 자주 변경할수록 안전함

(비밀번호의 변경주기 또한 암호 정책의 최대 암호 사용 기간 필드를 통해 강제할 수 있음)

 

3. 서비스 관리

3) 공유 폴더에 대한 익명 사용자의 접근 방지

인가되지 않은 사용자가 네트워크를 통해 공유 폴더에 접근하는 것을 방지해야함

공유 폴더 생성 중 일부

공유 폴더 생성 시 Everyone 사용자 그룹은 제거해야 함

 

제어판 > 관리 도구 > 컴퓨터 관리 > 공유 폴더 or fsmgmt.msc

해당 프로그램에서 현재 윈도우 서버에서 공유된 폴더들의 목록을 볼 수 있음

 

위의 생성된 ADMIN$, C$, IPC$의 경우 운영체제를 설치할 때 자동으로 생성하는 공유 폴더로(기본 공유 폴더) 네트워크 등을 이용해 컴퓨터 환경에서 원격으로 관리하기 위함임

(그러나 기본 공유 폴더를 통해 인가받지 않은 사용자가 하드디스크 내의 모든 폴더나 파일에 접근할 수 있기 때문에 $C는 지워주는 것이 보안적으로 안전함 

*IPC$는 제거하면 안됨)

 

3-2) 불필요한 서비스 제거

서비스: 일반 사용자의 간섭 없이 백그라운드로 특정 기능을 수행하는 프로그램(= UNIX의 데몬)

services.msc

구분	기능
사용 안 함	설치되어 있으나 실행되지 않음
자동	운영체제가 시작될 때 운영체제가 자동으로 서비스를 시작
수동	운영체제 시작될 때 자동으로 서비스를 시작하지 않지만 다른 서비스나 응용 프로그램에 의해 시작될 수 있는 서비스

 

3-3) FTP 서비스 관리

• ftp 서비스 대상이 디는 파일 시스템의 접근 권한 설정: everyone 계정 제거
• 익명 인증 금지
• 접속 가능한 IP 주소 대역 설정

 

4. 패치 관리

운영체제의 취약점을 제거하는 새로운 패치를 자동 업데이트 하도록 설정

* 핫픽스(hot-fix) vs SP(service pack)

핫픽스	긴급히 배포되는 패치 프로그램으로 보통 1개의 취약점 or 버그에 대해서만 다룸
SP	여러 개의 패치 및 개선 사항이 모여 있는 프로그램

여러 개의 패치를 따로 설치하는 것보다 하나의 SP를 설치하는 것이 권장됨

 

5. 로그 관리

책임 추적성(accountability): 사용자의 행위에 대해 나중에 추적할 수 있게 함

로그는 바로 책임 추적성을 가능하게 함

• 시스템 취약점 분석
• 침해사고 시 근거 자료로 활용
• 법규 및 지침에서의 관리 의무

evnetvwr

응용 프로그램: 일반 응용 프로그램이 남기는 이벤트로, 어떤 상황에 따라 어떤 로그를 남길지는 실제 그 프로그램을 개발한 소프트웨어 개발사에 의해 결정

보안: 시스템 보안 관련 이벤트(어떤 로그를 남길지는 감사 로그 설정에 의해 이루어짐)

시스템: 윈도우 운영체제의 구성요소가 기록하는 로그, 운영체제가 시작될 때 장치 드라이버의 로드 여부 및 시스템 서비스의 시작 여부 등을 이벤트로 남긴 것

Setup: 윈도우 설치 관련 이벤트