주정통 - 윈도우즈 서버 보안(1)

1. Administrator 계정명 바꾸기

• secpol.msc 접속
• 계정 Administrator 계정 이름 바꾸기

 

2. Guest 계정 사용안하기

*Guest 계정은 시스템에 임시로 액세스해야 하는 사용자용 계정으로, 이 계정을 사용해 권한 없는 사용자가 시스템에 익명으로 액세스할 수 있음

• lusrmgr.msc 접속
• Guset 계정 사용안함 적용

 

3. 불필요한 계정 제거

• lusrmgr.msc에 접속하여 사용자에서 불필요한 계정을 제거

4. 계정 잠금 임계값 설정

계정이 잠기는 로그온 실패 횟수를 결정하는 것

• secpol.msc에 접속하여 계정 잠금 임계값 설정

5. 해독 가능한 암호화를 사용해 암호 저장 해제

위 정책이 설정되면 OS에서 사용자 ID, PW를 입력받아 인증할 때 사용자의 PW를 해독가능한 형식으로 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공격으로 PW를 획득할 수 있음

6. 관리자 그룹에 최소한의 사용자 포함

• lusrmgr.msc에서 Administrator 그룹에 포함된 사용자 확인

7. 공유 권한 및 사용자 그룹 설정

• fsmgmt(file server management) 확인

8. 하드디스크 기본 공유 제거

*기본 공유: 관리목적으로 자동 생성되는 공유 드라이브(Administrative share)로 이런 드라이브들은 이름 뒤에 $가 붙어 숨겨진 공유로 처리됨

그러나 Active Directory와 같은 중앙 집중화된 자원 관리를 위한 계층적 디렉토리 서비스 사용시에는 문제가 있음

 

9. 불필요한 서비스 제거

• service.msc에서 불필요한 서비스 제거