[기본설정]윈도우 시스템 보안설정 - 1편

작성자: 정웅구
편집자: 엔시스 (sis@sis.pe.kr)



안녕하세요 팀블로그 필진 2기!! 정웅구입니다.

처음으로 팀블로그에 글을 올리느 거라 많이 떨리네요 ^^; 

시스템 보안 공부하면서 정리한  윈도우 시스템 보안 설정에 관해서 알아보겠습니다. 먼저 01~02에 대해 포스팅하구 추후 03~05에 관해 포스팅하겠습니다. ^^;

01. 계정관리

02. 로컬 보안 설정

03. 데몬관리

04. 접근제어

05. 파일 및 디렉터리 관리

01. 계정관리

1. 계정에 대한 보안 설정

 (1). 패스워드 관리

     - 주기적으로 관리하는 시스템의 패스워드를 크래킹하여 취약한 패스워드를 가진 계정을 체크

 (2). 불필요한 계정의 존재여부

     - 임시 계정을 생성 후 삭제하지 않았을 경우

     - 계정을 만들 때 문서화하여 기록하고 주기적으로 불필요한 계정을 삭제

(3). 관리자계정(Administrator)의 사용

     - 윈도우의 기본계정으로 삭제 불가능

     - Administrator 계정을 다른 이름으로 바꿔서 사용

     - 시작 -> 제어판 -> 관리도구 -> 로컬 보안 설정 -> 로컬 정책 -> 보안 옵션에 있는  Administrator 게정이름 바꾸기를 이용하여 변경

 (4). Guest계정의 사용

     - 컴퓨터에 익명 접속을 연결할 때 사용

     - Guest 계정 상태를 사용 안 함으로 설정

     - 시작 -> 제어판 -> 관리도구 -> 로컬 보안 설정 -> 로컬 정책 -> 보안 옵션에 있는  Guest 계정 상태를 사용 안 함으로 설정

2. 계정에 대한 정책 적용

     - 제어판 -> 관리도구 -> 로컬 보안 정책에서 계정 정책에서 설정

   (1). 암호 정책

     - 암호 정책은 아래 그림과 같이 6개 항목으로 구성되어 있으며 각 항목을 이용하여 암호 길이, 사용기간등을 설정

(2). 계정 잠금 정책

     - 계정 잠금 정책은 아래 그림과 같이 3개의 항목으로 구성되어 있습니다.

①. 계정 잠금 기간 : 계정 잠금 임계값 이상의 로그인 실패 시 해당 계정을 이 값의 크기동안 잠김

②. 계정 잠금 임계값 : 일정 수 이상의 잘못된 로그인을 시도했을 때 계정을 사용하지 못하도록 하는 횟수

③. 다음 시간 후 계정 잠금 수를 원래대로 설정 : 시스템에 저장된 잘못된 로그인 시도 값을 얼마 후 초기화 할 것인가에 대한 값

02. 로컬 보안 설정에서 로컬 정책

1. 감사 정책

 ①. 개체 액세스 감사

   - 각각의 개체로 표현되는 파일과 시스템의 자원에 대한 접근 기록을 로깅

   - 주요 '개체 액세서 감사' 로그

이벤트 ID	내용
560	개체에 접근 허가
562	개체애 대핸 핸들 닫힘
563	삭제할 목적으로 개체에 접근
564	보호된 개체의 삭제

 ②. 계정 관리 감사

   - 각각의 개체로 표현되는 파일과 시스템의 자원에 대한 접근 기록을 로깅

   - 주요 '계정 관리 감사' 로그

이벤트 ID	내용
624	사용자 계정 만듬
625	사용자 계정 유형 바꿈
626	사용할 수 있는 사용자 계정
627	암호 변경 시도
628	사용자 계정 암호 설정
629	사용하지 않는 사용자 계정
630	삭제된 사용자 계정
636	보안 사용 로컬 그룹 구성원 추가됨
637	보안 사용 로컬 그룹 구성원 제거됨
642	변경된 사용자 계정
643	변경된 도메인 정책
644	사용자 계정 잠김

 ③. 계정 로그온 이벤트 감사

   - 계정 로그온에 대한 간단한 정보를 제공

   - 주요 '계정로그온 이벤트 감사' 로그

이벤트 ID	내용
680	로그온 성공 정보
681	로그온 실패 정보

 ④. 권한 사용 감사

   - 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때에만 로깅

   - 공격자가 계정을 생성하여 관리자 권한을 부여하거나, 이에 준하는 일을 수행할 경우 로깅

   - 주요 '권한 사용 감사' 로그

이벤트 ID	내용
576	권한 할당
577	권한이 있는 서비스 호출
578	권한이 있는 개체 작동

 ⑤. 로그온 이벤트 감사

   - '계정 로그온 이벤트 감사'와 비슷하나 더 상세한 정보를 로깅

   - 주요 '로그온 이벤트 감사'

이벤트 ID	내용
528	성공적인 로그온
529	알 수 없는 계정이나 잘못된 암호를 이용한 로그온 시도
530	로그온 시 허용 시간 이내에 로그온 실패
531	사용이 금지된 계정을 이용한 로그온
532	사용 기간이 만료된 계정을 이용한 로그온 시도
533	로그온이 허용되지 않는 계정을 이용한 로그온 시도
534	허용되지 않는 로그온 유형을 통한 로그온 시도
535	암호 사용 기간의 만료
536	Net Logon 서비스 비활성화 상태
537	위의 사항에 해당되지 않으나 로그온 실패인 경우
538	로그오프
539	로그온하려는 계정이 잠겨 있음.  패스워드 크래킹 공격 시 가능
540	로그온 성공
682	연결이 끊긴 터미널 서비스 세션에 사용자 재연결
683	사용자가 로그오프하지 않고 터미널 서비스 세션 연결 끊음

 ⑥. 시스템 이벤트 감사

   - 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 로깅

   - 주요 '시스템 이벤트 감사' 로그

이벤트 ID	내용
512	윈도우 시동
513	윈도우 종료
514	LSA(Local Security Authority) 인증 패키지 로드
515	신뢰할 수 있는 로그온 프로세스가 LSA로 등록
516	저장 공간의 부족으로 인해 일부 보안 이벤트 메시지 소실
517	보안 로그 삭제

 ⑦. 정책 변경 감사

   - 정책 변경 이벤트에 대한 사항을 로깅

   - 주요 '정책 변경 감사' 로그

이벤트 ID	내용
608	사용자 권한 할당
609	사용자 권한 제거
610	다른 도메인과의 신뢰 관계 형성
611	다른 도메인과의 신뢰 관계 제거
612	감사 정책 변경

 ⑧. 프로세스 추적 감사

   - 운영체제에서 수행되는 모든 프로세스에 대한 정보를 로깅

   - 주요 '프로세스 추적 감사' 로그

이벤트 ID	내용
592	새 프로세스 생성
593	프로세스 종료
594	개체에 대한 핸들의 중복
595	개체에 대한 간접적인 접근

2. 사용자 권한 할당

 - 여러 항목 중 중요한(?) 몇가지 항목만 정리해 보겠습니다.

 (1). 네트워크에서 이 컴퓨터 엑세스/거부

   ①. 엑세스 설정

     - 네트워크에서 이 컴퓨터 엑세스
      

     - 더블클릭 or 오른쪽 버튼 클릭 -> 보안 클릭 후 아래의 창에서 설정

   ②. 거부 설정

     - 네트워크에서 이 컴퓨터 엑세스 거부

     - 더블클릭 or 오른쪽 버튼 클릭 -> 보안 클릭 후 아래의 창에서 설정(현재 아무 설정이 없다.)

 (2). 로컬 로그온/로컬로 로그온 거부

   ①. 로컬 로그온

   ②. 로컬로 로그온 거부

 (3). 시스템 종료/원격 시스템에서 강제로 시스템 종료

   ①. 시스템 종료의 경우 Administrator, Backup Operators, Power Users 그룹만이 가능

   ②. 원격에서 강제로 시스템 종료의 경우 Administrator그룹만 가능

3. 보안 옵션

 - 위에서 보는 것과 같이 보안옵션에 대해 항목이 많이 있지만 주요 사항 몇가지만 알아보겠습니다.

 (1). 로그온 스크린에 마지막 사용자 이름 표시 안함

 - 더블 클릭 or 오른쪽 키 -> 보안 클릭 후 아래 그림에서 '사용'으로 설정

 (2). 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료

   - 감사 로그가 꽉 차거나 로깅을 정상적으로 시행할 수 없을 경우 시스템을 재부팅하게 하는 설정

   - 로깅을 중요시하느냐 운영을 중요시하느냐에 따라 사용/사용안함 설정