이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:















작성자: 정웅구
편집자: 엔시스 (sis@sis.pe.kr)



안녕하세요 팀블로그 필진 2기!! 정웅구입니다.

처음으로 팀블로그에 글을 올리느 거라 많이 떨리네요 ^^; 

시스템 보안 공부하면서 정리한  윈도우 시스템 보안 설정에 관해서 알아보겠습니다. 먼저 01~02에 대해 포스팅하구 추후 03~05에 관해 포스팅하겠습니다. ^^;

01. 계정관리

02. 로컬 보안 설정

03. 데몬관리

04. 접근제어

05. 파일 및 디렉터리 관리



01. 계정관리

1. 계정에 대한 보안 설정

 (1). 패스워드 관리

     - 주기적으로 관리하는 시스템의 패스워드를 크래킹하여 취약한 패스워드를 가진 계정을 체크

 (2). 불필요한 계정의 존재여부

     - 임시 계정을 생성 후 삭제하지 않았을 경우

     - 계정을 만들 때 문서화하여 기록하고 주기적으로 불필요한 계정을 삭제

(3). 관리자계정(Administrator)의 사용

     - 윈도우의 기본계정으로 삭제 불가능

     - Administrator 계정을 다른 이름으로 바꿔서 사용

     - 시작 -> 제어판 -> 관리도구 -> 로컬 보안 설정 -> 로컬 정책 -> 보안 옵션에 있는  Administrator 게정이름 바꾸기를 이용하여 변경

 (4). Guest계정의 사용

     - 컴퓨터에 익명 접속을 연결할 때 사용

     - Guest 계정 상태를 사용 안 함으로 설정

     - 시작 -> 제어판 -> 관리도구 -> 로컬 보안 설정 -> 로컬 정책 -> 보안 옵션에 있는  Guest 계정 상태를 사용 안 함으로 설정




2. 계정에 대한 정책 적용

     - 제어판 -> 관리도구 -> 로컬 보안 정책에서 계정 정책에서 설정


   (1). 암호 정책

     - 암호 정책은 아래 그림과 같이 6개 항목으로 구성되어 있으며 각 항목을 이용하여 암호 길이, 사용기간등을 설정


(2). 계정 잠금 정책

     - 계정 잠금 정책은 아래 그림과 같이 3개의 항목으로 구성되어 있습니다.


①. 계정 잠금 기간 : 계정 잠금 임계값 이상의 로그인 실패 시 해당 계정을 이 값의 크기동안 잠김

②. 계정 잠금 임계값 : 일정 수 이상의 잘못된 로그인을 시도했을 때 계정을 사용하지 못하도록 하는 횟수

③. 다음 시간 후 계정 잠금 수를 원래대로 설정 : 시스템에 저장된 잘못된 로그인 시도 값을 얼마 후 초기화 할 것인가에 대한 값

02. 로컬 보안 설정에서 로컬 정책

1. 감사 정책


 ①. 개체 액세스 감사

   - 각각의 개체로 표현되는 파일과 시스템의 자원에 대한 접근 기록을 로깅

   - 주요 '개체 액세서 감사' 로그

 이벤트 ID  내용 
 560  개체에 접근 허가 
 562  개체애 대핸 핸들 닫힘
 563  삭제할 목적으로 개체에 접근
 564  보호된 개체의 삭제

 ②. 계정 관리 감사

   - 각각의 개체로 표현되는 파일과 시스템의 자원에 대한 접근 기록을 로깅

   - 주요 '계정 관리 감사' 로그

 이벤트 ID  내용
 624  사용자 계정 만듬
 625  사용자 계정 유형 바꿈
 626  사용할 수 있는 사용자 계정
 627  암호 변경 시도
 628  사용자 계정 암호 설정
 629  사용하지 않는 사용자 계정
 630  삭제된 사용자 계정
 636  보안 사용 로컬 그룹 구성원 추가됨
 637  보안 사용 로컬 그룹 구성원 제거됨
 642  변경된 사용자 계정
 643  변경된 도메인 정책
 644  사용자 계정 잠김

 ③. 계정 로그온 이벤트 감사

   - 계정 로그온에 대한 간단한 정보를 제공

   - 주요 '계정로그온 이벤트 감사' 로그

 이벤트 ID  내용
 680  로그온 성공 정보
 681  로그온 실패 정보

 ④. 권한 사용 감사

   - 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때에만 로깅

   - 공격자가 계정을 생성하여 관리자 권한을 부여하거나, 이에 준하는 일을 수행할 경우 로깅

   - 주요 '권한 사용 감사' 로그

 이벤트 ID  내용
 576  권한 할당
 577  권한이 있는 서비스 호출
 578  권한이 있는 개체 작동

 ⑤. 로그온 이벤트 감사

   - '계정 로그온 이벤트 감사'와 비슷하나 더 상세한 정보를 로깅

   - 주요 '로그온 이벤트 감사'

 이벤트 ID  내용
 528  성공적인 로그온
 529  알 수 없는 계정이나 잘못된 암호를 이용한 로그온 시도
 530  로그온 시 허용 시간 이내에 로그온 실패
 531  사용이 금지된 계정을 이용한 로그온
 532  사용 기간이 만료된 계정을 이용한 로그온 시도
 533  로그온이 허용되지 않는 계정을 이용한 로그온 시도
 534  허용되지 않는 로그온 유형을 통한 로그온 시도
 535  암호 사용 기간의 만료
 536  Net Logon 서비스 비활성화 상태
 537  위의 사항에 해당되지 않으나 로그온 실패인 경우
 538  로그오프
 539  로그온하려는 계정이 잠겨 있음.
 패스워드 크래킹 공격 시 가능
 540  로그온 성공
 682  연결이 끊긴 터미널 서비스 세션에 사용자 재연결
 683  사용자가 로그오프하지 않고 터미널 서비스 세션 연결 끊음

 ⑥. 시스템 이벤트 감사

   - 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 로깅

   - 주요 '시스템 이벤트 감사' 로그

 이벤트 ID  내용
 512  윈도우 시동
 513  윈도우 종료
 514  LSA(Local Security Authority) 인증 패키지 로드
 515  신뢰할 수 있는 로그온 프로세스가 LSA로 등록
 516  저장 공간의 부족으로 인해 일부 보안 이벤트 메시지 소실
 517  보안 로그 삭제

 ⑦. 정책 변경 감사

   - 정책 변경 이벤트에 대한 사항을 로깅

   - 주요 '정책 변경 감사' 로그

 이벤트 ID  내용
 608  사용자 권한 할당
 609  사용자 권한 제거
 610  다른 도메인과의 신뢰 관계 형성
 611  다른 도메인과의 신뢰 관계 제거
 612  감사 정책 변경

 ⑧. 프로세스 추적 감사

   - 운영체제에서 수행되는 모든 프로세스에 대한 정보를 로깅

   - 주요 '프로세스 추적 감사' 로그

 이벤트 ID  내용
 592  새 프로세스 생성
 593  프로세스 종료
 594  개체에 대한 핸들의 중복
 595  개체에 대한 간접적인 접근

2. 사용자 권한 할당


 - 여러 항목 중 중요한(?) 몇가지 항목만 정리해 보겠습니다.

 (1). 네트워크에서 이 컴퓨터 엑세스/거부

   ①. 엑세스 설정

     - 네트워크에서 이 컴퓨터 엑세스
      

     - 더블클릭 or 오른쪽 버튼 클릭 -> 보안 클릭 후 아래의 창에서 설정


   ②. 거부 설정

     - 네트워크에서 이 컴퓨터 엑세스 거부


     - 더블클릭 or 오른쪽 버튼 클릭 -> 보안 클릭 후 아래의 창에서 설정(현재 아무 설정이 없다.)


 (2). 로컬 로그온/로컬로 로그온 거부

   ①. 로컬 로그온


   ②. 로컬로 로그온 거부


 (3). 시스템 종료/원격 시스템에서 강제로 시스템 종료

   ①. 시스템 종료의 경우 Administrator, Backup Operators, Power Users 그룹만이 가능

   ②. 원격에서 강제로 시스템 종료의 경우 Administrator그룹만 가능

3. 보안 옵션


 - 위에서 보는 것과 같이 보안옵션에 대해 항목이 많이 있지만 주요 사항 몇가지만 알아보겠습니다.

 (1). 로그온 스크린에 마지막 사용자 이름 표시 안함

 - 더블 클릭 or 오른쪽 키 -> 보안 클릭 후 아래 그림에서 '사용'으로 설정


 (2). 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료

   - 감사 로그가 꽉 차거나 로깅을 정상적으로 시행할 수 없을 경우 시스템을 재부팅하게 하는 설정

   - 로깅을 중요시하느냐 운영을 중요시하느냐에 따라 사용/사용안함 설정




****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,