[정보보안기사 PART 04] 시스템 보안 - 윈도우 서버 보안

[정보보안기사 PART 04] 시스템 보안 - 윈도우 서버 보안

---

Section 16 윈도우 서버 보안

 

1. 윈도우 개요

1) 윈도우 시스템의 구조

 링 기반으로 5개의 링으로 구분

 하드웨어, HAL, 마이크로 커널, 각종 관리자, 응용프로그램

 

2) 윈도우의 특징

 GUI 환경, Plug & Play, 단축 아이콘 바로가기, 멀티태스킹, OLE(Object Linking Embedding), 네트워크 기능 향상, 다중 모니터 지원, 정보의 전송 통합

 

3) 윈도우 파일 시스템

 FAT16

 FAT32

 NTFS

 

4) 윈도우 부팅 순서

윈도우 XP, 윈도우 서버 2000/2003의 부팅 순서

 1단계 : POST(Power On Self Test) 실행

 2단계 : 기본 부팅 관련 설정사항 로드

 3단계 : MBR(Master Boot Record, 마스터 부트 레코드) 로드

 4단계 : NTLDR(NT Loader) 실행

 5단계 : NTDETECT.com 실행

 6단계 : ntoskrnl.exe(NT OS Kernel) 실행

 

윈도우 비스타, 2008, 7의 부팅 순서

 1~3단계 : 동일

 4단계 : 윈도우 부트 서브 시스템(Window Boot Manager) 실행

 5단계 : 윈도우 OS 로더(Winload.exe) 실행

 

 

2. 윈도우 보안

 

(1) 윈도우 설치

1) 윈도우 설치 시 중요사항

 파티션(하나의 물리적인 하드디스크에 논리적으로 분할 영역을 만드는 것) 나누기!

 

(2) 윈도우 계정, 권한, 인증

1) 윈도우의 계정과 권한 체계

기본 사용자와 그룹

계정 이름	설명
Administrator	관리자 권한의 계정으로 사용자가 사용 가능한 계정 중 가장 강력한 권한을 가진다.
SYSTEM	시스템에서 최고 권한을 가진 계정으로 로컬에서 관리자보다 상위 권한을 가진다. 원격 접속이 불가능하며, 사용자가 이 계정을 사용하여 시스템에 로그인할 수 없다.
Guest	매우 제한적인 권한을 가진 계정으로, 기본 설정은 사용 불능이다.

 

SID(Security Identifier)

 윈도우의 각 사용자나 그룹에 부여되는 고유한 식별번호

The SID for account NEWGENERATION\administrator is S-1-5-21-1801674531-839522115-1708537768-500

S : SID 의미

1 : revision number(SID 명세 버전)

5 : Identifier authority value(48비트, 윈도우 보안 권한)

21-1801674531-839522115-1708537768 : 도메인 또는 로컬 컴퓨터 구분다

500 : 관리자, Guest 계정은 501번, 일반 사용자는 1000번 이상의 숫자

 

 

2) 윈도우 인증과 패스워드

 윈도우 인증과정에서 가장 중요한 구성 요소 LSA, SAM, SRM

 

LSA(Local Security Authority) : 모든 계정의 로그인에 대한 검증, 시스템 자원 및 파일 접근권한 검사

SAM(Security Account Manager) : 사용자/그룹 계정 정보에 대한 DB 관리, 인증 여부 판단

SRM(Security Reference Monitor) : 사용자에게 SID를 부여, 접근 허용 결정

 

 

(3) 공유자료 관리

1) 네트워크 드라이브의 이해

 대상 컴퓨터의 드라이브를 내 컴퓨터에서 네트워크 드라이브로 설정하여 내 PC의 드라이브처럼 사용

 

2) 파일과 폴더의 보안권한 설정

 사용자나 그룹이 파일이나 폴더에 접근 여부 알려줌

 폴더 - 6가지 기본 권한

 파일 - 5가지 기본 권한

권한 : 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기(폴더만 해당), 읽기, 쓰기

 

 

(4) 암호 기능 사용

1) 폴더 및 파일 암호화(EFS)

 개별 파일 또는 특정 폴더 안에 들어 있는 모든 파일 암호화 할 수 있는 기능 제공

 

2) 볼륨 암호화(BitLocker)

 논리적인 드라이브 볼륨 단위의 데이터 암호화 가능

 

 

(5) 레지스트리 활용

1) 레지스트리(Registry) 개요

 윈도우 시스템이 운영되는데 필요한 정보를 담고 있다.

ex) 환경설정, 임시 저장값까지 시스템의 거의 모든 정보 담고 있음.

 

2) 레지스트리 편집기 실행

레지스트리 편집기

 레지스트리 설정을 열람, 수정, 추가, 삭제, 검색, 저장 가능

Master Key : 하이브 파일에서 직접 읽어 들여 구성되는 키

 ex) HKLM, HKU

Derived Key : Master Key로부터 값을 가져와서 재구성하는 키

 ex) HKCU, HKCC, HKCR

 

레지스트리 루트키

 1. HKCR(HKEY_CLASSES_ROOT) 

   시스템에 등록된 파일 확장자와 그것을 열 때 사용할 애플리케이션에 대한 매핑 정보, com 오브젝트 등록 정보 저장

 

 2. HKCU(HKEY_CURRENT_USER)

   현재 시스템에 로그인하고 있는 사용자, 관련된 시스템 정보 저장

 

 3. HKLM(HKEY_LOCAL_MACHINE)

   pc에 설치된 하드웨어와 하드웨어를 구동시키는 데 필요한 드라이버나 설정사항에 관한 정보

 

 4. HKU(HKEY_USERS)

   시스템에 있는 모든 계정과 그룹에 관한 정보를 저장

 

 5. HKCC(HKEY_CURRENT_CONFIG)

    시스템에 시작할 때 사용하는 하드웨어 프로파일 정보 저장, 레지스트리 부분에서 가장 단순한 곳

 

3) 레지스트리 보호

 

레지스트리 접근 제한

현재 레지스트리 상태 저장

레지스트리 키 디스크에 복사

 

4) 레지스트리 공격

부팅 시 악성코드 실행

 시스템 재부팅 시 악성 프로그램을 구동시키기 위해 레지스트리 변조

 이때, 사용되는 레지스트리 HKLM, HKCU 이다

 

디렉터리 위치

개별사용자 지속용 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run

개별사용자 일회용 : HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

전체사용자 지속용 : HKLM\Software\Microsoft\Windows\CurrentVersion\Run

전체사용자 일회용 : HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

특정 확장자 실행 시 악성코드 실행

 HKCR의 값을 공격자가 임의로 조작하여 특정 확장자 실행 시에 원하는 악성 프로그램을 실행

 

(6) 윈도우 방화벽(PC 방화벽) 설정

개요

 웜, 공격자로부터 PC 보호

 

설정 방법

 인바운드/ 아웃바인드 규칙 통해 설정

 

 

 

3. 윈도우 서버 보안 설정

 

(1) 계정 관리

1) Administrator 계정 이름 바꾸기

2) Guest 계정 상태

3) 계정 잠금 임계값과 잠금기간 설정

4) 관리자 그룹에 최소한의 사용자 포함

5) 암호와 패스워드 정책 설정

 

(2) 서비스 관리

1) 공유 권한 및 사용자 그룹 설정

2) 하드디스크 기본 공유 제거

불필요한 공유 제거

Null Session 접근 차단 설정

 

3) 불필요한 서비스 제거

4) Anonymous FTP 금지

 

(3) 패치 관리

1) 감사 정책에 따른 시스템 로깅 설정

 

(4) 보안 관리

1) SAM 파일 접근 통제 설정

2) 화면보호기 설정

 

 

4. Window 네트워크 서비스

 

1) 디렉터리 데이터베이스(Directory Database)

네트워크 디렉터리 서비스

 사용자들에게 리소스를 투명하게 제공

 사용자가 리소스의 정확한 위치와 접근하기 필요한 단계들을 알필요가 없다는 것을 의미

ex) LDAP, NDS, Microsoft Active Directory

 

Active Directory

 네트워크상의 개체에 대한 정보를 저장하며 관리자와 사용자가 이 정보를 쉽게 찾아 사용할 수 있도록 한다.

 체계적인 데이터 저장소를 사용하여 디렉터리 정보를 논리적인 계층 구조로 조직

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.