정보보안기사&산업기사 필기 16장 요약 - 윈도우 서버 보안 (시스템보안)
정보보안기사 필기 16장 요약내용입니다.
* 2020 조현준 정보보안기사 산업기사 필기 + 핵심기출 1200제 정보보안기사 & 산업기사 필기 교재를 기반으로 요약하였습니다.
Section 16. 윈도우 서버 보안 (시스템보안)
1. 윈도우 특징
1) GUI 환경
- 아이콘이라는 그림 명령을 통해 쉽게 프로그램에 접근 가능
2) Plug & Play
- 하드웨어를 새롭게 추가하는 경우 자동으로 인식하여 환경을 설정해 주는 기능으로 해당 하드웨어가 해당 기능을 지원하는 장치어야 함
3) 단축 아이콘/바로가기
- 프로그램이나 데이터를 빠르고 편리하게 실행시키기 위해 원하는 위치에 원본 파일을 연결한 아이콘을 만들 수 있음
4) 멀티태스킹
- 한 번에 여러 여러 가지 작업을 동시에 실행할 수 있음
5) OLE(Object Linking Embedding)
- 개체 연결 포함 기능으로 프로그램 간에 개체를 교환할 수 있음
6) 네트워크 기능 향상
-
다양한 프로토콜 제공
-
Netbios 프로토콜을 이용하여 네트워크 공유가 편함
7) 다중 모니터 지원
- 한 대의 컴퓨터에 최대 8대 모니터를 연결하여 사용 가능
8) 정보의 전송 통합
-
여러 응용 프로그램에서 작업하여 상호 간의 정보를 한 응용프로그램에서 다른 응용프로그램으로 전송 통합 가능
-
Desktop accessory(클립보드)를 통해 이루어짐
2. 윈도우 기본 사용자
1) Administrator
▶ 관리자 권한의 계정으로 사용자가 가용 가능한 계정 중 가장 강력한 권한을 가짐
2) System
▶ 로컬에서 관리자보다 상위 권한
-
원격 접속이 불가능
-
사용자가 해당 계정을 사용하여 로그인 불가능
3) Guest
▶ 기본 설정은 사용불능(제한적인 권한)
3. 윈도우 기본 그룹
1) Administrator
▶ 도메인 자원이나 로컬 컴퓨터에 대한 모든 권한이 있음
2) Account Operators
▶ 사용자나 그룹 계정을 관리하는 그룹
3) Backup Operators
▶ 시스템 백업을 위해 모든 시스템의 파일과 디렉터리에 접근할 수 있음
4) Guests
▶ 도메인 사용 권한이 제한된 그룹으로 시스템의 설정 변경 권한이 없음
5) Print Operators
▶ 도메인 프린터 접근 가능
6) Power user
▶ 디렉터리나 네트워크 공유, 공용 프로그램 그룹 생성, 컴퓨터의 시계 설정 권한이 있음
7) Replicator
▶ 도메인에 있는 파일을 복제할 수 있는 권한을 가지고 있는 그룹
- 디렉터리 복사 서비스에 이용
8) Server Operators
▶ 도메인의 서버를 관리할 수 있는 권한을 가진 그룹
- 로컬 로그인, 시스템 재시작 및 종료 권한이 있음
9) Users
▶ 도메인과 로컬 컴퓨터를 일반적으로 사용하는 그룹
-
개개인에 할당된 사용자 환경을 직접 만들 수 있지만, 설정할 수 있는 항목에는 한계가 있음
-
시스템 서비스의 시작 및 종료 권한이 없으며, 디렉터리 공유 설정을 할 수 없음
### 4. 윈도우 인증의 구성요소
| 구분 | 설명 |
|---|---|
| LSA (Local Security Authority) |
- 모든 계정의 로그인에 대한 검증 - 시스템 자원 및 파일 등에 대한 접근 권한을 검사 - SRM이 생성한 감사 로그를 기록 - NT 보안의 중심 요소 - 보안 서브시스템이라 불림 |
| SAM (Security Account Manager) |
- 사용자/그룹 계정 정보에 대한 데이터베이스를 관리 - 사용자의 로그인 입력 정보와 SAM 데이터베이스 정보를 비교해 인증 여부를 결정 |
| SRM (Security Reference Monitor) |
- SID(Security Identifier)를 부여 - SID에 기반하여 파일이나 디렉터리에 대한 접근을 허용할지 결정하고, 이에 대한 감사 메시지를 생성 |
5. 디렉터리 및 파일에 대한 접근 권한 설정
| 구분 | 설명 |
|---|---|
| NTFS 접근 권한 누적 | 개별 사용자가 여러 그룹에 속한 경우 특정 파일이나 디렉터리에 대한 접근 권한은 누적 |
| 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선 | 파일이 포함된 디렉터리의 권한보다 파일에 대한 권한 설정이 우선함 |
| 허용보다 거부가 우선 | 중첩 권한 중 명백한 거부 설정이 있으면 허용보다 거부가 우선하여 적용 |
6. 윈도우 공유자료 관리
1) 파일과 폴더의 접근 권한
- 제공되는 권한 : 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기, 읽기, 쓰기
- 특정 사용자가 여러 그룹에 속한 경우 특정 파일/디렉터리에 대한 접근 권한은 누적
- 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선
- 허용 권한보다 거부 권한이 우선한다.
2) 기본 윈도우 공유 폴더
- C$,D$ 등 : 드라이브에 대한 관리목적 공유 폴더
- ADMIN$ : 윈도우 설치 폴더에 접근하는 관리목적 공유 폴더
- IPC$(Inter Process Communication) : 네트워크 등에서 프로세스 간의 통신을 위해서 사용하는 통로
3) 공유 폴더 관리
- netshare 명령어로 숨겨진 공유 폴더 확인 가능
- 숨겨진 공유 폴더 = 공유 이름 끝에 ‘$’가 붙은 폴더
- C$, D$, ADMIN$ 공유가 숨겨졌더라도 매우 잘 알려져 있어 침입자가 네트워크에 액세스할 수 있는 위험이 있다.
- net share 명령으로 공유 비활성시, OS 재부팅 시 다시 생성되기 때문에 레지스트리를 통해 완벽하게 제거할 수 있다. (HKLM)
- IPC$는 정상적인 방법으로 제거할 수 없으며, 제거할 경우 특정 서비스가 실행되지 않을 수 있다.
7. 레지스트리 루트 키
- 레지스트리는 윈도우 부팅 시 하이브 파일에서 값을 읽어 들여 구성
- 하이브 파일에서 직접 읽어 들여 구성되는 키를 Master Key라 하고 Master Key로부터 값을 가져와서 재구성하는 키를 Derived Key라 한다.
- Master Key : HKLM(HKEY_LOCAL_MACHINE), HKU(HKEY_USERS)
- Derived Key : HKCU(HKEY_CURRENT_USER), HKCC(HKEY_CURRENT_CONFIG), HKCR(HKEY_CLASSES_ROOT)
1) HKEY_CLASSES_ROOT (HKCR)
- 파일 확장명과 응용 프로그램의 연결정보가 들어있고, 윈도우 시스템에 들어있는 개체들 및 으용ㅇ프로그램과 그 자동화에 대한 정보
2) HKEY_CURRENT_USER (HKCU)
-
현재 시스템에 로그인하고 있는 사용자와 관련된 시스템 정보를 저장
-
제어판 설정, 네트워크 연결, 응용 프로그램 등
3) HKEY_LOCAL_MACHINE (HKLM)
-
개별 사용자 단위가 아닌 시스템 전체에 적용되는 하드웨어와 응용 프로그램의 설정 데이터를 저장
-
HKLM\HARDWARE : 메모리에 휘발성으로 존재. 부팅 시 감지된 모든 하드웨어와 그 하드웨어 장치의 드라이버 매핑 정보가 저장
-
HKLM\SAM : 사용자와 패스워드, 소속 그룹, 도메인 정보 등 로컬 계정 정보와 그룹 정보를 저장. 시스템 계정만 접근 가능
-
HKLM\SECURITY : 시스템 범위의 보안 정책과 사용자 권리 할당 정보를 저장. 시스템 계정만 접근 가능
-
HKLM\SOFTWARE : 시스템 범위의 소프트웨어 목록과 그 환경 설정 정보(이름, 경로, 라이선스 정보 등)를 저장
-
HKLM\SYSTEM : 시스템이 부팅될 때 필요한 시스템 범위의 환경 설정 정보(시작시킬 서비스 목록 등)를 저장
4) HKEY_USERS (HKU)
- 사용자 프로필을 만들 때 적용한 기본 설정과 사용자 별로 정의한 그룹 정책
5) HKEY_CURRENT_CONFIG (HKCC)
-
시스템이 시작할 때 사용하는 하드웨어 프로파일 정보를 저장
-
현재 하드웨어 프로필 설정 등
Leave a comment