10 윈도우 시스템 보안 설정(윈도우 서버 2008)

학습목표 내용 윈도우의 계정 관리를 이해한다. 윈도우에 설정 가능한 보안 설정사항을 이해한다. 윈도우에서 운영되는 네트워크 서비스의 취약점을 이해한다. 윈도우에서 운영되는 네트워크 서비스의 취약점에 대한 보안 설정할 수 있다. 윈도우에서 네트워크 및 파일 시스템에 대해 접근 제어 설정할 수 있다. 내용 계정 정책 로컬 정책 데몬 관리 접근 제어 파일과 디렉터리 관리 패치

계정 정책 계정 관리 암호 정책 계정 잠금 정책 보안의 기본, 패스워드 관리 패스워드 : 보안의 첫번째 방벽 주기적으로 크래킹, 취약한 패스워드를 가진 계정 체크 계정 생성 반드시 문서화 기록, 불필요한 계정 주기적 삭제 윈도우에서 Administrator가 윈도우의 기본 계정임을 알고 있어 계정을 변경 필요 [제어판]-[관리도구]-[컴퓨터관리]의 사용자 목록이나 명령 창‘net user’명령 이용 확인 [제어판]-[관리도구]-[컴퓨터 관리]의 사용자 관리 창 Administrator 계정 이름 바꾸기 암호 정책 계정에 대한 정책 적용 : [제어판]-[관리도구]-[로컬 보안 설정]에서 설정 암호 정책 : 최소 암호길이와 사용 기간 설정 계정 잠금 정책 계정 잠금 임계값 : 일정 수 이상의 잘못된 로그인 시도시 계정 사용 금지토록하는 횟수(보통 5회로 설정) 계정 잠금 기간 : 잘못된 로그인 시도로 계정이 잠기는 기간 다음 시간 후 계정 잠금 수를 원래대로 설정 : 이 값을 2일로 지정하면 2일 후 시스템에 지정된 잘못된 로그인 시도 값이 0으로 초기화

로컬 정책 사용자 권한 할당 네트워크에서 이 컴퓨터 엑세스/ 엑세스 거부 로컬 로그온 허용/거부 기본 설정 : [네트워크에서 이 컴퓨터 액세스] 속성 창에는 현재 시스템의 모든 그룹에, [네트워크에서 이 컴퓨터 액세스 거부] 속성 창은 비움 하나의 사용자가 액세스에도 액세스 거부에도 존재 시 윈도우의 설정 대부분 거부 우선권 거부 설정 시 : ‘네트워크에서 이 컴퓨터 액세스’등록여부 관계없이 원격 로그인 불가능 로컬 로그온 허용/거부 ‘네트워크에서 이 컴퓨터 액세스 거부’ 설정 : 원격에서만 접속 불가능 ‘로컬 로그온 거부’ : 원격 접속가능 하지만 로컬에서 접속 불가능 둘 다 설정 : 계정 사용 중지와 동일 시스템 종료/원격에서 강제로 시스템 종료 윈도우 서버 2008 : Administrators, Backup Operators 그룹만 로컬에서 시스템 종료 윈도우 서버 2003 : 윈도우 서버 2008과 동일 윈도우 서버 2000 : Power Users 그룹도 가능 시스템 원격 강제 종료 가능 그룹 : Administrator뿐(그룹관리에 유의) 윈도우 서버 2008에서는 각 속성 설정 창에서 설명 탭 제공

로컬 정책 보안 옵션 감사 : 보안 감사를 로그할 수 없는 경우 시스템 종료 로그인 절차 관련 감사(Auditing) 로그가 꽉 차거나 정상적 로그인 시행할 수 없을 때 시스템 재부팅하는 설정 시스템 운영보다는 사용 기록이 중요하다면 감사 옵션 활성화 사용 기록보다는 정상운영이 중요하다면 비활성화 로그인 절차 관련 대화형 로그온 : 마지막 사용자 이름 표시 안 함 - 윈도우 서버 2000과 윈도우 서버 2003 : 마지막 로그인한 사용자 계정 로그인 창에 뜸 - 윈도우 서버 2008 : 계정 목록 뜸 - 이런 설정은 해당 시스템에 어떤 계정이 존재하는지 알 수 있게 함 - 계정 노출 방지 위해 ‘로그인 스크린에 마지막 사용자 이름 표시 안함’을 ‘사용’으로 바꿈 대화형 로그온 : 로그온 시도하는 사용자에 대한 메시지 제목/텍스트 - GUI 환경의 터미널 접속에서 경고 창 생성해 로그인 시도자에게 알려주기 위한 설정 - 경고 창 : 해커에게 심적 부담을 줌으로써 경고 시스템 종료 : 로그온하지 않고 시스템 종료 허용 - 윈도우 NT : 기본 활성화 - 윈도우 서버 2000부터 : 기본 설정 금지된 옵션 - 이 항목을 사용으로 바꾸면, 오른쪽 아래에 <시스템 종료> 버튼 활성화

로컬 정책 인증 관련 네트워크 보안 : LAN Manager 인증 수준 - 윈도우 : 패스워드 인증 시 LM, NTML, NTMLv2 등의 인증 프로토콜 사용 - 윈도우 서버 2008 : ‘네트워크 보안:LAN Manager 인증 수준 속성’에서 네트워크 로그인에 사용되는 시도/응답 인증 프로토콜 설정 - 기본 값 : ‘NTLMv2 응답만 보내기’로 NTLMv2만 인증 프로토콜 허용 ‘네트워크 보안:LAN Manager 인증 수준 속성’ 항목 - LM 및 NTLM 응답 보내기 - NTLMv2 응답만 보내기/LM 거부 - NTLMv2 응답만 보내기/LM 및 NTLM 거부 네트워크 보안 : 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함 - LM 해시는 NT 해시에 비해 약하기 때문에 공격에 노출 용이 - LM 해시가 보안 데이터베이스의 로컬 컴퓨터에 저장되므로 보안 데이터 베이스 공격 받으면 암호가 노출 가능 - 윈도우 비스타 이후의 시스템에서는 LM 해시 값을 시스템에 기본 저장하지 않는다. 네트워크 보안 : 로그온 시간이 만료되면 강제로 로그오프 - 로컬 컴퓨터에 연결된 사용자가 사용자 계정의 유효한 로그온 시간이 지난 경우 사용자의 - 연결을 끊을 것인지 여부에 대한 설정

데몬 관리 동작 중인 서비스 확인 주요 서비스 보안 설정 FTP(File Transfer Protocol, 21) [그림 10-18] 윈도우 서버 2008 nmap 스캔 결과 주요 서비스 보안 설정 FTP(File Transfer Protocol, 21) [제어판]-[관리도구]-[IIS(인터넷정보서비스) 6.0 관리자]에서 설정 확인 FTP 사용하지 않으면 보안을 위해 중지 가장 일반적인FTP 취약점 : 익명 계정(Anonymous)의 로그인 허용(윈도우 시스템에서는 익명 계정이 기본 허용)

실습 10-1 윈도우 FTP 서비스 보안 설정하기 FTP 보안 : [제어판]-[관리 도구]-[IIS(인터넷 정보 서비스) 6.0 관리자], [속성] 메뉴 세션 설정 FTP 속성의 [FTP 사이트] 탭에서FTP 서버 IP 주소와TCP 포트 번호 세션에 대한 제한 설정 [그림 10-21] FTP 속성의 [FTP 사이트] 탭 1

실습 10-1 윈도우 FTP 서비스 보안 설정하기 로그 정책 설정 기본 값 : ‘로깅 사용’, W3C(World Wide Web Consotium) 형식 로그 기본 사용 [그림 10-22] FTP 로그에 대한 속성 창 로그 파일 디렉터리(C:\Windows\system32\LogFiles) [그림 10-23] 2011-02-26일자 FTP 로그 파일 확인 2

실습 10-1 윈도우 FTP 서비스 보안 설정하기 익명 연결 허용 여부 설정 익명 계정을 사용 않으면 ‘익명 연결 허용’ 체크하지 않는 것이 좋음 [그림 10-24] FTP 속성의 [보안 계정] 탭 3

실습 10-1 윈도우 FTP 서비스 보안 설정하기 FTP 배너 출력 FTP에서 접속 시에 배너 출력 가능 4

실습 10-1 윈도우 FTP 서비스 보안 설정하기 FTP 홈 디렉터리 권한 설정 FTP 속성의 [홈 디렉터리] 탭 : FTP 기본 디렉터리 지정, 디렉터리에 대한 FTP 계정의 권한 설정(기본 권한은 읽기만 가능) [그림 10-26] FTP 속성의 [홈 디렉터리] 탭 5

실습 10-1 윈도우 FTP 서비스 보안 설정하기 FTP 서비스 접근 제어 설정 5

데몬 관리 SMTP(Simple Mail Transfer Protocol, 25) telnet 192.168.75.129 25 텔넷을 이용한 배너 그래빙(Banner Grabbing) : SMTP 버전과 운영체제 예상 [그림 10-28] SMTP 버전 확인 필요치 않으면 중지 [그림 10-29] SMTP 서비스 확인 telnet 192.168.75.129 25

데몬 관리 SMTP는 기본적으로 로깅하지 않도록 설정 이용하려면 ‘로깅 사용’을 체크하여 <속성> 버튼 활성화

데몬 관리 <속성> 버튼 클릭하면 FTP처럼 로깅에 대한 여러 속성을 선택 SMTP에는 기본 로깅 항목이 설정되어 있지 않아, 필요에 따라 로깅 항목 결정, 선택 [고급] 탭‘확장된 로깅 옵션’에서 로깅으로 설정 가능한 항목 목록을 확인, 각 항목별 선택 로깅 항목 설정 항목 중 날짜,시간, 클라이언트의 IP 주소, 사용자 이름, 서버 IP 주소는 필수 로깅 SMTP의 로그 파일 C:/Windows/system32/logfiles/smtpsvc1에 저장 [그림 10-31] SMTP 로그 스케줄 설정과 로깅 옵션 선택

데몬 관리 SMTP 속성의 [액세스] 탭 : FTP 서비스처럼 특정 IP와 네트워크에 대해 접근 제어 설정 릴레이 제한 : 자신에게 전달되는 메일을 다른 메일 서버로 전달해주도록 설정 [그림 10-32] SMTP 속성의 [액세스] 탭과 연결 제어와 SMTP 릴레이 제어

데몬 관리 HTTP(HyperText Transfer Protocol, 80) IIS 관리자 실행 : [제어판]-[관리도구]-[IIS(인터넷 정보 서비스) 관리자] [그림 10-33] ‘Default Web Site’에서 설정 메뉴 확인

데몬 관리 기본 문서 설정 - 기본 문서 : www.wishfree.com과 같이 URL로 웹 사이트에 접근시 기본으로 선택되는 웹 문서 - 기본 문서 설정 : Default.htm과 같이 사용하지 않는 기본문서 제거 SSL(Secure Socket Layer) 또는 HTTPS 설정 - SSL(HTTPS)은 443번 포트 사용, 암호화된 웹 접속 가능케 함 - 40비트 또는 128비트 선택 디렉터리 목록화 금지 설정 - 디렉터리 검색 : 해당 디렉터리 목록 일괄적으로 출력 로깅 설정 - W3C 형식의 로그 사용

데몬 관리 LOC-SRV(135), NETBIOS-SSN(139), SMB(Server Message Block, 445) NetBIOS 관련 취약점 : Null 세션과 관리자 공유 - 레지스트리 편집기에서 HKEY_ LOCAL_MACHINE\Syste\CurrentControlSet\Control\Lsa의 restrictanonymous 값을2로 설정하면 Null 세션을 생성 불가 관리자 기본 공유 제거 : [제어판]-[관리도구]-[컴퓨터 관리]의 [시스템 도구]-[공유 폴더] NetBIOS를 이용한 원격 셀 생성 - 윈도우 서버 2008은 psexec(Process Execution)를 사용하여 생성 불가 - 윈도우 서버 2000과 2003에서는 생성 가능 로그인 : psexec 툴 이용 원격 시스템에 관리자 권한을 가진 계정(wishtobefree)으로 시도 프로토콜 포트 서비스 TCP 135 RPC/DCE 종단 맵퍼 UDP 137 NetBIOS 이름 해석 서비스 138 NetBIOS 데이터그램 서비스 139 NetBIOS 세션 서비스(SMB/CIFS over NetBIOS) TCP/UDP 445 Direct Host(SMB/CIFS over TCP)

데몬 관리 레지스트리 관련 보안 설정 사항 - 가장 강력한 방법 : NetBIOS 프로토콜 사용 않는 것 - 제어판의 네트워크 설정에 대한 등록정보에서 ‘Microsoft 네트워크용 클라이언트’프로토콜만 남겨두고,‘ Microsoft네트워크용 파일 및 프린터 공유’프로토콜 사용 않는 것. 이렇게 설정하면 본인의 시스템에서 NetBIOS 프로토콜 이용 다른 시스템 접근 가능, 다른 시스템에서는 본인의 시스템에 NetBIOS 프로토콜 이용 접근 불가, 또한 psexec를 통한 셸 생성 역시 불가능

데몬 관리 MS Terminal Service(3389) MS-Term-Service 포트 : GUI(Graphic User Interface) 기반 윈도우 터미널 서비스 제공 윈도우 터미널 서비스 - 윈도우 서버 2008이후 버전부터 새로운 보안 옵션 제공 - [내 컴퓨터]에서 마우스 오른쪽 버튼 [속성] 메뉴 선택 ‘원격 설정’항목 클릭 해당 옵션 확인 ‘원격 데스크톱’에 대한 설정 ➊ 이 컴퓨터에 대한 연결 허용 안 함 ➋ 모든 버전의 원격 데스크톱을 실행 중인 컴퓨터에서 연결 허용(보안 수준 낮음) ➌ 네트워크 수준 인증 가진 원격 데스크톱 실행 중인 컴퓨터에서만 연결 허용(보안수준 높음) - 터미널 서비 사용 조건 •터미널 서비스 클라이언트 : ‘원격 데스크톱 연결 6.0’이상 사용 •클라이언트 컴퓨터 : CredSSP(Credential Security Support Provider) 프로토콜 지원하는 윈도우 서버 2008/비스타/XP 서비스 팩3 등의 운영체제 사용 •서버 컴퓨터 : 윈도우 서버 2008 이상 버전의 운영체제 실행

실습 10-2 윈도우 터미널 서비스 보안 설정하기 TCP Wrapper 암호화 및 세션 관리 설정 터미널 서비스 보안 설정 : [제어판]-[관리도구]-[터미널 서비스]-[터미널 서비스구성] [그림 10-47] ‘터미널 서비스 구성’에서 터미널에 대한 속성 열람 1

실습 10-2 윈도우 터미널 서비스 보안 설정하기 ‘연결’항목 ‘RDP-Tcp’에서 마우스 오른쪽 버튼 눌러 [속성] 메뉴 선택 [일반] 탭에서 보안과 관련한‘보안 계층’과‘암호화 수준’ 설정 ‘네트워크 수준 인증’이 가능한 클라이언트만 접속할 수 있게 제한하는 체크 박스 확인 [그림 10-48] RDP-Tcp 속성의 [일반] 탭

실습 10-2 윈도우 터미널 서비스 보안 설정하기 [표 10-2] ‘보안 계층’항목 내용 항목 내용 SSL(TLS 1.0) 서버를 인증하고 서버와 클라이언트 간 전송되는 모든 데이터를 암호화한다. RDP보안 계층 기본 RDP암호화를 사용하여 서버와 클라이언트가 통신한다. 선택하면 네트워크 수준 인증을 사용할 수 없다 협상 기본 설정으로, 클라이언트에서 지원하는 가장 안전한 계층을 사용한다. SSL(TLS 1.0)의 사용이 가능한 경우 SSL(TLS 1.0)을 사용하고, 그렇지 않으면 RDP 보안 계층을 사용한다.

실습 10-2 윈도우 터미널 서비스 보안 설정하기 [표 10-3] ‘암호화 수준’항목 내용 RDP-Tcp 속성의 [세션] 탭 : 터미널 서비스 세션에 대한 보안 정책 적용 ‘사용자 설정 무시’체크 한 후 세션에 대해 강제적 적용 ‘활성 세션 제한’ 설정: 사용자가 터미널을 이용할 수 있는 최대 시간에 대한 설정 ‘유휴 세션 제한’ 설정: 사용자가 터미널을 통해 데이터를 보내지 않을 때의 세션 유지 시간설정 항목 내용 낮음 56비트 암호화를 사용해 클라이언트에서 서버로 보내는 데이터를 암호화 한다 서버에서 클라이언트로 보내는 데이터는 암호화하지 않는다. 높음 128비트 암호화를 사용해 클라이언트와 서버 간 주고받는 데이터를 암호화한다 원격 데스크톱에서 연결 클라이언트와 같이 128비트 클라이언트만으로 구성된 환경에서 터미널 서버가 실행되는 경우에 사용한다. 이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없다. FIPS 규격 FIPS(Federal Information Processing Standard) 140-1에서 검증한 암호화 방식을 사용해 클라이언트와 서버 간 주고받는 데이터를 암호화하고 해독한다. 이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없다. 클라이언트 호환 가능 기본 설정으로, 클라이언트에서 지원하는 최대 키 강도로 클라이언트와 서버 간 주고받는 데이터를 암호화한다

실습 10-2 윈도우 터미널 서비스 보안 설정하기 원격제어 권한 관리 [원격제어] 탭 : 터미널 이용한 접근 권한 설정 사용자 기본설정 사용 ‘원격 제어’로 설정 : 로그인한 사용자 계정의 권한 따름 ‘원격 제어할 수 없음’으로 설정 : 로그인한 계정에 관계없이 원격 제어 불가능 ‘다음 설정을 사용하여 원격 제어’로 설정 : 터미널접속 허용한 서버에 접속 허용 필요 [그림 10-49] RDP-Tcp 속성의 [세션]과 [원격 제어] 탭 2

실습 10-2 윈도우 터미널 서비스 보안 설정하기 원격 제어 인터페이스 제한 RDP-Tcp 속성의 [네트워크 어댑터] 탭 : 터미널 접속 위해 접근해야 하는 네트워크 어댑터 설정 [그림 10-50] RDP-Tcp 속성의 [네트워크 어탭터] 탭 3

실습 10-2 윈도우 터미널 서비스 보안 설정하기 터미널 서비스 사용자 제한 [보안] 탭 : 터미널 사용 가능한 사용자에 대한 접근 권한 설정 [그림 10-51] RDP-Tcp 속성의 [보안] 탭 4

실습 10-2 윈도우 터미널 서비스 보안 설정하기 터미널 서비스 연결 세션(사용자) 확인 터미널 서비스의 현재 사용자 목록 [제어판]-[관리도구]-[터미널 서비스]-[터미널 서비스 관리자]에서 확인 [그림 10-52] 터미널 연결에 대한 속성 설정 5

실습 10-2 윈도우 터미널 서비스 보안 설정하기 터미널 서비스 포트 변경 터미널 서비스는 3389 포트 기본 사용 서비스 포트를 임의의 다른 포트로 바꿔 보안 포트 번호 레지스트리 편집기 이용 변경 레지스트리키 값 :‘HKEY_LOCAL_MACHINE\System\CurrentControlSet \Control\TerminalServer\Wds\Rdpwd\Tds\Tcp\PortNumber’ [그림 10-53] 터미널 서비스 포트 번호 설정 6

데몬 관리 기타 서비스 보안 설정 SNMP(Simple Network Management Protocol, 161) NMS(Network Management System)가 사용 프로토콜, 네트워크 및 네트워크상의 장비 관리 계정 목록 및 세션 정보 등 너무 많은 정보 노출시켜 해킹에 자주 이용 [제어판]-[관리도구]-[컴퓨터 관리]-[서비스]에서 서비스 중단 PRINTER(515) : 프린터와TCP/IP 이용 연결할 때 사용 IIS(1025) 윈도우 서버 2000과 2003 : IIS 시스템에서 DCE(Distributed Computing Environment) 운영 위한 포트로, 메신저 서비스 운영 메신저 서비스 운영하는 시스템에 특정 메시지 전송 메신저 서비스 [제어판]-[관리 도구]-[컴퓨터 관리]-[서비스]에서 중지 LSA 또는 nterm(1030) (1030) 포트는 BBN(Bolt, Beranek and Newman) IAD(Interface Access Device)라고 함 브리지 또는 라우터와 IP 이용 통신할 때 조절 역할 MSDTC(3372) : 설정 변경에 대한 클러스터링 시스템 간 동기화

접근 제어 윈도우 서버 2008의 방화벽 [제어판]-[관리 도구]-[서버 관리자]의 [구성]-[고급 보안이 설정된 Windows 방화벽]의 인바운드/아웃바운드 규칙을 통해 설정 인바운드 : 시스템의 네트워크 인터페이스를 통해 시스템 외부에서 시스템 내부의 서비스 방향, 또는시스템의 클라이언트 방향으로 흘러들어오는 네트워크 트래픽 아웃바운드: 인바운드의 반대 개념 방화벽은 일반적으로 인바운드/아웃바운드의 규칙을 별도로 설정

실습 10-3 윈도우 방화벽 규칙 적용하기 새 규칙 생성 마법사 시작 윈도우 서버 2008 : [서버 관리자]의 [구성]-[고급 보안이 설정된Windows 방화벽]- [인바운드 규칙]을 선택 ‘작업’창에서‘새 규칙’ 선택 규칙을 설정할 수 있는‘새 인바운드 규칙 마법사’가 실행 [그림 10-57] 서버 관리자에서 새 인바운드 규칙 마법사 시작 1

실습 10-3 윈도우 방화벽 규칙 적용하기 생성 규칙 선택 ‘새 인바운드 규칙 마법사’ 실행 후,‘규칙종류’ 선택 • 프로그램 : 윈도우에 설치된 프로그램별로 접근 권한을 설정한다. • 포트 : 포트 번호별로 접근 권한을 설정한다. • 미리 정의됨 : 미리 정의된 프로그램 또는 포트 번호별(서비스)로 접근 권한을 설정한다. • 사용자 지정 : 프로그램별로 특정 포트에 대한 접근 권한을 설정한다 ‘포트’ 선택 [그림 10-58] 포트 번호별 접근 권한 설정 2

실습 10-3 윈도우 방화벽 규칙 적용하기 프로토콜 및 포트 선택 프로토콜의 종류와 포트 번호 선택 3 [그림 10-59] TCP 프로토콜의 8080 포트에 대해 접근 권한 설정 3

실습 10-3 윈도우 방화벽 규칙 적용하기 연결 허용 및 차단 여부 설정 연결 허용은 일반 허용과 IPSec으로 보호된 연결에 대한 허용 [그림 10-60] 연결 허용 및 차단 설정 4

실습 10-3 윈도우 방화벽 규칙 적용하기 방화벽 규칙 적용 네트워크 선택 도메인, 개인, 공용 중 네트워크 환경 선택 5 [그림 10-61] 방화벽 규칙 적용 환경 설정 5

실습 10-3 윈도우 방화벽 규칙 적용하기 방화벽 접근 제어 규칙 이름과 설명 입력 설정한 접근 제어 규칙의 이름과 설명 입력 [그림 10-62] 방화벽 접근 제어 규칙에 대한 이름과 설명 입력 6

실습 10-3 윈도우 방화벽 규칙 적용하기 설정한 규칙 목록에서 확인 [그림 10-63] 설정한 인바운드 규칙 확인

실습 10-3 윈도우 방화벽 규칙 적용하기 방화벽 접근 제어 규칙 확인 설정한 인바운드 규칙에서 마우스 오른쪽 버튼 눌러 [속성] 메뉴 선택 설정한 인바운드 규칙에 대한 사항 확인 [일반] 탭 : 포트 이름과 그 규칙이 연결 허용에 대한 것인지 차단에 대한 것인지 확인 [그림 10-64] 설정한 인바운드 규칙 속성의 [일반] 탭 7

실습 10-3 윈도우 방화벽 규칙 적용하기 IP 단위로 접근제어 가능 시스템 설정 [그림 10-65] 설정한 인바운드 규칙 속성의 [사용자 및 컴퓨터]와 [영역] 탭 8

파일과 디렉터리 관리 관리 NTFS에서 설정한 디렉터리 및 파일에 대한 접근 권한 설정 규칙 - 개별 사용자가 여러 그룹에 속한 경우 특정 파일이나 디렉터리에 대한 접근 권한 누적 규칙 2. 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선 - 파일이 포함된 디렉터리의 권한보다 파일에 대한 권한 설정이 우선 규칙3‘. 허용’보다‘거부’가 우선 - 중첩 권한 중 명백한‘거부’설정이 있으면‘허용’보다‘거부’가 우선 적용

실습 10-4 파일과 디렉터리 권한 설정하기 디렉터리에 대한 기본 권한 설정 임의의 폴더(디렉터리)에서 마우스 오른쪽 버튼 눌러 [속성] 메뉴 선택한 후 [보안] 탭 선택. <편집> 버튼을 누르면 접근 권한 편집 [그림 10-66] 생성한 wishfree 폴더의 [wishfree 속성]-[보안] 탭과 권한 편집 1

실습 10-4 파일과 디렉터리 권한 설정하기 NTFS에서 설정할 수 있는 디렉터리 권한의 종류 •모든 권한 : 디렉터리에 대한 접근 권한과 소유권 변경, 서브 폴더와 파일 삭제 •수정: 폴더 삭제‘, 읽기및 실행’과 ‘쓰기’가 동일 권한 •읽기 및 실행 : 읽기 수행, 디렉터리나 파일 이동 •폴더 내용 보기 : 디렉터리의 파일이나 서브 디렉터리의 이름 볼 수 있다. •읽기 : 디렉터리의 내용 읽기만 가능 •쓰기 : 디렉터리의 서브 디렉터리와 파일 생성, 소유권이나 접근 권한 설정 내용 확인

실습 10-4 파일과 디렉터리 권한 설정하기 디렉터리에 대한 특정 권한 설정 [그림 10-66] 왼쪽 화면의 <고급> 버튼 눌러 설정 [그림 10-67] 고급 보안 설정 창의 확인 2

실습 10-4 파일과 디렉터리 권한 설정하기 <편집> 버튼 눌러 사용자 계정과 그룹 추가하여 개별적으로 권한 설정 다시<편집> 버튼 누르면 상세한 권한 목록 확인 [그림 10-68] 고급 보안 설정 창에서 사용 권한 편집창 확인

실습 10-4 파일과 디렉터리 권한 설정하기 6가지 권한과 맵핑 [표 10-4] 기본 권한별 상세 권한 맵핑 구분 모든 권한 수정 읽기 및 실행 폴더 내용 보기 읽기 쓰기 폴더 열기/파일 실행 ○ 폴더 목록/데이터 읽기 특성 읽기 확장 특성 읽기 파일 만들기/데이터 쓰기 폴더 만들기/데이터 추가 특성 쓰기 확장 특성 쓰기 하위 폴더 및 파일 삭제 삭제 권한 읽기 변경 권한 소유권 가져오기 동기화

실습 10-4 파일과 디렉터리 권한 설정하기 유효 권한 확인 방법 윈도우 서버 2008 : ‘유효 권한’확인 기능(실직적 권한 확인 용이) 고급 보안 설정 창에서 [유효 사용 권한] 탭 선택 계정 및 그룹별 유효 사용 권한 확인 특정 사용자 계정 및 그룹의 유효 권한을 확인하려면 확인 할 계정이나 그룹 선택 [그림 10-69] 고급 보안 설정 창에서 [유효 사용 권한] 탭 3

실습 10-4 파일과 디렉터리 권한 설정하기 <고급> 버튼 누르고 일반 계정인 user 계정 선택 [그림 10-70] 사용자 또는 그룹 선택 화면

실습 10-4 파일과 디렉터리 권한 설정하기 user 계정 선택 후, <확인> 버튼 누르면 [유효 사용 권한] 탭에서 user 계정에 대한 실질 권한 목록 확인 [그림 10-71] 선택한 계정 및 그룹에 대한 유효 권한 확인

실습 10-4 파일과 디렉터리 권한 설정하기 EFS 설정 파일이나 디렉터리의 등록 정보의 [일반] 탭에서 <고급>버튼 누른다. 파일에 대한 압축과 암호화를 지원하는데, 암호화한 파일이나 디렉터리는 관리자와 생성자만 읽을 수 있음 [그림 10-72] 임의의 디렉터리 속성의 [일반] 탭 [그림 10-73] EFS 적용을 위한 설정 창

패치 윈도우는 소스 코드의 비공개 원칙 MS를 통해서만 패치를 받을 수 있음 패치 서비스 사이트에 접속하면 원격에서 현재 시스템에 대한 패치 정보 수집하여 적절한 패치 권장