현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » Windows 2003 보안가이드라인

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
guide:win2003 [2013/07/22 09:44] wiki1122guide:win2003 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 18: 줄 18:
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>그룹 Administrators그룹을 선택하여 구성원 중 불필요한 관리자 계정 제거\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>그룹 Administrators그룹을 선택하여 구성원 중 불필요한 관리자 계정 제거\\
 \\ \\
-{{:ws2003:1.jpg|}} \\+{{:ws2003:1.jpg?nolink|}} \\
 \\ \\
 Administrator 변경시 보안옵션을 이용하여 변경\\ Administrator 변경시 보안옵션을 이용하여 변경\\
 시작>설정>제어판>관리도구>로컬 보안 정책>로컬 정책>보안 옵션>' 계정 : Administrator 계정이름 바꾸기'를 더블 클릭 -> Administraotr 계정 변경 \\  시작>설정>제어판>관리도구>로컬 보안 정책>로컬 정책>보안 옵션>' 계정 : Administrator 계정이름 바꾸기'를 더블 클릭 -> Administraotr 계정 변경 \\ 
-{{:ws2003:2.jpg|}}+{{:ws2003:2.jpg?nolink|}}
 \\ \\
  2. GUEST 계정 비활성화\\  2. GUEST 계정 비활성화\\
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 Guest 계정의 속성에서 Guest 계정에 대한 사용 제한 설정\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 Guest 계정의 속성에서 Guest 계정에 대한 사용 제한 설정\\
  \\  \\
-{{:ws2003:3.jpg|}}\\ +{{:ws2003:3.jpg?nolink|}}\\ 
 \\ \\
  3. 사용하는 계정에 대해 "전체이름 또는 "설명" 부분 내용 기입\\   3. 사용하는 계정에 대해 "전체이름 또는 "설명" 부분 내용 기입\\ 
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 더 이상 사용되지 않는 계정을 제거\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 더 이상 사용되지 않는 계정을 제거\\
  \\   \\ 
-{{:ws2003:4.png|}} \\ +{{:ws2003:4.png?nolink|}} \\ 
 \\ \\
 ※ 계정 삭제를 Command Line 에서 할 경우\\ ※ 계정 삭제를 Command Line 에서 할 경우\\
줄 70: 줄 70:
 계정 잠금 임계 값을 5로 설정 \\  계정 잠금 임계 값을 5로 설정 \\ 
 \\ \\
-{{:ws2003:5.jpg|}} \\+{{:ws2003:5.jpg?nolink|}} \\
 \\ \\
 ※ AMS 확인방법 예시(레드아울)\\ ※ AMS 확인방법 예시(레드아울)\\
  컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작됨] \\   컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작됨] \\ 
-{{:ws2003:6.jpg|}} \\+{{:ws2003:6.jpg?nolink|}} \\
  
  
줄 113: 줄 113:
 로컬 보안 설정>계정정책>암호 정책 선택 후 설정\\ 로컬 보안 설정>계정정책>암호 정책 선택 후 설정\\
 \\ \\
- {{:ws2003:7.jpg|}}\\+ {{:ws2003:7.jpg?nolink|}}\\
  
 ※ AMS 확인방법 예시(레드아울) ※ AMS 확인방법 예시(레드아울)
 컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작]\\ 컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작]\\
  \\  \\
-{{:ws2003:8.jpg|}}\\+{{:ws2003:8.jpg?nolink|}}\\
 \\ \\
 2. 패스워드 설정 기준\\ 2. 패스워드 설정 기준\\
줄 158: 줄 158:
   * 탐색기 -> C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안 -> administrators 와 system 이외의 그룹은 제거 권고 ( [보안탭] 이 보이지 않는 경우 폴더 옵션 보기 > 고급설정 에서 "모든 사용자에게 동일한 폴더 공유 권한을 지정(권장)" 을 해지 후 설정)   * 탐색기 -> C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안 -> administrators 와 system 이외의 그룹은 제거 권고 ( [보안탭] 이 보이지 않는 경우 폴더 옵션 보기 > 고급설정 에서 "모든 사용자에게 동일한 폴더 공유 권한을 지정(권장)" 을 해지 후 설정)
  
-{{:ws2003:9.jpg|}}\\+{{:ws2003:9.jpg?nolink|}}\\
    
  
줄 180: 줄 180:
   - 해당 사용자에 대한 권한외 일반 계정 삭제   - 해당 사용자에 대한 권한외 일반 계정 삭제
    
-{{:ws2003:10.jpg|}}+{{:ws2003:10.jpg?nolink|}}
  
 ** - 상세설명 ** ** - 상세설명 **
줄 207: 줄 207:
   - 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭   - 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭
  
- {{:ws2003:11.jpg|}}\\+ {{:ws2003:11.jpg?nolink|}}\\
 \\ \\
 [ 공유제거 방법 2 ]\\ [ 공유제거 방법 2 ]\\
줄 213: 줄 213:
   - net share 공유명 /delete 명령을 통해 공유 제거   - net share 공유명 /delete 명령을 통해 공유 제거
  
- {{:ws2003:12.jpg|}}\\+ {{:ws2003:12.jpg?nolink|}}\\
 \\ \\
 [ 레지스트리 값 입력 방법 ]\\ [ 레지스트리 값 입력 방법 ]\\
줄 228: 줄 228:
 아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 '0'으로 입력(default 값:0) 아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 '0'으로 입력(default 값:0)
  \\  \\
-{{:ws2003:13.jpg|}}\\+{{:ws2003:13.jpg?nolink|}}\\
 \\ \\
-{{:ws2003:14.jpg|}}\\+{{:ws2003:14.jpg?nolink|}}\\
 \\ \\
 또한, 방화벽과 라우터에서 135,139(TCP/UDP)포트를 차단하여 외부로부터의 위험을 제거함으로써 보안성을 높일 수 있음.\\ 또한, 방화벽과 라우터에서 135,139(TCP/UDP)포트를 차단하여 외부로부터의 위험을 제거함으로써 보안성을 높일 수 있음.\\
줄 237: 줄 237:
 공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가 공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가
 \\  \\ 
-{{:ws2003:15.jpg|}}\\+{{:ws2003:15.jpg?nolink|}}\\
 \\ \\
 === 상세설명 === === 상세설명 ===
줄 260: 줄 260:
   * [Windows]\WINDOWS\System32\config\SAM파일>속성보안>Administrators, System 그룹만 모든 권한으로 등록되어 있는지 확인   * [Windows]\WINDOWS\System32\config\SAM파일>속성보안>Administrators, System 그룹만 모든 권한으로 등록되어 있는지 확인
  
-{{:ws2003:16.jpg|}}\\+{{:ws2003:16.jpg?nolink|}}\\
  \\  \\
-{{:ws2003:17.jpg|}}\\+{{:ws2003:17.jpg?nolink|}}\\
 \\ \\
   * 액티브 디렉터리가 설치된 경우 SAM 위치 :  C:\(D:\)WINDOWS/ntds/ntds.dit   * 액티브 디렉터리가 설치된 경우 SAM 위치 :  C:\(D:\)WINDOWS/ntds/ntds.dit
줄 290: 줄 290:
 Windows Server 2003은 시작>설정>제어판>관리도구>서비스를 선택하여 속성에서 불필요한 서비스를 중지하고, "시작유형"을 "사용 안 함"으로 수정 Windows Server 2003은 시작>설정>제어판>관리도구>서비스를 선택하여 속성에서 불필요한 서비스를 중지하고, "시작유형"을 "사용 안 함"으로 수정
    
-{{:ws2003:18.jpg|}}\\+{{:ws2003:18.jpg?nolink|}}\\
  
 각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\ 각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\
  
-{{:ws2003:19.jpg|}}\\+{{:ws2003:19.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 325: 줄 325:
   * 암호화 수준을 중간 이상으로 설정   * 암호화 수준을 중간 이상으로 설정
  
- {{:ws2003:20.jpg|}}\\+ {{:ws2003:20.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 361: 줄 361:
 Telnet 서비스에 대한 설정은 설정>제어판>관리도구>텔넷서버 설정을 통하여 할 수 있음\\ Telnet 서비스에 대한 설정은 설정>제어판>관리도구>텔넷서버 설정을 통하여 할 수 있음\\
  \\  \\
-{{:ws2003:21.png|}}\\+{{:ws2003:21.png?nolink|}}\\
 \\ \\
 === 상세설명 === === 상세설명 ===
줄 381: 줄 381:
 승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정>제어판>관리도구>DNS>영역전송 탭에서 각각 도메인의 속성을 선택하여 설정 및 확인 가능. 영역전송을 아무 서버에게나 허용해서는 안 됨\\ 승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정>제어판>관리도구>DNS>영역전송 탭에서 각각 도메인의 속성을 선택하여 설정 및 확인 가능. 영역전송을 아무 서버에게나 허용해서는 안 됨\\
 \\ \\
- {{:ws2003:22.jpg|}}\\+ {{:ws2003:22.jpg?nolink|}}\\
  
 DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판>관리도구>서비스 항목의 속성에서 시작 유형란은 수동으로 변경하고, 상태란은 중지를 눌러 DNS 서버를 중지시킴\\ DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판>관리도구>서비스 항목의 속성에서 시작 유형란은 수동으로 변경하고, 상태란은 중지를 눌러 DNS 서버를 중지시킴\\
 \\ \\
- {{:ws2003:23.jpg|}}\\+ {{:ws2003:23.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 405: 줄 405:
     * 시작>제어판>관리도구>서비스>SNMP Service>속성>보안 탭에서 커뮤니티 이름을 편집     * 시작>제어판>관리도구>서비스>SNMP Service>속성>보안 탭에서 커뮤니티 이름을 편집
  
- {{:ws2003:24.jpg|}}\\+ {{:ws2003:24.jpg?nolink|}}\\
  
   * 불필요시 해당 서비스 제거   * 불필요시 해당 서비스 제거
줄 472: 줄 472:
   * 시스템 로그파일 경로 : C:\WINDOWS\system32\config   * 시스템 로그파일 경로 : C:\WINDOWS\system32\config
  
- {{:ws2003:30.jpg|}}\\+ {{:ws2003:30.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 495: 줄 495:
   * 바탕화면>속성>화면보호기 에서 "화면 보호기" 선택, "암호 사용" 설정, "대기 시간" 5분 권장   * 바탕화면>속성>화면보호기 에서 "화면 보호기" 선택, "암호 사용" 설정, "대기 시간" 5분 권장
  
-{{:ws2003:31.jpg|}}\\ +{{:ws2003:31.jpg?nolink|}}\\ 
  
 === 상세설명 === === 상세설명 ===
줄 513: 줄 513:
 시작>설정>제어판>관리도구>이벤트 뷰어>응용프로그램로그|보안로그|시스템로그>선택>속성\\ 시작>설정>제어판>관리도구>이벤트 뷰어>응용프로그램로그|보안로그|시스템로그>선택>속성\\
 \\ \\
- {{:ws2003:32.png|}}\\+ {{:ws2003:32.png?nolink|}}\\
 \\ \\
   * 최대 로그 크기를 10Mbyte(10240KB)   * 최대 로그 크기를 10Mbyte(10240KB)
줄 543: 줄 543:
  
 \\ \\
- {{:ws2003:33.jpg|}}\\+ {{:ws2003:33.jpg?nolink|}}\\
 \\  \\ 
  
줄 554: 줄 554:
   * LegalNoticeText : 메시지 내용   * LegalNoticeText : 메시지 내용
 \\ \\
- {{:ws2003:34.jpg|}}\\+ {{:ws2003:34.jpg?nolink|}}\\
 \\  \\ 
 **[방법3]**\\ **[방법3]**\\
줄 561: 줄 561:
   * "대화형 로그온 :로그온 시도하는 사용자에 대한 메세지 텍스트" 정책란에 내용을 삽입   * "대화형 로그온 :로그온 시도하는 사용자에 대한 메세지 텍스트" 정책란에 내용을 삽입
 \\ \\
- {{:ws2003:35.jpg|}}\\+ {{:ws2003:35.jpg?nolink|}}\\
 \\   \\  
 === 상세설명 === === 상세설명 ===
줄 585: 줄 585:
   * DontDisplayLastUserName = 1   * DontDisplayLastUserName = 1
 \\ \\
- {{:ws2003:36.jpg|}}\\+ {{:ws2003:36.jpg?nolink|}}\\
 \\  \\ 
 **[방법2]**\\ **[방법2]**\\
줄 612: 줄 612:
   * ShutdownWithoutLogon = 0   * ShutdownWithoutLogon = 0
 \\ \\
- {{:ws2003:37.jpg|}}\\+ {{:ws2003:37.jpg?nolink|}}\\
 \\  \\ 
 **[설정방법2]**\\ **[설정방법2]**\\
줄 618: 줄 618:
   * '로그온 하지 않고 시스템 종료 허용'을 더블 클릭 -> 사용 안 함   * '로그온 하지 않고 시스템 종료 허용'을 더블 클릭 -> 사용 안 함
 \\ \\
- {{:ws2003:38.jpg|}}\\+ {{:ws2003:38.jpg?nolink|}}\\
 \\   \\  
 === 상세설명 === === 상세설명 ===
줄 640: 줄 640:
 개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 "성공|실패" 감사 설정\\ 개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 "성공|실패" 감사 설정\\
 \\ \\
- {{:ws2003:40.jpg|}}\\+ {{:ws2003:40.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 679: 줄 679:
 시작>제어판>관리도구>로컬보안설정>로컬정책>보안 옵션에서 시스템이 종료할 때 가상 메모리 페이지 파일 지움’ 항목을 사용으로 설정함 시작>제어판>관리도구>로컬보안설정>로컬정책>보안 옵션에서 시스템이 종료할 때 가상 메모리 페이지 파일 지움’ 항목을 사용으로 설정함
 \\ \\
- {{:ws2003:41.jpg|}}\\+ {{:ws2003:41.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 734: 줄 734:
   * 시작>실행>regedt32 실행   * 시작>실행>regedt32 실행
 \\ \\
- {{:ws2003:42.jpg|}}\\+ {{:ws2003:42.jpg?nolink|}}\\
 \\   \\  
 HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\ HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\
 \\ \\
- {{:ws2003:43.jpg|}}\\+ {{:ws2003:43.jpg?nolink|}}\\
 \\  \\ 
  [고급] 옵션 선택\\  [고급] 옵션 선택\\
  \\  \\
- {{:ws2003:44.jpg|}}\\+ {{:ws2003:44.jpg?nolink|}}\\
 \\  \\ 
 [감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\ [감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\
 \\ \\
- {{:ws2003:45.jpg|}}\\+ {{:ws2003:45.jpg?nolink|}}\\
 \\  \\ 
 개체 액세스 모든 옵션에 대해 성공/실패 감사 체크 -> 확인\\ 개체 액세스 모든 옵션에 대해 성공/실패 감사 체크 -> 확인\\
 \\ \\
- {{:ws2003:46.jpg|}}\\+ {{:ws2003:46.jpg?nolink|}}\\
 \\  \\ 
 SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면 SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면
줄 769: 줄 769:
 3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택 3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택
 \\ \\
- {{:ws2003:47.jpg|}}\\+ {{:ws2003:47.jpg?nolink|}}\\
 \\  \\ 
 4. RestrictAnonymous 를 입력. 이때 값을 "2"로 변경 4. RestrictAnonymous 를 입력. 이때 값을 "2"로 변경
 \\ \\
- {{:ws2003:48.jpg|}}\\+ {{:ws2003:48.jpg?nolink|}}\\
 \\  \\ 
   * 방화벽과 라우터에서 135,139(TCP, UDP)포트의 차단을 통해 외부로부터의 위협을 차단하도록 함   * 방화벽과 라우터에서 135,139(TCP, UDP)포트의 차단을 통해 외부로부터의 위협을 차단하도록 함
줄 796: 줄 796:
 반드시 필요한 경우를 제외하고는 "불필요한 서비스제거" 항목을 참조하여 "Remote Registry Service" 를 중지\\ 반드시 필요한 경우를 제외하고는 "불필요한 서비스제거" 항목을 참조하여 "Remote Registry Service" 를 중지\\
 \\ \\
- {{:ws2003:49.jpg|}}\\+ {{:ws2003:49.jpg?nolink|}}\\
 \\  \\ 
 꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\ 꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\
줄 810: 줄 810:
 4. 원격 레지스트리 접근을 허용할 계정 추가\\ 4. 원격 레지스트리 접근을 허용할 계정 추가\\
 \\ \\
- {{:ws2003:50.jpg|}}\\+ {{:ws2003:50.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 833: 줄 833:
 4. DefaultPassword 엔트리가 존재한다면 삭제\\ 4. DefaultPassword 엔트리가 존재한다면 삭제\\
 \\ \\
- {{:ws2003:51.jpg|}}\\+ {{:ws2003:51.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
 Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다. Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다.

추적: