차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판다음 판양쪽 다음 판 | ||
guide:win2003 [2013/07/22 09:42] – wiki1122 | guide:win2003 [2017/08/21 06:18] – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 54: | 줄 54: | ||
| | | | ||
| | | | ||
- | ++++ | + | |
==== 계정 잠금 정책 설정(중요도 : 상) ==== | ==== 계정 잠금 정책 설정(중요도 : 상) ==== | ||
줄 87: | 줄 87: | ||
5번 잘못된 로그온 시도 후 계정 잠금 : 로그인 시도 횟수를 5번으로 설정하며, | 5번 잘못된 로그온 시도 후 계정 잠금 : 로그인 시도 횟수를 5번으로 설정하며, | ||
- | ++++ | + | |
==== 암호 정책 설정(중요도 : 상) ==== | ==== 암호 정책 설정(중요도 : 상) ==== | ||
줄 93: | 줄 93: | ||
패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정 | 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정 | ||
- | ** - 기준 | + | === 기준 |
가. 암호정책 설정\\ | 가. 암호정책 설정\\ | ||
줄 108: | 줄 108: | ||
**※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, | **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, | ||
\\ | \\ | ||
- | ** - 설정방법 | + | === 설정방법 |
\\ | \\ | ||
1. 암호정책 설정 방법\\ | 1. 암호정책 설정 방법\\ | ||
줄 135: | 줄 135: | ||
* " | * " | ||
- | ** - 상세설명 | + | === 상세설명 |
패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, | 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, | ||
더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다. | 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다. | ||
- | ++++ | + | ---- |
===== 2. 파일 시스템 ===== | ===== 2. 파일 시스템 ===== | ||
줄 163: | 줄 164: | ||
IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' | IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' | ||
- | ++++ | + | |
==== 사용자 홈 디렉터리 접근 제한(중요도 : 중) ==== | ==== 사용자 홈 디렉터리 접근 제한(중요도 : 중) ==== | ||
줄 169: | 줄 170: | ||
임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정 | 임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정 | ||
- | ** - 기준 | + | === 기준 |
가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: | 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: | ||
- | ** - 설정방법 | + | === 설정방법 |
사용자 홈 디렉터리 권한 설정 | 사용자 홈 디렉터리 권한 설정 | ||
- 디렉터리 위치 | - 디렉터리 위치 | ||
줄 185: | 줄 186: | ||
사용자 계정 별 홈 디렉터리의 권한이 제한되어 있지 않을 경우 임의의 사용자가 파일 및 디렉터리에 접근이 가능하므로 해당 사용자만의 접근 권한을 설정해야 합니다. | 사용자 계정 별 홈 디렉터리의 권한이 제한되어 있지 않을 경우 임의의 사용자가 파일 및 디렉터리에 접근이 가능하므로 해당 사용자만의 접근 권한을 설정해야 합니다. | ||
- | ++++ | + | |
==== 공유 폴더 설정(중요도 : 상) ==== | ==== 공유 폴더 설정(중요도 : 상) ==== | ||
줄 246: | 줄 247: | ||
또한 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유폴더를 everyone 그룹으로 공유가 금지되었는지 여부를 점검합니다. EveryOne이 공유계정에 포함 되어 있을 경우 익명 사용자의 접근이 가능하므로 접근을 확인하여 제어 하게 되면 익명사용자에 의한 접근을 차단 할 수 있습니다. | 또한 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유폴더를 everyone 그룹으로 공유가 금지되었는지 여부를 점검합니다. EveryOne이 공유계정에 포함 되어 있을 경우 익명 사용자의 접근이 가능하므로 접근을 확인하여 제어 하게 되면 익명사용자에 의한 접근을 차단 할 수 있습니다. | ||
- | ++++ | + | |
==== SAM(Security Account Manager)파일 권한 설정(중요도 : 상) ==== | ==== SAM(Security Account Manager)파일 권한 설정(중요도 : 상) ==== | ||
줄 269: | 줄 270: | ||
Security Account Manager (SAM) 파일은 사용자와 그룹 계정들을 다루고, LSA를 위한 인증을 제공합니다. 패스워드 공격 시도에 의한 Password Database 노출될 수 있으므로 Administrator 및 System 그룹외에는 SAM 파일에 대한 접근이 제한 되어야 합니다. | Security Account Manager (SAM) 파일은 사용자와 그룹 계정들을 다루고, LSA를 위한 인증을 제공합니다. 패스워드 공격 시도에 의한 Password Database 노출될 수 있으므로 Administrator 및 System 그룹외에는 SAM 파일에 대한 접근이 제한 되어야 합니다. | ||
- | ++++ | + | |
===== 3. 네트워크 서비스 ===== | ===== 3. 네트워크 서비스 ===== | ||
줄 306: | 줄 307: | ||
| | | | ||
- | ++++ | + | |
==== 터미널 서비스 암호화 수준 설정(중요도 : 중) ==== | ==== 터미널 서비스 암호화 수준 설정(중요도 : 중) ==== | ||
줄 329: | 줄 330: | ||
터미널 서비스는 원격지에 있는 서버를 관리하기 위한 유용한 도구이나 취약한 패스워드를 사용하거나 접근제어가 적절치 못할 경우 해킹의 도구로 악용될 수 있으므로 불필요하게 터미널 서비스가 사용되고 있는지 점검합니다. | 터미널 서비스는 원격지에 있는 서버를 관리하기 위한 유용한 도구이나 취약한 패스워드를 사용하거나 접근제어가 적절치 못할 경우 해킹의 도구로 악용될 수 있으므로 불필요하게 터미널 서비스가 사용되고 있는지 점검합니다. | ||
- | ++++ | + | |
==== 방화벽 정책 적용(중요도 : 상) ==== | ==== 방화벽 정책 적용(중요도 : 상) ==== | ||
줄 345: | 줄 346: | ||
신규 서비스 오픈 시 보안진단 신청을 완료해야 방화벽 오픈이 가능하며 Any Open(사내 망 Any Open 합니다. 대외 망 다수의 IP 오픈 포함)은 보안진단 후 취약점 조치가 완료 되야 방화벽 오픈이 가능합니다. | 신규 서비스 오픈 시 보안진단 신청을 완료해야 방화벽 오픈이 가능하며 Any Open(사내 망 Any Open 합니다. 대외 망 다수의 IP 오픈 포함)은 보안진단 후 취약점 조치가 완료 되야 방화벽 오픈이 가능합니다. | ||
- | ++++ | + | |
===== 4. 주요 응용 설정 ===== | ===== 4. 주요 응용 설정 ===== | ||
줄 368: | 줄 369: | ||
또한, 엄격한 계정정책을 사용하지 않으면 외부의 비인가자에 의한 침해의 통로가 될 수 있으며 Telnet을 이용한 통신은 암호화 되지 않은 평문으로 전송되므로 간단한 Sniffer 에 의해서도 정보가 유출될 수 있습니다.\\ | 또한, 엄격한 계정정책을 사용하지 않으면 외부의 비인가자에 의한 침해의 통로가 될 수 있으며 Telnet을 이용한 통신은 암호화 되지 않은 평문으로 전송되므로 간단한 Sniffer 에 의해서도 정보가 유출될 수 있습니다.\\ | ||
- | ++++ | + | |
==== DNS(Domain Name Service)보안 설정(중요도 : 중) ==== | ==== DNS(Domain Name Service)보안 설정(중요도 : 중) ==== | ||
줄 389: | 줄 390: | ||
DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않으며 적절한 설정을 통하여 이러한 정보의 전송을 제한할 수 있습니다. DNS 서버를 사용하지 않을 경우 중지시킵니다. | DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않으며 적절한 설정을 통하여 이러한 정보의 전송을 제한할 수 있습니다. DNS 서버를 사용하지 않을 경우 중지시킵니다. | ||
- | ++++ | + | |
==== SNMP(Simple Network Management Protocol)서비스 보안 설정(중요도 : 상) ==== | ==== SNMP(Simple Network Management Protocol)서비스 보안 설정(중요도 : 상) ==== | ||
줄 413: | 줄 414: | ||
SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다. | SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다. | ||
- | ++++ | + | |
===== 5. 보안패치 ===== | ===== 5. 보안패치 ===== | ||
줄 433: | 줄 434: | ||
서비스 팩은 Windows 시스템을 마이크로소프트에서 출시하고 난 뒤 Windows와 관련된 응용프로그램, | 서비스 팩은 Windows 시스템을 마이크로소프트에서 출시하고 난 뒤 Windows와 관련된 응용프로그램, | ||
- | ++++ | + | |
==== 최신 HOT FIX 적용(중요도 : 상) ==== | ==== 최신 HOT FIX 적용(중요도 : 상) ==== | ||
시스템 안정 및 보안성 향상을 위한 최신 HOT FIX적용여부 점검 | 시스템 안정 및 보안성 향상을 위한 최신 HOT FIX적용여부 점검 | ||
줄 458: | 줄 459: | ||
Hot Fix는 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련된)을 패치하기 위해 배포되는 프로그램입니다. Hot Fix는 각각의 Service Pack 이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됩니다. 때론, Hot Fix 보다 취약성을 이용한 공격도구가 먼저 출현 할 수 있으므로 Hot Fix는 발표 후 가능한 빨리 설치 할 것을 권장합니다. | Hot Fix는 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련된)을 패치하기 위해 배포되는 프로그램입니다. Hot Fix는 각각의 Service Pack 이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됩니다. 때론, Hot Fix 보다 취약성을 이용한 공격도구가 먼저 출현 할 수 있으므로 Hot Fix는 발표 후 가능한 빨리 설치 할 것을 권장합니다. | ||
- | ++++ | + | |
===== 6. 시스템 보안 설정 ===== | ===== 6. 시스템 보안 설정 ===== | ||
줄 477: | 줄 478: | ||
일반적으로 시스템 로그파일은 C: | 일반적으로 시스템 로그파일은 C: | ||
- | ++++ | + | |
==== 화면 보호기 설정(중요도 : 하) ==== | ==== 화면 보호기 설정(중요도 : 하) ==== | ||
줄 499: | 줄 500: | ||
로그오프하거나 워크스테이션 잠김 설정이 되어있는지 여부를 확인합니다. 자리 이탈시의 정보 유출 가능성을 최소화 합니다.\\ | 로그오프하거나 워크스테이션 잠김 설정이 되어있는지 여부를 확인합니다. 자리 이탈시의 정보 유출 가능성을 최소화 합니다.\\ | ||
- | ++++ | + | |
==== 이벤트 뷰어 설정(중요도 : 상) ==== | ==== 이벤트 뷰어 설정(중요도 : 상) ==== | ||
줄 521: | 줄 522: | ||
보안 로그의 크기를 유지하여 접근자 추적 및 불법 접근자 확인 자료로 이용합니다.\\ | 보안 로그의 크기를 유지하여 접근자 추적 및 불법 접근자 확인 자료로 이용합니다.\\ | ||
- | ++++ | + | |
==== 로그인 시 경고 메시지 표시 설정(중요도 : 중) ==== | ==== 로그인 시 경고 메시지 표시 설정(중요도 : 중) ==== |