윈도우서버2008 - (보안 정책 및 감사)
오늘은 '보안 정책 및 감사' 에 대해서 작성하려고 합니다.
물론 이건 개인이 쓰는 OS에는 필요없습니다. 개인PC에서 패스워드 관련 보안정책이라던지, 감사 이런게 필요할 이유는 없죠?
하지만 큰 회사의 도메인 컨트롤러 컴퓨터 (최고관리자 컴퓨터) 라고 한다면 꼭 '보안 정책 및 감사' 설정을 하셔야 합니다.
보안 정책의 예는 패스워드를 해당 제한 수 이상 틀리면 몇 분동안 로그인 불가 같은 거 말이죠.
감사는 그 운영정책에 따른 관리, 실천 같은 것들이 잘 되고 있는 지 회사내의 감사부에서 감사하는 것을 말합니다.
윈도우서버2008에서만 감사하는 것이 아닌 리눅스,유닉스계열 에서도 많은 감사를 한다고 하네요.
그럼 본격적으로 사진과 함께 포스팅을 시작하겠습니다.
시작 > 관리 도구 > 로컬 보안 정책 에서 로컬컴퓨터 보안정책을 확인해보세요.
물론 여기서 설정한 것들은 도메인에 묶여있는 계정에 영향을 미치지 않습니다.
왜냐하면 로컬이니깐요.
로컬은 개인컴퓨터를 의미해요. (도메인 아이디로 로그인하지 않고 자신의PC에서 직접 만든 계정으로 로그인)
위와 같이 우리가 윈도우서버 보안정책을 대충 살펴 볼 수 있는데요.
예전 포스팅에서 계정 생성을 할 때 패스워드를 8자리 이상, 영문숫자 혼합 이라고 경고창이 떳었는데요. 위와 같이 세워진
정책하에 뜬 경고창이였습니다.
이런식으로 'n번의 잘못된 로그인 ...' 이라는 거 보이시죠?
아까 말했듯이 브루트포싱을 방지하기 위한 방법 중 하나에요.
브루트포싱은 모든 문자를 대입하는 것을 말하는데요. 저렇게 위와 같이 n번의 잘못된 로그인이 되면 계정을 잠구는거죠.
그럼 해커가 계정을 뚫는데 많은 시간이 소요되거나 혹은 뚫 수 없게 되겠죠?
옆에 창을 보면 kerberos 정책 , 로컬 정책 등 많은 정책이 보이는데 서버정책에서 살펴보도록 할게요. 거의 흡사합니다.
서버컴퓨터 실행창에서 mmc 를 입력합니다.
mmc 는 관리자 입맛에 맞게 필요한 서비스들을 공구통처럼 설정할 수 있는 툴이에요.
파일 > 스냅인 추가/제거
보안 구성 및 분석 , 보안 템플릿 추가
여기까지 잘 따라와주세요~
보안템플릿 > 경로에서 새 템플릿 만들기 >
새 템플릿을 만들면 위와 같이 여러 정책 탭들이 생겨요.
계정 정책 > 암호 정책 > 원하시는 것들을 정의하고 설정해주세요.
전 위와 같이 설정하겠습니다.
그리고 설정한 템플릿들을 저장해주세요.
보안 구성 및 분석 오른쪽 마우스 크릭 > 템플릿 가져오기
위에서 저장한 템플릿파일이 보이네요. 열기
그러면 현재 설정되있는 정책과 템플릿에서 설정한 정책들을 비교합니다.
데이터베이스 설정 : 템플릿에서 설정한 것들 (데이터베이스에서)
컴퓨터 설정 : 기존에 설정되있던 정책 설정
체크 표시는 바뀐 게 없는것이구요.
X는 템플릿가 기존설정이 달라서 뜨는겁니다.
비교까지 해보고 그럼 이제 새로 설정한 정책들을 도메인서버에 적용해야겠죠?
보안 구성 및 분석 오른쪽마우스 클릭 > 지금 컴퓨터 구성
로그파일을 찾아 시스템을 구성합니다.
시작 > 관리 도구 > 액티브 디렉토리 사용자 및 컴퓨터
새로 설정된 정책이 잘 적용 됬는지 확인하기 위해 계정을 새로 생성합니다.
새로 설정하기 전에는 최소 비밀번호가 7자리였고 .. 지금은 8자리로 바꼈습니다.
7자리를 입력해보겠습니다.
보안 정책 요구 사항에 맞지 않습니다. 최소 암호 길이, 암호 복잡도 등을 확인하라네요.
잘 적용 되었다는 것을 알 수 있네요.
여기까지 보안 정채 설정에 대해서 대략 알아보았는데요. 암호 정책 말고 다른 정책도 많은데 그것들은 추가 포스팅으로 따로 하도록
하겠습니다.
여기까지 보안 정책을 세웠으면 이제 감사가 이루어져야 합니다.
우리가 로그인을 성공하였을 때, 로그인을 실패하였을 때, 파일서버에 접근하였을 때 등 모든 로그들이 도메인 컨트롤러로 넘어가는데요.
모든 기록들이 log 로 남습니다. 그 log 를 바탕으로 감사팀은 감사를 진행하겠죠.
로그를 남기지 않은 서버관리자는 법에 의한 처벌을 받게됩니다.
로그를 남기는 것은 법으로 정해져있습니다.
파일서버에 다른부서가 접근하였다던지
다른 부서의 계정으로 로그인 시도를 하였다던지
를 감사부에 판단하에 정책 요구에 맞지 않는 사용자를 제제하겠죠.
그럼 감사를 어떻게 하는지 알아보겠습니다.
시작 > 관리 도구 > 이벤트 뷰어
아까 말씀드린 여러 기록들의 log 가 보이네요.
수준, 날짜 및 시간 , 원본, 이벤트ID, 등
우리는 몇가지의 이벤트ID로 분석을 좀 더 쉽게 할 수 있는데요.
위와 같은 Event ID 가 있습니다.
윈도우 로그 > 보안 에 가보면 로그인 기록들을 볼 수 있습니다.
해당 탭을 더블 클릭하면
어떤 컴퓨터에서 로그인 하였는지
사용자가 누구인지
등을 알 수 있구요.
자세히 를 눌러보면 XML 언어로 로그들이 기록되있습니다.
윈도우서버 로그들은 XML 형식으로 남는 것 같네요.
위의 EventID로 로그인 성공여부를 확인 할 수 있습니다.
물론 많은 EventID가 있습니다.
오른쪽 필터링 기능으로 EventID 필터링이 가능합니다.
로그온 EventID 4624 로그들만 확인 할 수 있네요.
(저도 로그인을 엄청 많이했었네요 ㅎ;;)
이런식으로 정책을 세우고 감사팀은 감사를 하고 이런 형식으로 대부분의 회사들이 운영되고 있다고 보시면 되요.
꼭 윈도우서버일 필요는 없어요. 물론 정책 세우는 방식이라던지 감사 등은 OS 기능에 따라 달라 질 수 있지만
기준만 명확하게 세운다면 정책은 얼마든지 세울 수 있으니까요.
여기까지
정책 수정 >> 이벤트 뷰어를 통한 로그확인 및 분석 >> 감사 >>
에 대해서 알아보았구요.
다음 포스팅에서는 하드디스크를 추가해서 여러 파티션(볼륨)으로 나눠서 이용하는 방법에 대해서 알아보겠습니다.