SYSTEM/Windows Server 보안

Windows의 서비스와 네트워크 서비스

Windows의 서비스와 네트워크 서비스 윈도우의 서비스는 윈도우가 실행되고 있는 동안 백그라운드 모드에서 구동되는 실행 파일로, 사용자의 관리를 요구하지 않는다. (1) 윈도우 스냅인 윈도우 스냅인 관리 도구 중 services.msc를 실행하여 로컬 시스템에 구동될 수 있는 서비스 목록을 조회할 수 있다. 이 곳에서는 각 서비스에 대한 설명과 함께 서비스 시작/중지/일시정지/계속을 지정할 수 있다. 작업 관리자를 통해서도 '서비스' 관리도구로 넘어올 수 있고 작업 관리자의 '서비스' 탭에서도 목록 조회가 가능하다. 또 다른 스냅인으로 msconfig를 통해서도 서비스 목록을 조회할 수 있다. 이 중 아래와 같은 서비스들이 네트워크 서비스에 해당한다. (2) 명령어 - sc.exe, net start/..

[미완] [WinServer2016] 공유 폴더를 통한 ACL 설정

이번 포스팅에서는 WinServer 2016 환경에서 공유 폴더를 만들고 해당 폴더와 그 하위 폴더, 파일들에 대한 계정 별 접근 제어 실습을 해보겠습니다. 윈도우 환경에서 '폴더 속성의 보안 탭'을 들어가보면, 해당 폴더에 대해 구성원 (그룹 또는 계정)이 갖는 권한을 볼 수 있습니다. 리눅스에서 rwx로 표현하던 것과는 달리 '사용 권한'이라는 이름에 6가지 항목들이 있는데요. 모든 권한: 디렉터리에 대한 접근 권한과 소유권을 변경할 수 있으며, 하위의 디렉터리/파일을 삭제할 수 있다. 수정: 디렉터리 삭제가 가능하며 '읽기 및 실행 + 쓰기 권한'과 같다. 읽기 및 실행: 일긱가 가능하며 디렉터리나 파일을 옮길 수 있다. 읽기: 디렉터리 내용을 읽기만 할 수 있다. 쓰기: 해당 디렉터리 내 하위 디..

Active Directory (5) 공유 폴더 설정 (+ AD 멤버 배경화면 변경)

이번 포스팅에서는 공유 폴더를 만들고 AD에 게시 + 지난 포스팅에서 했던 간단한 GPO까지 해보겠습니다!!! 일단 DS에서 fsmgmt.msc를 실행하여 공유 폴더 관리자를 연다. 아래 공유 폴더 중 'ADMINS, C$, IPC$'는 시스템에서 자동적으로 생성한 관리 공유 폴더이다. 보라색 박스로 표시한 'NETLOGON, SYSVOL'은 AD를 설치함으로써 생기는 기본 공유 폴더다. 우리는 기본으로 생기는 공유 폴더 말고, 도메인 멤버에 파일 등을 공유할 수 있는 새 공유 폴더를 만들 것이다. '새로 만들기' > '공유'를 누르면 공유 폴더 만들기 마법사가 시작될 것이다. 여기서 폴더 경로를 지정해준다. 일단 C 밑에 'Docs'라는 이름의 폴더를 새로 만들어서 경로로 주었다. 설명을 쓰고, 관리자..

Active Directory (4) GPO 설정

이번 포스팅에서는 생성된 AD에 GPO를 설정해볼 것이다. 1. OU 생성 및 구성원 할당 'Active Directory 사용자 및 컴퓨터' 창에 들어가서, 'mika.com' 도메인에 '조직 구성 단위(OU)'를 새로 만든다. 조직 구성 단위의 이름을 '인턴'으로 정하였다. mika.com 에 '인턴'이라는 OU가 생겼다. 그리고 이 곳에 'client1'을 추가한다. Users 그룹에 있던 멤버를 편집한 것이다. 이제 '인턴'이라는 OU에 대해서 설정되는 GPO는 client1 계정에 적용될 것이다. 2. GPO 생성 gpmc.msc를 실행한다. '인턴'이라는 OU가 보일 것이다. 일단 '그룹 정책 개체' > 새로 만들기를 선택한다. 새로 만드는 GPO 이름은 'home_SWU policy'이다. ..

Active Directory (3) Domain 구성하기

hec-ker.tistory.com/314 Active Directory (2) Domain Server (AD DS) 구성하기 AD DS를 구성해보자. 환경은 Windows Server 2016 datacenter 버전이다. 물론 2012 버전이 될 예정.. 0. 컴퓨터 이름 변경, DNS 주소 설정 이더넷 속성에 들어가서 IPv4 항목 속성 설정 창의 IP주소와 서브넷.. hec-ker.tistory.com 이전 포스팅에 이어 이번에는 클라이언트 단에서의 작업을 통해 AD에 접속해보자. DS 설정과 같이 네트워크 - 이더넷 설정 에서 TCP/IPv4의 속성을 선택한다. 이 때 '기본 설정 DNS 서버'의 주소를 이전에 만들었던 AD DS의 IP 주소로 설정한다. 이제 본격적으로 도메인에 연결해보자. ..

Active Directory (2) Domain Server (AD DS) 구성하기

AD DS를 구성해보자. 환경은 Windows Server 2016 datacenter 버전이다. 물론 2012 버전이 될 예정.. 0. 컴퓨터 이름 변경, DNS 주소 설정 이더넷 속성에 들어가서 IPv4 항목 속성 설정 창의 IP주소와 서브넷 마스크, DNS 서버를 설정한다. 이 때 'DNS 서버' 주소를 자신의 IP로 설정한다. 1. 서버 관리자에서 '역할 및 기능 추가' 클릭 2. 계속 '다음'을 누르고, '서버 역할 선택' 창에서 'Active Directory 도메인 서비스' 선택 + '기능 추가' 선택 '기능 추가', 'AD DS' 창에서도 '다음'을 누른다. 3. 마지막으로 설치를 누른다. 4. 설치가 완료되면 해당 AD DS를 도메인 컨트롤러로 설정하기 위해 '이 서버를 도메인 컨트롤러로..

Active Directory (1) AD는 무엇일까

1. AD의 등장 배경과 AD 조직의 규모가 커질수록 object(시스템 자원)의 개수가 많아지므로 관리는 점점 힘들어진다. 그럼 각 object에 접속하는 사용자들은 한 조직의 공유 자원을 이용할 때 그 자원의 위치를 알아야 하고 해당 서버의 로컬 사용자 계정을 통해 접속하므로 계정 정보까지 알고 있어야 한다. 이 문제를 해결하는 것이, 'AD'이다. 'AD'는 Active Directory의 줄임말로, 중앙 서버에 공통 DB를 만들어 각 서버와 클라이언트 단에 해당 DB를 공유, 사용할 수 있도록 하는 것이다. 따라서 각 사용자는 AD를 통해 object(또는 자신의 PC 환경)를 검색할 수 있고 AD는 중앙 DB로서 사용자 인증 및 권한 부여 처리를 한다. 2. AD의 장점 중앙에 DB를 두어 접근..

[WinServer2016] 사용자 계정 생성 및 관리 (4) 그룹 설정 with net group

지난 포스팅에서 net user 명령어를 사용해 WinServer에 사용자 계정을 만들고 관련 옵션 설정을 했습니다. 이번 포스팅에서는 계정의 그룹을 변경하고 암호 관련된 정책 설정을 다룹니다. [WinServer2016] 사용자 계정 생성 및 관리 (1) net user 옵션 이번 포스팅에서는 net user를 활용해 Windows 환경에서 계정을 생성하고 관리하는 법을 다룹니다. NET USER net user(또는 users) : Windows에는 사용자 계정을 추가/수정하거나 사용자 계정 정보를 표시하는 hec-ker.tistory.com [WinServer2016] 사용자 계정 생성 및 관리 (2) net user와 wmic useraccount 지난 [WinServer2016] 사용자 계정 생..

[WinServer2016] 사용자 계정 생성 및 관리 (3) 암호 설정 및 관리 with net accounts + wmic useraccount set passwordexpires

지난 포스팅에서 net user 명령어를 사용해 WinServer에 사용자 계정을 만들고 관련 옵션 설정을 했습니다. 이번 포스팅에서는 계정의 암호 정책 관리를 다룹니다. [WinServer2016] 사용자 계정 생성 및 관리 (1) net user 옵션 이번 포스팅에서는 net user를 활용해 Windows 환경에서 계정을 생성하고 관리하는 법을 다룹니다. NET USER net user(또는 users) : Windows에는 사용자 계정을 추가/수정하거나 사용자 계정 정보를 표시하는 hec-ker.tistory.com [WinServer2016] 사용자 계정 생성 및 관리 (2) net user와 wmic useraccount 지난 [WinServer2016] 사용자 계정 생성 및 관리 (1)에서 ..

[WinServer2016] 사용자 계정 생성 및 관리 (2) net user와 wmic useraccount

지난 [WinServer2016] 사용자 계정 생성 및 관리 (1)에서 다루었던 net user명령어로 설정할 수 있었던 계정 속성은, wmic 명령어를 통해서도 가능한 부분들이 있습니다. 이번 포스팅에서는 같은 동작을 하는 명령어를 정리하겠습니다. hec-ker.tistory.com/310 [WinServer2016] 사용자 계정 생성 및 관리 (1) net user 옵션 이번 포스팅에서는 net user를 활용해 Windows 환경에서 계정을 생성하고 관리하는 법을 다룹니다. NET USER net user(또는 users) : Windows에는 사용자 계정을 추가/수정하거나 사용자 계정 정보를 표시하는 hec-ker.tistory.com 아래 화면은 net user 명령어를 활용해 관리자 계정으로 ..

[WinServer2016] 사용자 계정 생성 및 관리 (1) net user

이번 포스팅에서는 net user를 활용해 Windows 환경에서 계정을 생성하고 관리하는 법을 다룹니다. NET USER net user(또는 users) : Windows에는 사용자 계정을 추가/수정하거나 사용자 계정 정보를 표시하는 'net user'라는 명령어가 있다. CMD창에서 'net user' 또는 'net users'라고 입력하면 해당 시스템에 생성되어 있는 사용자 계정 목록을 출력한다. net user [계정명] : net user 뒤에 사용자 계정명을 입력하면 해당 계정에 대한 정보를 출력해준다. 그럼, net user라는 명령어는 정확히 어떻게 사용하는 것일까? 도움말을 출력해보면 여러가지 쓰임이 나온다. 삭제, 시간, 활성화 등의 예시를 알 수 있다. net user [ { | *..

[Windows Server 2016] 1. 계정관리 (선택 사항)

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 www.kisa.or.kr 아래 내용은 Windows Server 2016 Datacenter 버전을 기준으로 작성/실습하였습니다. ▨ 설명 중요도 중에 해당하는 취약점으로, 'Everyone 사용 권한을 익명 사용자에 적용' 정책이 '사용'으로 설정될 경우 비인가자가 익명으로 계정 이름과 공유 리소스를 나열하고, 이를 사용해 암호를 추측하거나 DoS 공격을 실행할 수 있습니다. 따라서 익명 사용자를 차단하기 위해 정책을 '사용 안 함'으로 설정해야 합니다. - DoS Denial of Service, 서비스 거부 관리자 권한 없이도 특정 서버에 처리할 수 없을 정도로, 대량의 접속 신호를 한거번에 보내 해당 서버가..