Local Security Policy :Workgroup에서 Local System 에 대한 보안을 설정하기 위한 정책

Group Policy : Domain에서 특정 사용자나 컴퓨터에 대한 보안을 설정하기 위한 정책

▷ 보안 설정 수정

- 계정 정책 : 도메인의 암호 정책, 계정 잠금 정책, kerberos Ver.5(도메인에서의 인증을 위한 주 보안 프로토콜) 정책을 구성할수 있다.

- 로컬 정책 : 컴퓨터에 감사 정책, 사용자 권한 및 사용 권한 부여, 로컬 구성하는 보안옵션

 (어떠한 사용자 그룹이 어떠한 데이터 접근하는지 체크 , 특정 사용자 그룹에 특정권한 부여 등등)

- 공용(Public)키 정책 : 인증서 권한을 구성 가능

 ( 공용키는 사용자 구성에서 제공되는 유일한 설정)

- IP 보안 정책 : IPSec (Internet Protocol Security )를 구성할수 있다. TCP/IP 트래픽을 암호화하고 인트라넷 통신 보안과 인터넷에서의 VPN 보안을 확보하기 위한 표준이다.

- 이벤트 로그 : 응용 프로그램 로그, 시스템 로그 및 보안 로그에 대하여 크기,엑세스, 보관 매개 변수를 구성할수 있다.

- 제한 그룹 : Administrator 와 Power Use 같이 미리 정의된 기능을 가진 기본 제공 그룹과 Domain Admins 같은 도메인 그룹의 구성을을 구성할수 있다.

( 특정그룹에 특정사용자만 속하게 하는것)

- 시스템 서버스 : 컴퓨터에서 실행 중인 서비스의보안 및 시작 설정을 구성할수 있다.

( 실행 - Services.msc)

- 레지스트리 : 사용자, 응용프로그램,하드웨어 장치를 위해 시스템을 구성하는 데 필요한 정보가 저장되는 Windows2000의 중앙 계층 데이터 베이스 이다.

( winnt / system32 / config , 레지스트리 파일에 대한 보안 정책 “ 일반server" 접근 금지)

- 파일 시스템 : 특정 파일 경로에 대해 보안을 구성할수 있다.

( 파티션 드라이브에 대한 보안 정책 , NTFS권한 수정등..)

▷ 미리 정의된 보안 템플릿 사용

-Basic (기본) : 기본 보안 수준을 정의.

˚ 기본 워크스테이션(basicwk.inf)→ system 환경구성 파일 확장명

˚ 기본 서버(basicsv.inf)

˚ 기본 도메인 컨트롤러(basicdc.inf)

→ 위치 : systemroot \ security \ templates

- compatible (호환) : 표준 사무 응용 프로그램의 모든 기능이 실행 보장된다

˚ compatws.inf

- Secure ( 보안 ) : 표준 사무 응용 프로그램의 모든 기능이 실행되도록 보장하지는 않는다.

˚ 보안 워크스테이션 또는 서버 (securews.inf)

˚ 보안 도메인 컨트롤러 (securedc.inf)

- High (높음) : win 2000의 최대 보안을 적용

˚ win2000 이전 버전과는 통신이 불가능하다.

˚ 높은 보안 워크스테이션 또는 서버 (hisecws.inf)

˚ 높은 보안 도메인 컨트롤러 (hisecde.inf)

<!-- localfile -->

▷ 템플릿 적용

- 컴퓨터가 도메인에 속하지 않은 경우는 로컬 컴퓨터 정책에 보안 템플릿을 저용할수 있다. 시스템은 새로운 템플릿 설정으로 즉시 구성된다.

※ 실행 - mmc -콘솔 - 스냅인추가/제거 - 추가 -  보안 템플릿, 보안구성 및 분석 - 템플릿 클릭(보안정책 확인가능)

→ winnt / security / templates

▷ 사용자 정의 보안 템플릿 만들기

- 미리 정의된 템플릿이 사용자의 보안 요구에 맞지 않는면 사용자 정의 템플릿을 만든다.

미리 정의된 템플릿을 수정하는 단계

1.systemroot\Security\Templates에서 경로 확장

2. 복사할 템플릿을 다른이름으로 저장함.

3. 새 템플릿 이름 입력후 저장

4. 새로 구성할 정책을 선택 후 수정 저장한다.

▷ 보안 분석

- 보안 템플릿을 배포하기 전에 구성을 적용하고 나면 응용 프로그램, 연결성 또는 보안으로 역효과가 있지는 않은지 분석해야 한다.

▷ 보안 분석 순서

1. 실행 - mmc - 보안 구성 및 분석 스냅인 추가

2. 데이터 베이스 열기 - 파일 선택 확장

3. 보안구성 및 분석 - 지금 컴퓨터 분석

5. 분석실행 - 현재 컴퓨터와 비교

6. 비교 분석후 - 템플릿 내보내기 실행

※ 보안 템플릿 은 분석 비교후 배표할것

▷ 명령줄에서 보안 구성 및 분석

- 그래픽 사용자 인터페이스 와 반대 개념인 스크립트 파일을 사용하여 보안 구성및 분석    수행가능하다.

 /refreshpolicy : 보안 구성을 한후 꼭 새로 고침을 해주어야 한다.

ex) secedit /refreshpolicy machine_policy / enforce

    secedit /refreshpolicy user_policy / enforce

▷ Domain환경에서 보안 정책 배포 우선순위 →

  Local Security Policy →Site →Domain → OU

  ( 로컬 시스템)         (   도메인 환경     )

▷ Domain 환경에서 보안 정책 충돌시 우선순위 (적용) →

  OU→ Domain →Site →Local Security Policy

※ Security Templates 중High Security  설정은 Windows 2000 이하 버전과 통신이 되지 않는다.

▷ Security Templates 에 설정 되어 있는 접미사 문자열은

dc = Domain Controller

sv = Server

wk = Workstation

을 뜻한다.

▷ 보안 정책을 수정하는 방법은 온라인 방법과 오프라인 방법이 있다.

- 온라인 방법 : 실제 배포 되어 있는 정책을 직접 수정하는 방법

                로컬 보안 정책 관리도구를 통한 수정

- 오프라인 방법 : 보안 템플릿을 수정 하는 방법

                 ( 정책은 배포 되지 않는다.)

▷ 보안 설정을 위한 CLI 명령줄

-Secedit

▷ 새로 고침 하기 위한 명령줄

secedit / refreshpolicy machine_policy / enforce

( 컴퓨터 보안 설정 새로 고침)

secedit / refreshpolicy user_policy /enforce

( 사용자 보안 설정 새로 고침)

※ 사용자 설정과 컴퓨터 설정을 나눈 목적은

Group Policy 설정이 사용자 설정과 컴퓨터 설정으로 이루어졌기 때문이다.

◆ 시스템 리소스 액세스 감사

▷ 사용자 권한 (Right)

- Authentication (인증)이후에 사용자가 갖는 권한.

  (제어판을 통한 시스템 환경 변경, 시스템 시간 변경, 시스템 종료 기타등)

▷ 사용 권한 (Permission)

- Authorization (권한 부여) 이후에 사용자가 갖는 리소스에 대한 권한.

▷ 감사는 사용자 및 OS 의 수행 정보를 추적할수 있다.

- 이벤트 뷰어에 성공, 실패를 기록 된다.

   eventvwr.msc

- 성공 : 권한 없는 Access 추적

- 실패 : 권한 없는 Access 추적

▷ 권한데 대한 감사는 Right, Permission 에 대한 감사로 구성 된다.

- Permission (Resource 에 대한 권한)에 대한 감사는 감사 정책을 통해서 리소스에 대한 권한 있는 Access 성공, 권한 없는 Access 실패에 대한 감사를 구성하고 실제 리소스가 있는 위치에서 어떠한 사용자, 그룹에 어떠한 권한에 감사를 구현할 것인가? 명시를 해주어야 한다.

▷ 정책 새로 고침

  secedit / refreshpolicy machine_policy /enforce

◆ 감사 정책

정책의 구현 시 첫 단계는 win2000에서 감사할 이벤트 종류를 선택하는 것이다.

㉠ 개체 엑세스 감사 (Permission)

- 사용자, 그룹에 대한 추적 ex) 파일 프린트...

㉡ 계정 관리 감사 (Right)

- 계정 삭제, 수정, 변경시 이벤트에 기록 남겨짐

  (Right) Account log on

- 도메인에 로그인하는 사용자 추적

- 도메인 컨트롤러에 저장 된다.   

㉣ 로그인 이벤트 감사 (Right)

-Local System 에 기록되어짐

㉤ 권한 사용 감사 (Right) Privilege use

- Right 권한 ( 제어판에 시스템 속성 정보, 시간, 업데이트 등)

- 사용자 권한 감사

㉥ 디렉토리 서비스 엑세스 감사 (Permission)

- Active Directory DB에 대한 감사

㉦ system 이벤트 감사 (Right)

- 사용자가 시스템 종료, 시작 하는지 감사

㉧ 프로세스 추적 감사 (Permission)

- 실행 프로그램 추적

Win 2000 의 보안 구현