2018.02.28 - Module 05: 보안 정책 및 감사 정책

Module 05: 보안 정책 및 감사 정책

Lesson 1 : 보안정책
    - 사용자 권한(User Right)
    - 게정 정책
    - 보안 템플릿

Lesson 2 : 감사 ?

 

Lesson 1 : 보안정책

1> 사용자 권한(User Right)?
사용자, 그룹 또는 컴퓨터가 시스템에 접근할 수 있는 권한

ex> 날짜 및 시간, 시스템 종료 이벤트 추적기(?)

[실습] 로컬 정책> 사용자 권한 할당> 시스템 종료
=> localuser02에게 권한 할당

1) 설정
srv103\administrator / P@ssw0rd103 로 로긴
window+r : secpol.msc // 로컬 보안 정책

 

2) 확인
localuser02 로 재로그인 후 윈도우 키 눌러서 계정 눌러보고 ( srv103\localuser02 /P@ssw90rd02)
 alt+f4 로 종료 창 나오는지 확인 // 재시작 이제 먹힘

cf. 그밖에
ㆍ로컬 정책> 사용자 권한 할당> 감사 및 보안 로그 관리
=> 로그만 봐야되 하면 계정 추가

ㆍ로컬 정책> 사용자 권한 할당> 네트워크에서 이 컴퓨터 엑세스 (거부)
 

ㆍ로컬 정책> 사용자 권한 할당> 로컬 로그온 거부/허용

ㆍ로컬 정책> 사용자 권한 할당> 서비스로 로그온 (거부)
: 웹 서비스 관련

=> 일반 사용자 사용하려면,
컴퓨터 관리> 로컬 사용자 및 그룹> 그룹> Administrators에
일반 사용자 계정 추가

 

ㆍ로컬 정책> 사용자 권한 할당> 원격 시스템에서 강제 종료
=> Administrators 만 가능하게 되 있음

ㆍ로컬 정책> 사용자 권한 할당> 파일 및 디렉터리 백업/복원
=> 사용하려면 추가

===============================

2> 계정 정책

1)

window + r : secpol.msc

계정의 암호를 추측하여 공격하는  Brute Force  공격을 완화(최소화)

- 암호 정책
 - 최대 암호 사용 기간 : 42일
 - 최소 암호 사용 기간 : 1일
 - 최소 암호 길이 : 7문자 => 8, 9, ...
 - 복잡성 : 사용 => 숫자 + 소문자/대문자 + 특수문자
  ex> P@ssw0rd (0, a, A, !)
 - 해독 가능한 암호화 : 사용안함 // hash, 대칭키..,

- 계정 잠금 정책
 ex> 계정 잠금 임계 값 : 5 // 5번 틀리면 잠김

cf. Password Cracking

해시와 암호화

- 암호화 : 평문 → 암호화, 암호문 → 복호화
          key   key 

- 해시 : 1234567890 → 183826

12345/67890 = 0.1818382677861246
    ------
 
과거엔 암호화 썼는데 최근엔 해시를 더 많이 씀

* 계정 정책 아이콘 차이

===============================

3> 보안 템플릿

<실습>

// 계정 정책은 로컬 보안 정책에서 직접 수정 불가하므로 mmc 도구 이용

// ① window+r : mmc> 파일> 스냅인 추가 제거

// [보안콘솔] 내가 원하는 데로 설정

// 설정 저장 후 데이터베이스 보안 구성 및 분석 가능

// 1> 데이터베이스 열기

// 2> 분석

// 3> 구성

// 보안콘솔에서 데이터 베이스 분석, 구성 후

// 로컬 보안 정책 도구에서 설정 내용이 적용 됬는지 확인 (껐다 다시 키기)

// 로컬 보안 정책 : window + r : secpol.msc

// 사용자 계정으로 테스트

// srv103\localuser02/ P@ssw0rd02

// 잠기면 관리자가 풀어 줄 수 있음

// 비밀번호 변경 테스트

 

 

2-2> 추가 실습

* 파일 : 01_보안템플릿 실습.txt

 암호는 복잡성을 만족해야 함 : 사용
 최근 암호 기억 : 1개
 최대 암호 사용 기간 : 60일
 최소 암호 사용 기간 : 1일
 최소 암호 길이 : 8자리
 해독 가능한 암호화를 사용하여 암호 저장 : 사용 안함

 계정 잠금 임계값 : 10번
 계정 잠금 기간 : 1분
 계정 잠금 수를 원래대로 설정 : 1분

 

 [정답]

 보안 템플릿 이용

 - 암호정책

 설정 후
  보안 콘솔> 보안 구성 및 분석 오.버> 데이터 베이스 열기>

   > 보안 구성 및 분석 오.버>템플릿 가져오기> 템플릿 선택, 열기>

   > 보안 구성 및 분석 오.버> 분석

   > 보안 구성 및 분석 오.버> 구성

 로컬 및 보안 정책에 적용 됬는지 확인 (wr : secpol.msc)

 

Lesson 2 : 감사

1>감사

사용자의 흔적 또는 운영 체제가 사용하는 것을 확인하고 보안 로그에 기록하는 것을 말함.

1) 감사 정책

감사 정책은 보안 이벤트로 정책 설정

설정 이유:

 - 성공, 실패 이벤트 확인
 - 공인되지 않은 자원 사용 최소화
 - 활동 기록 유지

2) 감사 이벤트 유형

- 계정 로그온 이벤트 감사 ★
- 계정 관리 감사
     로그파일로 기록됨?
- 디렉터리 서비스 엑세스 감사
     디렉터리 서비스 변경
     디렉터리 서비스 복제
     디렉터리 서비스 복제 상세 정보
- 로그온 이벤트 감사 ★
- 개체 액세스 감사
     폴더, 파일 접근 로그 보고 싶을 때

* 로그의 사이즈를 줄이기 위해서 추가 작업 필요

      => SACL 설정 해줘야> 폴더 파일 설정

- 정책 변경 감사
- 권한 사용 감사
- 프로세스 추적 감사
- 시스템 감사

로그는 쓸데 없는 것들은 제거하고 가급적 많이 남기지 않는다.

필요한 것만 기록될수 있도록..,

 

 

3) 감사 정책 설정

개체 엑세스 감사를 설정할 경우 개체에도 설정

 

2> (Lesson 3:)  보안 로그

1) 이벤트 뷰어

=> 로그 보는 페이지 (모든 로그 다 모아놓음)

cf. 리눅스는 여기저기 다른 위치에 있음..,

 

 

2) 보안 로그

필터링 설정?

 

3) 보안 로그 설정

속성> 로그 경로 기억? => 증거 제시시 필요

% : 환경변수 => 경로 저장

%%: 변수

 

4) 보안 로그 설정

 

3> 실습

공유폴더 하나 만들기=>

다른 사람이 접근 수정, 삭제 =>

개체 액세스 감사 로그 기록 남음, 로그온 이벤트 감사?

secpol.msc

// 감사 설정

// 공유폴더 생성, 계정 등록

// 감사 설정(로그 기록 위함) - 보안 계정등록, 감사 권한 계정 추가

 

// 로그 열람

* 파일 제어, 조작 행위

윈도우즈 : HANDLE

Unix, Linux : Descriptor

ex> 주민번호 갖고 있는 사람 어떻게 해줘~!

// window + r : eventvwr