[11][2008 Server] 계정 정책

## 계정 정책 ##

* Brute Force 공격

계정의 암호를 추측하여 공격

## 암호 정책

* 암호의 만료 기간과 복잡성 설정

- 최대 암호 사용 기간 : [42일] 비밀번호를 사용하고 해당 기간이 지나면 무조건 변경해야됨

- 최소 암호 사용 기간 : [1일] 비밀번호를 바꾼 후 해당 기간 내에 다시 바꿀 수 없음

- 최소 암호 길이 : [7문자] 비밀번호 길이

- 복잡성 : [사용] 대소문자,특수문자,숫자

- 해독 가능한 암호화 : [사용 안 함]비밀번호 저장시 암호화하여 저장

- 최근 암호 기억 : [3개] 최근 사용한 비밀번호 3개를 기억하고 변경 시 최근 비밀번호를 기억해 겹치면 변경이 불가능하게 하는 설정

## 계정 잠금 정책

* 계정 잠금 임계 값 설정

- 계정 잠금 시간 : [30] 비밀번호가 틀리면 30분 동안 로그인 불가

- 계정 잠금 임계 값 : [3] 비밀번호 3번 틀리면 잠김

- 계정 잠금 수를 원래대로 설정 : [60] 비밀번호 틀린 횟수를 초기화하는데 걸리는 시간

=> 비밀번호를 3번 해서 틀려서 30분동안 로그인 불가, 비밀번호 틀린 횟수를 60분 뒤에 초기화

@ 암호 정책

서버 - 관리도구 - 로컬 보안 정책 -  좌측 보안설정 - 계정 정책 - 암호 정책 - 

@계정 잠금 정책

서버관리자 - 구성 - 로컬 사용자 및 그룹 - 잠긴 계정 더블클릭 - [일반]탭에 [계정 잠겨있음] 체크 해제

@보안 정책 백업

관리도구 - 로컬 보안 정책 - 보안정책 마우스 우클릭 - 정책 내보내기 

@보안 정책 복구

관리도구 - 로컬 보안 정책 - 보안정책 마우스 우클릭 - 정책 가져오기

@ 암호정책을 설정하여 적용만 하면 변경되는 템플릿 생성 / 만든 템플릿을 이용해서 다른 서버에 바로 적용 가능

실행 - mmc ( microsoft management console) - [파일]탭 스냅인 추가/제거 - 보안 템플릿 추가 확인 - 생성된 폴더 마우스 우 클릭

- 새 템플릿 - 만든 템플릿을 클릭하여 보면 계정 정책, 로컬 정책이 나온다.

## 감사 

사용자의 흔적 또는 운영 체제가 사용하는 것을 확인하고 보안로그에 기록

개체 액세스 감사 : 어떤 계정이 생성 및 수정 등 로그에 기록

로그온 이벤트 감사 : 로그온 실패시 로그에 기록

관리도구 - 로컬 보안 정책 - 로컬 정책 - 감사 정책 - 로그온 이벤트 감사 - 성공, 실패 체크

해당 계정 로그온시 비밀번호 틀려보고, 접속하고 로그오프 - 

## 로그 확인 하는 곳

관리도구 - 이벤트 뷰어 - windows 로그 - [보안]탭

열쇠그림 -> 성공 로그

자물쇠 그림 -> 실패 로그 

실패한 로그를 더블 클릭하면 자세히 볼 수 있다. -> 실패한 계정정보와 접속한 네트워크 주소 및 날짜를 알 수 있다.

## 개체 액세스 감사

해당 폴더에 대한 감사 -> 어떤 계정이 파일을 지우는지 로그 남기기

로컬 보안 정책 - 로컬 정책 - 감사 정책 - 개체 액세스 감사 - 성공 체크

해당 폴더 속성 - [보안] 탭 - [고급] 탭 - [감사] 탭 - [편집] - [추가] - 어떤 특정 계정이나 그룹을 추가 - 감사항목에서 로그에 기록하고 싶은 항목을 체크하고 적용

# 특정 로그만 필터링

이벤트 뷰어 - Windows 로그 - 보안 - 우측에 현재 로그 필터링 - 

이벤트 뷰어 - Windows 로그 - 보안 - 우측에 [속성]

[최대 로그 크기] : 로그 파일이 해당 크기에 도달하면 더 이상 기록을 안함. 한달간 사용하는 로그 파일 x6 하면 6개월치의 값을 저장/ 관리자 조절가능.

[필요한 경우 이벤트 덮어 쓰기(가장 오래된 이벤트 먼저)] : 로그가 꽉차면 가장 오래된 이벤트 지우고 덮어씀

[이벤트 덮어쓰지 않음] -

## 그룹 보안 정책 -> 도메인 환경에서만 설정 가능

실행 - dcpromo - 새 도메인 추가 - 확인 - 재시작

만든 보안 정책을 도메인에 배포

관리도구 - [그룹 정책 관리] - [포리스트] - [도메인] - 해당 만든 도메인 - [Default Domain Policy]

Defalut Domain Policy -> 모든 도메인 사용자들이 적용 받는 정책

관리도구 - [그룹 정책 관리] - [포리스트] - [도메인] - 해당 만든 도메인 - [Default Domain Policy] - 마우스 우 클릭 - [편집] 

- [그룹 정책 관리 편집기] 라는 창이 뜬다. - [컴퓨터 구성] - [정책] - [Windows 설정] - [보안 설정] - [계정 정책] - [암호 정책]

이곳에서 설정하는 암호 정책은 모든 도메인의 구성원에 적용된다.

** 도메인 컨트롤러 서버의 그룹정책의 암호정책이랑 도메인 구성원의 보안정책과 설정이 다른 이유?

=> 도메인 컨트롤러 서버는 주기적으로 구성원에게 정책을 보냄. 

수동으로 보내는 방법=> 도메인 구성원 서버에서 실행 - cmd - gpupdate /force

                                                                                 group policy update /전체

구성원이 도메인 컨트롤러 서버에게 정책을 보내달라는 명령어.

명령어 실행 후 다시 로컬 보안 정책 - 암호 정책을 확인하면 도메인 컨트롤러에서 만든 그룹정책과 똑같아 진 것을 확인 할 수 있다.

[ 중요 ] 

########################################

#### 정책에 대한 Update 하는 주기를 변경 가능 함.####

########################################

==>>

관리도구 - [그룹 정책 관리] - [포리스트] - [도메인] - 해당 만든 도메인 - [Default Domain Policy] - 마우스 우 클릭 - [편집] 

-  [그룹 정책 관리 편집기] - [컴퓨터 구성] - [정책] - [관리 템플릿] - [시스템] - [그룹 정책] -  [컴퓨터에 대한 그룹 정책 새로 고침 간격] - 더블클릭 -

- 좌측 [사용] 체크 - 옵션에 시간 설정

[그룹 정책이 컴퓨터에 적용되는 빈도]

0분을 선택하면 7초마다 업데이트 -> 너무 자주 업데이트를 자주하면 서버 다운

시간을 빠르게 설정하면 업데이트는 빠르지만 서버 다운

시간을 느리게 설정하면 서버는 안정적이지만 갱신하는데 오래걸림

[새로 고침 간격]

모든 클라이언트가 동시에 그룹 정책을 요청하지 못하도록

최종적으로 정책에 대한 Update 시간은 [그룹 정책이 컴퓨터에 적용되는 빈도] + [새로 고침 간격 시간] 더한 값이 최종 Update 시간

** 정책에 대한 Update는 무조건 구성원이 요청을 해서 받아야함.

그룹정책은 90분마다 백그라운드에서 업데이트 -> 기본 값. 도메인 구성원은 90분 마다 정책 update 요청함.

정책 업데이트를 눈에 보이지 않게 -> 백그라운드

## 조직 단위(Organizational Unit)

도메인 내부의 디렉터리 객체

그룹 정책 설정을 부여하거나 관리 권한을 위임할 수 있는 가장 작은 범위 또는 구성 단위

사용자와 컴퓨터, 그룹, 프린터, 다른 조직단위들을 포함할 수 있다.

용도 => 권한의 위임을 통해 도메인 안에서 관리상의 범위를 생성

논리적인 구조를 표현하기 위한 도메인 모델 내부에 컨테이너를 생성

그룹 정책 시행

## 조직 단위 생성 ##

관리도구 - [Active Directory 사용자 및 컴퓨터] - 해당 도메인 우클릭 - 새로 만들기 - [조직 구성 단위 추가]

## 구성원 조직으로 이동 ##

관리도구 - [Active Directory 사용자 및 컴퓨터] - 해당 도메인 - [Computers] - 서버 우클릭 - 이동 - 위에 만든 해당 조직으로 이동 가능.

조직 단위를 만들었을 때 관리의 효율성이 증가!!!!

조직 단위별로 보안 정책을 다르게 적용 가능하다.

## 조직 별로 구성원들의 암호정책을 달리 설정 가능.

관리도구 - 그룹 정책 관리 - 조직 구성단위를 생성하면 해당 그룹이 도메인 안에 생성되어 보인다. - 해당 조직 마우스 우 클릭

- [이 도메인에서 GPO를 만들어 여기에 연결] - 만든 GPO 마우스 우 클릭 - 편집 - [그룹 정책 관리 편집기] 창에서 - [컴퓨터 구성] - [Windows 설정]

- [보안설정] - [계정 정책] - [암호 정책] 

암호 정책에 정의되지 않음 -> 우선 OU(조직 단위)에 적용된 정책들이 우선순위 적용되고  기본 값들에 대한 것은 Default Domain Policy를 따름.