2015. 9. 24. 18:56ㆍserver/2008 Server
## 계정 정책 ##
* Brute Force 공격
계정의 암호를 추측하여 공격
## 암호 정책
* 암호의 만료 기간과 복잡성 설정
- 최대 암호 사용 기간 : [42일] 비밀번호를 사용하고 해당 기간이 지나면 무조건 변경해야됨
- 최소 암호 사용 기간 : [1일] 비밀번호를 바꾼 후 해당 기간 내에 다시 바꿀 수 없음
- 최소 암호 길이 : [7문자] 비밀번호 길이
- 복잡성 : [사용] 대소문자,특수문자,숫자
- 해독 가능한 암호화 : [사용 안 함]비밀번호 저장시 암호화하여 저장
- 최근 암호 기억 : [3개] 최근 사용한 비밀번호 3개를 기억하고 변경 시 최근 비밀번호를 기억해 겹치면 변경이 불가능하게 하는 설정
## 계정 잠금 정책
* 계정 잠금 임계 값 설정
- 계정 잠금 시간 : [30] 비밀번호가 틀리면 30분 동안 로그인 불가
- 계정 잠금 임계 값 : [3] 비밀번호 3번 틀리면 잠김
- 계정 잠금 수를 원래대로 설정 : [60] 비밀번호 틀린 횟수를 초기화하는데 걸리는 시간
=> 비밀번호를 3번 해서 틀려서 30분동안 로그인 불가, 비밀번호 틀린 횟수를 60분 뒤에 초기화
@ 암호 정책
서버 - 관리도구 - 로컬 보안 정책 - 좌측 보안설정 - 계정 정책 - 암호 정책 -
@계정 잠금 정책
서버관리자 - 구성 - 로컬 사용자 및 그룹 - 잠긴 계정 더블클릭 - [일반]탭에 [계정 잠겨있음] 체크 해제
@보안 정책 백업
관리도구 - 로컬 보안 정책 - 보안정책 마우스 우클릭 - 정책 내보내기
@보안 정책 복구
관리도구 - 로컬 보안 정책 - 보안정책 마우스 우클릭 - 정책 가져오기
@ 암호정책을 설정하여 적용만 하면 변경되는 템플릿 생성 / 만든 템플릿을 이용해서 다른 서버에 바로 적용 가능
실행 - mmc ( microsoft management console) - [파일]탭 스냅인 추가/제거 - 보안 템플릿 추가 확인 - 생성된 폴더 마우스 우 클릭
- 새 템플릿 - 만든 템플릿을 클릭하여 보면 계정 정책, 로컬 정책이 나온다.
## 감사
사용자의 흔적 또는 운영 체제가 사용하는 것을 확인하고 보안로그에 기록
개체 액세스 감사 : 어떤 계정이 생성 및 수정 등 로그에 기록
로그온 이벤트 감사 : 로그온 실패시 로그에 기록
관리도구 - 로컬 보안 정책 - 로컬 정책 - 감사 정책 - 로그온 이벤트 감사 - 성공, 실패 체크
해당 계정 로그온시 비밀번호 틀려보고, 접속하고 로그오프 -
## 로그 확인 하는 곳
관리도구 - 이벤트 뷰어 - windows 로그 - [보안]탭
열쇠그림 -> 성공 로그
자물쇠 그림 -> 실패 로그
실패한 로그를 더블 클릭하면 자세히 볼 수 있다. -> 실패한 계정정보와 접속한 네트워크 주소 및 날짜를 알 수 있다.
## 개체 액세스 감사
해당 폴더에 대한 감사 -> 어떤 계정이 파일을 지우는지 로그 남기기
로컬 보안 정책 - 로컬 정책 - 감사 정책 - 개체 액세스 감사 - 성공 체크
해당 폴더 속성 - [보안] 탭 - [고급] 탭 - [감사] 탭 - [편집] - [추가] - 어떤 특정 계정이나 그룹을 추가 - 감사항목에서 로그에 기록하고 싶은 항목을 체크하고 적용
# 특정 로그만 필터링
이벤트 뷰어 - Windows 로그 - 보안 - 우측에 현재 로그 필터링 -
이벤트 뷰어 - Windows 로그 - 보안 - 우측에 [속성]
[최대 로그 크기] : 로그 파일이 해당 크기에 도달하면 더 이상 기록을 안함. 한달간 사용하는 로그 파일 x6 하면 6개월치의 값을 저장/ 관리자 조절가능.
[필요한 경우 이벤트 덮어 쓰기(가장 오래된 이벤트 먼저)] : 로그가 꽉차면 가장 오래된 이벤트 지우고 덮어씀
[이벤트 덮어쓰지 않음] -
## 그룹 보안 정책 -> 도메인 환경에서만 설정 가능
실행 - dcpromo - 새 도메인 추가 - 확인 - 재시작
만든 보안 정책을 도메인에 배포
관리도구 - [그룹 정책 관리] - [포리스트] - [도메인] - 해당 만든 도메인 - [Default Domain Policy]
Defalut Domain Policy -> 모든 도메인 사용자들이 적용 받는 정책
관리도구 - [그룹 정책 관리] - [포리스트] - [도메인] - 해당 만든 도메인 - [Default Domain Policy] - 마우스 우 클릭 - [편집]
- [그룹 정책 관리 편집기] 라는 창이 뜬다. - [컴퓨터 구성] - [정책] - [Windows 설정] - [보안 설정] - [계정 정책] - [암호 정책]
이곳에서 설정하는 암호 정책은 모든 도메인의 구성원에 적용된다.
** 도메인 컨트롤러 서버의 그룹정책의 암호정책이랑 도메인 구성원의 보안정책과 설정이 다른 이유?
=> 도메인 컨트롤러 서버는 주기적으로 구성원에게 정책을 보냄.
수동으로 보내는 방법=> 도메인 구성원 서버에서 실행 - cmd - gpupdate /force
group policy update /전체
구성원이 도메인 컨트롤러 서버에게 정책을 보내달라는 명령어.
명령어 실행 후 다시 로컬 보안 정책 - 암호 정책을 확인하면 도메인 컨트롤러에서 만든 그룹정책과 똑같아 진 것을 확인 할 수 있다.
[ 중요 ]
########################################
#### 정책에 대한 Update 하는 주기를 변경 가능 함.####
########################################
==>>
관리도구 - [그룹 정책 관리] - [포리스트] - [도메인] - 해당 만든 도메인 - [Default Domain Policy] - 마우스 우 클릭 - [편집]
- [그룹 정책 관리 편집기] - [컴퓨터 구성] - [정책] - [관리 템플릿] - [시스템] - [그룹 정책] - [컴퓨터에 대한 그룹 정책 새로 고침 간격] - 더블클릭 -
- 좌측 [사용] 체크 - 옵션에 시간 설정
[그룹 정책이 컴퓨터에 적용되는 빈도]
0분을 선택하면 7초마다 업데이트 -> 너무 자주 업데이트를 자주하면 서버 다운
시간을 빠르게 설정하면 업데이트는 빠르지만 서버 다운
시간을 느리게 설정하면 서버는 안정적이지만 갱신하는데 오래걸림
[새로 고침 간격]
모든 클라이언트가 동시에 그룹 정책을 요청하지 못하도록
최종적으로 정책에 대한 Update 시간은 [그룹 정책이 컴퓨터에 적용되는 빈도] + [새로 고침 간격 시간] 더한 값이 최종 Update 시간
** 정책에 대한 Update는 무조건 구성원이 요청을 해서 받아야함.
그룹정책은 90분마다 백그라운드에서 업데이트 -> 기본 값. 도메인 구성원은 90분 마다 정책 update 요청함.
정책 업데이트를 눈에 보이지 않게 -> 백그라운드
## 조직 단위(Organizational Unit)
도메인 내부의 디렉터리 객체
그룹 정책 설정을 부여하거나 관리 권한을 위임할 수 있는 가장 작은 범위 또는 구성 단위
사용자와 컴퓨터, 그룹, 프린터, 다른 조직단위들을 포함할 수 있다.
용도 => 권한의 위임을 통해 도메인 안에서 관리상의 범위를 생성
논리적인 구조를 표현하기 위한 도메인 모델 내부에 컨테이너를 생성
그룹 정책 시행
## 조직 단위 생성 ##
관리도구 - [Active Directory 사용자 및 컴퓨터] - 해당 도메인 우클릭 - 새로 만들기 - [조직 구성 단위 추가]
## 구성원 조직으로 이동 ##
관리도구 - [Active Directory 사용자 및 컴퓨터] - 해당 도메인 - [Computers] - 서버 우클릭 - 이동 - 위에 만든 해당 조직으로 이동 가능.
조직 단위를 만들었을 때 관리의 효율성이 증가!!!!
조직 단위별로 보안 정책을 다르게 적용 가능하다.
## 조직 별로 구성원들의 암호정책을 달리 설정 가능.
관리도구 - 그룹 정책 관리 - 조직 구성단위를 생성하면 해당 그룹이 도메인 안에 생성되어 보인다. - 해당 조직 마우스 우 클릭
- [이 도메인에서 GPO를 만들어 여기에 연결] - 만든 GPO 마우스 우 클릭 - 편집 - [그룹 정책 관리 편집기] 창에서 - [컴퓨터 구성] - [Windows 설정]
- [보안설정] - [계정 정책] - [암호 정책]
암호 정책에 정의되지 않음 -> 우선 OU(조직 단위)에 적용된 정책들이 우선순위 적용되고 기본 값들에 대한 것은 Default Domain Policy를 따름.
'server > 2008 Server' 카테고리의 다른 글
[13][2008 Server] 자식 도메인 생성 (0) | 2015.09.24 |
---|---|
[12][2008 Server] 설치파일 배포하기 (0) | 2015.09.24 |
[10][2008 Server] 보안 정책 및 감사 정책 (0) | 2015.09.24 |
[9][2008 Server] ADDS 사용자 및 컴퓨터 [그룹] (0) | 2015.09.24 |
[8][2008 Server] Acitve Directory Domain Service (0) | 2015.09.24 |