윈도우 보안
o 윈도우 아키텍처
| 구분 | 설명 |
| 32/64bit 운영체제 | - 16bit로 처리되던 DoS보다 처리속도가 빠르다. |
| GUI 환경 | - 아이콘이라는 그림명령을 통하여 쉽게 프로그램에 접근할 수 있다. |
| Plug & Play | - 하드웨어를 새롭게 추가하는 경우 자동으로 인식하여 환경을 설정해 주는 기능으로 해당 하드웨어가 Plug & Play 기능을 지원하는 장치이어야 한다. |
| 단축아이콘(Short Cut) / 바로가기 | - 프로그램이나 데이터를 빠르고 편리하게 실행시키기 위해서 원하는 위치에 원본 파일을 연결한 아이콘을 만들 수 있다. |
| 멀티태스킹 | - 한번에 여러 가지 작업을 동시에 수행할 수 있다. 윈도우를 사용하면 몇 개의 강력한 응용 프로그램을 즉시 작동시킬 수 있는 대기상태로 만들 수 있고 또한 그들 사이의 빠른 전환(switching)이 가능해 진다. |
| OLE(Object Linking Embedding) | - 개체 연결 포함 기능으로 프로그램간에 개체(그림, 표등)를 교환할 수 있다. |
| 네트워크 기능 향상 | - 다양한 프로토콜을 제공하기 때문에 네트워크 설치나 인터넷 연결 등을 편리하게 할 수 있으며, 특히 Netbios라는 프로토콜을 사용하여 네트워크 공유가 편리하다. |
| 다중 모니터 지원 | - 한대의 컴퓨터에 최대 8대의 모니터를 연결하여 사용할 수 있다. |
| 정보의 전송 통합 | - 두개 또는 그 이상의 응용 프로그램에서 작업하여 상호간에 정보를 한 응용 프로그램으로부터 다른 응용 프로그램으로 전송 통합할 수 있다. 이것은 클립보드라고 불리우는 Desktop accessory를 통해 이루어진다. |
- 멀티미디어 가능 향상
윈도우 레지스트리
o 윈도우 시스템 구성 정보를 저장한 데이터베이스이며, 윈도우 환경과 프로그램에 관련된 사항 등이 저장된 system.dat, user.dat 파일이 바로 레지스트리이다.
| 구분 | 설명 |
| HKEY_CLASS_ROOT | 확장자에 대한 정보와 프로그램간의 연결에 대한 정보가 들어있다. |
| HKEY_CURRENT_USER | 윈도우가 설치된 컴퓨터 환경설정에 대한 정보가 들어있다. |
| HKEY_LOCAL_MACHINE | 설치된 하드웨어와 소프트웨어 설치드라이버 설정에 대한 정보가 들어있다. |
| HKEY_USERS | 데스크탑설정과 네트워크환경에 대한 정보가 들어있다. |
| HKEY_CURRENT_CONFIG | 디스플레이와 프린터에 관한 정보가 들어있다. |
- 레지스트리 정보는 \windows or \winnt 폴더에 USER.DAT, SYSTEN.DAT 라는 파일로 저장된다.
- 백업 및 복구하기 위해서는 USER.DAT, SYSTEN.DAT, SYSTEN.INI, WIN.INI 가 있어야 한다.
| Online 레지스트리 경로 | 하이브 파일 경로 |
| HKEY_USERS\.DEFAULT | %SystemRoot%\System32\Config\DEFAULT |
| HKEY_LOCAL_MACHINE\SOFTWARE | %SystemRoot%\System32\Config\SOFTWARE |
| HKEY_LOCAL_MACHINE\SAM | %SystemRoot%\System32\Config\SAM |
| HKEY_LOCAL_MACHINE\SECURITY | %SystemRoot%\System32\Config\SECURITY |
| HKEY_LOCAL_MACHINE\SYSTEM | %SystemRoot%\System32\Config\SYSTEM |
| HKEY_LOCAL_MACHINE\BCD00000000 | %SystemRoot%\System32\Config\BCD-Template (Vista 이후) |
| HKEY_LOCAL_MACHINE\COMPONENTS | %SystemRoot%\System32\Config\COMPONENTS (Vista 이후) |
| HKEY_USERS\<User SID> | %UerProfile%\Ntuser.day (Windows 시스템에 존재하는 계정 수 만큼 존재) |
| HKEY_USERS\Software\Classes | %UerProfile%\Local Settings\Application Data\Microsoft\ Windows\Usrclass.dat %UerProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat (Windows 시스템에 존재하는 계정 수 만큼 존재) |
o 레지스트리 백업 및 복구
| 구분 | 설명 |
| 백업 | 레지스트리 백업은 regedit.exe를 실행하여 활성화된 레지스트리 편집 기에서 메뉴에서 백업을 실행하여 백업이 가능 |
| 복원 | 레지스트리 복원은 regedit.exe를 실행하여 활성화된 레지스트리 편집기에서 메뉴에서 복원을 실행하고 백업된 레지스트리 백업 파일을 선택한다. |
(2) 레지스트리의 편집
- 레지스트리 편집은 regedit.exe 또는 regedt32.exe를 사용하여 레지스트리를 편집할 수 있으며, 시작-실행에서 위의 명령어를 실행하면 윈도우탐색기와 유사한 창이 뜨고 편집하고자 하는 디렉토리를 찾아가서 값을 변경할 수 있다.
o 윈도우즈 환경의 레지스터리에 대한 보존 및 관리 기법
- 익명 엑세스로부터 레지스트리 보호
. 윈도우 2000 레지스트리 편집 도구에서 기본적으로 원격 액세스를 지원하므로, 레지스트리 원격 액세스 권한은 관리자에게만 부여해야 한다. 레지스트리에 대한 네트워크 액세스를 제한하려면 레지스트리를 수정한다.
. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg를 선택, 보안 메뉴를 선택한 후 사용권한을 클릭하여 Administrators 사용권한을 모든 권한으로 설정하고 기타 계정 설정은 제거한다.
- 레지스트리에 적절한 ACL을 적용
- 레지스트리 백업 보관
(1) 인터넷 익스플로러의 도구 메뉴의 인터넷 옵션
| 구분 | 설명 |
| 일반-임시 인터넷 파일 |
- 쿠키 삭제 기능의 이해 - 파일 삭제 기능의 이해 : 인터넷 사용시 웹사이트의 그림파일 등이 내 컴퓨터에 저장되는 원리 및 폴더 이해 |
| 보안 | - 인터넷 영역에서 기본수준으로 보안수준 설정 - 인터넷 영역에서 사용자 지정수준 설정을 통하여 ActiveX, Java, 자바애플릿 등의 보안 설정을 통하여 악성스크립트 동작을 제거할 수 있다. |
| 개인정보/내용 | - 등급관리자 : 등급을 통하여 인터넷 내용 제한 기능 - 개인정보의 자동완성 기능의 이해 및 자동완성 정보 삭제 - 인증서 활용 |
| 연결 | - VPN 설정 - 프록시 서버 이해 및 프록시 서버 설정 방법 |
| 고급 | - 브라우저 세부 설정 |
(2) 웹브라우저의 보안 취약성 갱신
o 인터넷 익스플로러 보안 설정 방법
- java 애플릿 및 active 스크립팅 사용 기능 제거하거나 보안수준을 높이기
- 인터넷 익스플로러의 자동완성 기능 제거 등
(1) 파일시스템 이해 : NTFS
o FAT 파일시스템에서는 하나의 파일을 저장할 때, 이 파일의 크기와 하나의 섹터보다 작거나 같은 경우는 섹터의 위치 정보만으로 데이터를 다시 찾아 읽을 수 있다.
- FAT16 : 저용량(2GB이하) 하드디스크에 사용, DOS와 Windows 95에 지원
- FAT32 : 고용량(2GB이상) 하드디스크에 사용, Windows 95 OSR 이후부터 지원
o NTFS 파일시스템은 Windows NT Server의 전용 파일 시스템으로 MS-DOS, Windows 3.1/9x/Me에서는 사용할 수 없다. Windows 2000에서는 버전이 5로 업그레이드되었으며, 클러스터 정보를 이진트리로 구성하여 파일정보를 MFT(Master File Table)라고 하는 파일 테이블에 저장한다. 또한 데이터 검색 시 순차적인 검색보다 검색 효율이 높은 이진 검색을 사용하고, 디스크 용량도 16EB(Exa Byte)까지 사용 가능하다. 로컬시스템에 로그온한 사용자에 대해 같은 폴더에 대한 액세스 권한을 각각 다르게 설정할 수 있다. 파일 시스템 자체가 압축을 지원하기 때문에 별도의 압축 프로그램을 사용하지 않아도 데이터를 압축하여 저장할 수 있다.
o NTFS의 클러스터 크기는 512바이트, 1킬로, 2킬로, 4킬로바이트까지 사용자 지정이 가능하다. 파일크기 및 볼륨은 이론상으로 최대 16EB (ExaByte=10의 18승 바이트) 이나 실질적으로는 2 테라바이트까지 지원한다. 또한, 이 파일시스템은 안정성, 자세한 사용자 제한, 보안성 등이 FAT32보다 향상된 기능을 가지고 있다.
| 구분 | 설명 |
| 파일과 폴더 차원 보안 | NTFS는 파일과 폴더에 대한 접근 제어 가능 |
| 디스크 압축 | NTFS 압축 파일로 더 많은 저장공간 사용 가능 |
| 디스크 할당 | NTFS는 사용자별 디스크 사용공간을 제어 가능 |
| 파일 암호화 | NTFS는 파일에 대한 암호화 지원 |
(2) 네트워크 드라이브 이해
o 설정방법
- 바탕화면의 내 컴퓨터에서 마우스 오른쪽버튼을 클릭하여 네트워크드라이브 설정을 클릭하면 기능을 이용할 수 있다.
- 명령프롬프트에서 ‘net use 드라이브명: \\ip\설정대상드라이브$’를 실행하고 계정 및 패스워드를 입력하면 설정 가능
(3) 공유폴더 보안
o 윈도우 NT 이상에서는 “관리목적을 위한 기본공유”라는 것이 기본적으로 존재한다. 즉, 명령프롬프트에서 net share를 실행하면 기본적으로 ADMIN$, IPC$, C$ 등이 공유가 된다. (컴퓨터의 드라이브가 C 드라이브 1개로 설정되어있는 경우)
- 공유해제 방법 - HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 디렉토리에 DWORD 값을 추가하고 값을 0으로 설정한다.
o 공유폴더 사용권한 설정 - 폴더를 공유할 경우에는 공유되는 폴더의 등록정보에서 공유-사용권한에서 사용자 및 읽기, 변경, 모든 권한을 선택하여 설정할 수 있다.
o Windows 파일시스템
| 구분 | 설명 |
| FAT | - 하드디스크를 검색할 때 일정한 크기 단위(클러스터)로 건너뛰며 검색하도록 하여 검색 속도를 증가시키기 위하여 파일을 조각으로 나누어 저장을 하고 해당 조각들의 위치를 저장한 테이블이 바로 FAT이며 FAT 16과 FAT 32가 있다. |
| FAT 16 | - FAT 16을 사용할 경우 클러스터가 65,535개 정도 사용될 수 있는데 하드디스크의 용량이 작으면 문제가 없지만 하드디스크의 용량이 커지면 클러스터의 크기도 덩달아서 커지므로 큰 클러스터에 작은 파일이 들어가게 되어 나머지는 낭비가 생기게 된다. |
| FAT 32 | - FAT 32는 클러스터를 4,294,967,000개의 공간으로 나눌 수 있다. 그러므로 용량이 큰 하드디스크라도 클러스터의 크기가 작아지므로 하드디스크의 낭비를 줄일 수 있다. 즉, 작은 클러스트 사이즈를 사용함으로써 FAT 16에 비해 더 효율적으로 하드디스크를 사용할 수 있으며 물리적 드라이브의 크기에 따라서 클러스트 사이즈가 다르게 설정된다. |
| NTFS | - NTFS는 매우 큰 하드디스크에서 효율적으로 파일을 저장할 수 있다. 클러스터의 개수는 2^64개로서 FAT 32보다 더 많다. - NTFS는 파일을 항상 연속적인 블록에 저장하여 더 빨리 파일을 엑세스 할 수 있다. NTFS는 Hot Fixing이라는 하드디스크 결함을 교정하는 기법을 제공하여 데이터를 저장하다가 에러가 발생하여도 안전하게 데이터를 보호할 수 있고 파일 압축 기능이 파일 시스템의 고유한 기능으로 구현되어 있다. |
o NTFS에 대한 사용권한 설정 방법
- 원하는 위치에서 마우스 오른쪽 버튼을 클릭한 후 등록정보 선택
- 등록정보 대화상자에서 보안탭 선택
- 사용자나 그룹에 사용 권한을 할당하기 위해 추가/제거를 선택
- 대화상자에서 원하는 사용자나 그룹 선택한 후 추가/제거를 설정
- 사용권한 메뉴에서 적절한 사용권한 설정
o 감사로그 분석 방법
① 사후 감사로그 분석: 일반적으로 많이 사용되었던 방식으로 사건 발생 후에 감사로그를 모아 놓고 집중적으로 분석 수행
② 주기적 감사로그 분석: 주기적으로 감사로그를 분석하여 시스템 침해가 있었는지 검사
③ 실시간 감사로그 분석: 감사로그 파일을 실시간 탐지 시스템에 연결하여 시스템 침해가 발생하는 것을 실시간으로 탐지하고 대응함
- 윈도우시스템 로그분석
. 이벤트뷰어를 이용해서 로그분석을 수행할 수 있으나 다량의 로그에 대해서 분석을 위해서는 이벤트 ID를 기반으로 로그분석을 수행할 수 있다.
. 보안 이벤트에 사용할 수 있는 몇 가지 감사 범주를 제공한다. 기업의 감사 전략을 설계할 때 다음과 같은 보안 감사 이벤트 범주를 포함시킬 것인지 결정해야 한다. (로그온 이벤트, 계정 로그온 이벤트, 개체 액세스, 디렉터리 서비스 액세스, 권한 사용, 프로세스 추적, 시스템 이벤트, 정책 변경으로 구분)
. 로그온 이벤트 : 로그온 이벤트를 감사하는 경우 사용자가 컴퓨터에 로그온하거나 로그오프할 때마다 로그온이 시도된 컴퓨터의 보안 로그에 이벤트가 생성된다. 사용자가 원격 서버에 연결할 때에도 원격 서버의 보안 로그에 로그온 이벤트가 생성된다. 로그온 이벤트는 로그온 세션 및 토큰이 작성되거나 삭제될 때 각각 만들어진다.
o 로그 분석 도구 - 감사로그는 그 크기가 크기 때문에 감사로그에 대한 축약/백업 방법
| 구분 | 설명 |
| 윈도우 계열 | . 시스템 로그의 경우에 기본 설정은 지정된 일자보다 오래된 이벤트를 자동 덮어쓰기, 수종으로 로그지우기 등의 기능으로 설정할 수 있으며 필요한 경우 수동으로 로그백업 또는 스크립트를 이용한 백업을 수행할 수 있다. . 웹서버 로그의 경우에 특히 로그의 양이 크게 증가하므로 웹서버 설정 메뉴에서 지정된 일자별로 로그를 분리하여 기록하게 설정할 수 있다. |
| 유닉스 계열 | . logrotate를 이용한 로그 관리 방법 이해 . 스크립트를 crontab에 설정하여 기간별로 로그를 분리하여 관리 및 백업하는 방법 이해 |
o 감사로그를 이용하여 공격이 있었는지를 탐지하는 도구
| 구분 | 설명 |
| 윈도우 계열 | - 모든 정보를 살펴보는 것은 쉽지 않을 일이므로 이벤트 ID를 이용한 로그 검색을 통하여 로그 분석하는 것이 효과적임. . EventCombMT 유틸리티 : 마이크로소프트에서 제공하는 로그분석 도구 . logparser : 로그 파일에 대해서 쿼리를 보내서 로그의 이벤트 ID 또는 로그 문자열 검색 등의 방법으로 의심스러운 로그를 검색하여 로그 분석하는 도구 |
| 리눅스/유닉스 계열 | logcheck |
o 로그변조 탐지 도구 - chklastlog, chkwtmp 등
'정보보호관리체계(ISMS-P) > 실무 Q&A' 카테고리의 다른 글
| ISMS-P 인증심사원 - 보안시스템 이론 (0) | 2022.06.10 |
|---|---|
| ISMS-P 인증심사원 - 악성코드 통제 (0) | 2022.06.10 |
| ISMS-P 인증심사원 - 유닉스/리눅스 보안(2) (0) | 2022.06.10 |
| ISMS-P 인증심사원 - 유닉스/리눅스 보안(1) (0) | 2022.06.10 |
| ISMS-P 인증심사원 - 공개키기반구조(PKI) (0) | 2022.06.10 |