본문 바로가기

보안

윈도우 서버 보안관리를 위한 설정 방법

1. 사용자 계정관리
- 사용하지 않는 계정은 삭제하거나 사용금지를 해놓는다.
-  주기적으로 들어가 생성하지 않은 계정은 바로 삭제함.
- Administrator 계정이름은 다른 계정명으로 변경
- 계정의 보안을 더욱 강화하기 위해서는 계정잠금정책을 사용
시작 > 프로그램 > 관리도구 > 로컬보안정책
★ 만약 특정횟수(일반적으로 3~5 회) 이상의 로그온 실패가 있었을 경우 해당 계
정을 지정한 시간만큼 잠금 하여 외부에서의 Brute force 공격으로부터 보호할
수 있음.

2. 패스워드관리
모든 계정에 안전한 패스워드를 사용하는 것을 권고 드립니다. 패스워드 보안권고
정책은 다음과 같습니다.
- 패스워드의 최소 길이를 8 자
- 최대한 영문과 숫자를 조합하여 패스워드를 복잡하게 한다.
- 한달에 한번씩 패스워드를 변경함.

3. 보안로그의 활성화
보안감사정책을 사용.
이는 계정의 로그온 등이 이벤트 뷰어에 남게 됨.
※ 이로 인하여 좀더 강화된 시스템 보안을 구성하실 수 있으며 보안로그를 상시 확인.
시작 > 프로그램 > 관리도구 > 로컬보안정책 > 감사정책

4. 불필요한 서비스 중지
시작>프로그램>관리도구>서비스 또는 실행창에서 services.msc 를 입력하게 되면
서비스 콘솔이 나타남.
이중에서 만약 사용하지 않는 서비스가 있다면 실행 중지

5. Windows 최신 패치 설치
Microsoft 사의 windowsupdate.microsoft.com 사이트를 통해서 해당 운영체제 버
전에 맞는 서비스 팩과 중요 패치를 자주 검색하고 설치. 또는
자동업데이트 기능을 사용.

보안권고문 패치 사이트 : http://www.micorsoft.com/technet/security

6. IIS 설정
- FTP 설정
내부적으로 사용하기 위하여 오픈한 것이라면 접속 IP 대역 등을 설정하시는 것이
좋으며 경로 또한 가상경로를 사용하시는 것이 좋음.
- 웹서비스 설정 (등록정보 > 홈 디렉터리)
- 일반적으로 Upload 서비스가 없는 경우에는 웹 서비스 설정 시에 쓰기 권한을
주지는 말것.
- 해당 웹 서비스에 Upload 를 서비스하지 않는다면 쓰기(W)에 체크된 사항을 풀것.
- 웹 서비스 구성항목 중에 사용하지 않는 항목들은 모두 삭제.
- (웹 서비스 등록정보>홈 디렉터리 탭) 을 클릭하여, 이중에서 서비스 하지 않는 파일들을 모두 선택 후 제거
※ 보편적으로 ASP 서비스를 하신다면 asp, asa 파일을 남기고 모두 삭제.
(웹 서비스에 사용하지 않는 확장자 모두 제거 - 추후 사용시 추가 가능)
- 클라이언트에서 ASP 오류 메시지를 그대로 보내주지 말것. 웹해킹 관련.
웹 서비스 등록정보 > 홈 디렉터리 탭 > 구성 > 응용프로그램 디버깅 에서 보면 표시한 부분의 체크 항목을 텍스트 오류 메시지를 클라이언트에게 보내기를 클릭.
- index.asp, Default.htm, Default.asp 중 각 Root 폴더의 Index 페이지로 사용하는 문서만 남기고 나머지는 모두 삭제.
- index, Default ,Main ,Domain 명으로 된 Index 페이지는 다른 파일 명으로 대체한다. (웹 변조시 정상적인 서비스를 제공하기 위해 )

7. 외부에서의 CMD 권한 없애 버림.
1) 우선 C:\Windows\system32\cmd.exe 파일을 원하는 곳에 복사.
2) c:\windows\system32\cmd.exe 파일의 등록정보 보안 탭을 오픈.
3) 위의 보안 항목에 있는 계정 모두를 삭제.
4) 그리고 원본을 복사한 파일(cmd.exe) 을 바로 가기 등으로 등록하여 사용.

8. 기타
- 터미널 기본 포트 변경
- SQL 포트 변경
- 정품 OS 사용
- Webnight(SW 웹방화벽) 설치