일본,홍콩서버 호스팅 Window 보안 가이드 (계정 장금 정책 구성)

안녕하세요. 이호스트데이터센터 해외 사업부 입니다.

일본, 홍콩 서버를 사용하시는 고객분들 중 윈도서버를 사용하시는 고객분들이 많이 계신데요.

window 보안가이드가 배포되어 공요 합니다.

모쪼록 안정적인 해외 서버 사용이 되시길 바랍니다.

Window 보안 가이드 (계정 장금 정책 구성)

효과적인 계정 잠금 정책은 공격자가 사용자 계정 암호를 추측하지 못하도록 도와줍니다.

또한 감사 정책을 함께 이용해서 계정 잠금을 추적하여 시스템의 보안 위험을 추적할 수도 있습니다.

 

그룹 정책을 이용한 계정 잠금 구성하기

l  시작을 클릭하고 관리 도구에서 Active Directory 사용자 및 컴퓨터를 클릭합니다.

l  Active Directory 사용자 및 컴퓨터 창의 도메인 이름을 오른쪽 클릭하여 등록 정보를 선택하고 그룹 정책 탭을 클릭합니다.

l  편집할 GPO를 선택하고 편집을 클릭한 후 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\계정 잠금 정책을 선택합니다.

l  계정 잠금 임계값은 잘못된 암호를 허용할 수 있는 한계 값입니다. 다음 시간 후 계정 잠금 수를 원래대로 설정은 암호를 임계값만큼 잘못 입력했을 경우 여기서 정한 시간이 지나면 잘못 입력한 횟수를 다시 0에서 시작하기 위한 값입니다. 즉 짧은 시간동안 자동화된 툴로 암호를 추정하는 공격을 막아야 하지만, 반면 관리자가 계정을 수동으로 풀어주지 않아도 이 시간이 지나면 다시 로그온을 허용하기 위함입니다. 계정 잠금 기간은 계정을 사용하지 못하도록 잠그는 시간을 의미합니다.

 

암호와 계정 잠금 정책에 대한 주의 사항

암호와 계정 잠금 정책은 반드시 도메인 루트 수준에서 설정해야 합니다. 이 정책들이 OU 수준에서 설정되면 로컬 계정(SAM)에만 정책이 적용되고 도메인 계정에는 적용되지 않습니다. 암호 정책과 계정 잠금 정책은 도메인 수준에서 하나만 존재할 수 있습니다.

 

현재 구성된 유효한 보안 정책 살펴보기

특정 컴퓨터에 최종적으로 구성된 보안 설정을 보기 위해서는 GPMC (Group Policy Management Console)나 정책 결과 집합, GPResult와 같은 명령어를 사용할 수 있습니다. 그러나 보다 간단한 방법이 있습니다. 바로 그룹 정책 편집기(Windows Server 2003의 경우에는 그룹 정책 개체 편집기)를 사용해 특정 컴퓨터의 로컬 GPO를 들여다 보는 것입니다. 그룹 정책 편집기는 그 컴퓨터에서 사용 중인 유효한 정책 설정 값을 보여줍니다.

 

l  시작을 클릭하고 실행을 클릭한 후 mmc를 입력합니다.

l  파일 메뉴에서 스냅인 추가/제거를 선택하고 추가를 클릭합니다.

l  스냅인 목록에서 그룹 정책을 선택한 후 추가를 클릭합니다.

l  마침을 클릭하고 닫기를 클릭한 후 확인을 클릭합니다.

l  콘솔 루트\로컬 컴퓨터 정책\Windows 설정\보안 설정에서 유효한 보안 설정을 확인합니다. 로컬 설정과 실제 설정의 두 가지 항목이 나타나는데 실제 설정의 내용이 모든 GPO를 적용한 유효한 보안 설정의 내용입니다.

l  Windows Server 2003의 경우에는 결과에 대해 보안 설정이라는 항목으로 나타납니다. 정책을 더블 클릭했을 때 Active Directory에 연결된 GPO의 통제를 받고 있다면 편집이 불가능하지만 로컬 설정만 적용될 경우에는 편집도 가능합니다.

 

LM 해시 생성 사용 해제하기

Windows 2000 Server는 사용자의 암호를 해시로 저장하여 관리자조차도 암호를 읽을 수가 없습니다. 이 암호의 해시는 LM 해시와 NTLM 해시로 저장됩니다. 그런데 LM 해시는 NTLM 해시에 비해 상대적으로 약하기 때문에 무차별 공격을 받기 쉬우며 따라서 공격자에게 암호가 쉽게 노출될 가능성이 있지만 이전 버전의 Windows를 실행하는 컴퓨터를 인증하기 위해 사용되고 있습니다. LM 인증이 필요한 클라이언트(Windows NT 4.0 SP4 미만, Windows 98)가 없으면 LM 해시의 저장소를 사용 해제해야 합니다.

 

Windows 2000의 경우에는 SP2부터 LM 해시 저장소를 사용 해제하는 레지스트리 설정을 제공합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa에 있는 NoLMHash (DWORD)의 값을 1로 구성합니다.

Windows 2003의 경우에는 다음을 따라합니다.

l  시작을 클릭하고 관리 도구에서 Active Directory 사용자 및 컴퓨터를 클릭합니다. 도메인 컨트롤러가 아닌 경우에는 그룹 정책 개체 편집기에서 수행합니다.

l  Active Directory 사용자 및 컴퓨터 콘솔의 도메인 이름을 오른쪽 클릭하여 등록 정보를 선택하고 그룹 정책 탭을 엽니다.

l  편집할 GPO를 선택하고 편집을 클릭한 후 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션을 선택합니다.

l  '네트워크 보안: 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함'을 더블 클릭하여 사용을 선택합니다.

l  이 정책은 사용자 계정의 암호가 변경된 이후에 해당 계정의 암호 해시에 대해서 적용됩니다. 따라서 Administrator와 같은 중요한 계정에 대해서는 즉시 암호 변경 작업을 수행해 주도록 합니다.

 

보안 그룹 정책의 적용 확인

도메인에서 그룹 정책을 구성해도 멤버 컴퓨터에 바로 적용되지는 않습니다. 일반적으로 컴퓨터를 다시 시작하거나 또는 90~120분의 시간이 지날 때 그룹 정책이 적용됩니다. 정책이 멤버 서버로 다운로드되면 이벤트 뷰어의 응용 프로그램 로그에 다음 그림의 이벤트가 나타납니다. 성공적인 이벤트 로그 메시지를 받지 못하면 secedit /refreshpolicy machine_policy /enforce 명령어를 실행한 후에 다시 확인합니다. Windows Server 2003 및 Windows XP의 경우에는 gpupdate /force 명령어를 실행하고 확인합니다.

 

도메인에의 인증을 제어한다

l  Windows 2000 이상의 시스템은 도메인에 로그온할 때 각 사용자의 인증 정보 사본을 저장합니다. 만일 시스템이 로그온 중에 도메인 컨트롤러domain controller (DC)를 찾지 못하면 이 캐시되어 있는 인증 정보를 사용하여 도메인에 로그온하게 됩니다. 이 때 사용자는 DC를 찾을 수 없다는 에러 메시지를 받지는 않지만 DC가 제공하는 여러 가지 기능들을 사용할 수 없습니다.

l  DC를 찾지 못한 채 캐시된 로그온 인증을 했는지는 이벤트 ID 5719를 찾아보거나 또는 명령 프롬프트에서 ‘set’을 입력하고 LOGONSERVER 항목에 DC의 이름 대신에 로컬 컴퓨터의 이름이 표시되는지 확인하면 알 수 있습니다.

 

 

도메인 로그온 과정에서 도메인이 아닌 로컬 컴퓨터에 캐시된 로그온하지 않도록 하기

l  레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon에 있는 값 cachedlogonscount 항목을 찾습니다. 이 값을 0으로 바꾸면 Windows 시스템은 로그온 캐시에 사용자 계정 정보를 저장하지 않을 것입니다.

l  시스템을 재시작합니다.

l  이제는 로그온할 때 도메인을 찾을 수 없다면 에러 메시지가 나타납니다. 이 경우 로컬 컴퓨터로만 로그온할 수 있습니다.

l  그룹 정책을 이용할 경우 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 '캐시해 둘 로그온의 횟수 (도메인 컨트롤러가 사용 불가능할 경우에 대비)'의 값을 0으로 설정합니다.

 

캐시된 인증을 허용하되 사용자에게 DC를 찾을 수 없다는 에러메시지 표시하기

l  레지스트리 편집기에서 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon을 오른쪽 클릭하고 새로 만들기를 선택하여 문자열 값을 클릭합니다.

l  ReportControllerMissing라는 항목을 추가하고 이 항목의 값을 TRUE(대문자)로 설정합니다.

l  동일한 레지스트리 위치에 ReportDC라는 DWORD 값을 1로 설정합니다.

 

레지스트리 키 백업 및 복구하기

l  레지스트리를 편집할 때는 문제가 있을 경우를 대비하여 변경하기 전에 먼저 백업을 해야 합니다. regedit.exe를 사용하여 백업할 때는 레지스트리 편집기에서 백업하려는 키나 서브키를 선택하고 레지스트리 메뉴에서 레지스트리 파일 내보내기를 클릭하고 파일 이름을 입력합니다. .reg 확장명이 붙는 파일이 생성됩니다.

l  복구할 때는 레지스트리 메뉴에서 레지스트리 파일 가져오기를 클릭하고 백업 파일을 선택하거나 또는 Windows 탐색기에서 이 파일을 더블 클릭하면 됩니다.

l  regedt32.exe에서는 백업하려는 키를 선택하고 메뉴에서 레지스트리 - 키 저장을 선택하고 파일 이름을 입력합니다. 복구할 때는 반대로 레지스트리 - 복원을 클릭하여 백업된 파일을 선택합니다.

 

참조사이트

http://www.ahnlab.com/

http://www.kisa.or.kr/

http://www.itworld.co.kr/

보다 안정적인 해외서버를 원하시면 정답은 이호스트데이터센터에 있습니다.

서비스 문의.

전화 : 070-7600-5521

메일 : jsyoon@ehostidc.co.kr

홈페이지문의 : center.ehostidc.co.kr

스카이프 문의  : EhostIDC Hosting Manager

* 일본 서버호스팅

Intel® Xeon® Quad Core L5520 x 2CPU

24GB DDR RAM

1TB SATA3 HDD raid 1 구성.

Intel® Xeon® Quad Core E3 1230 v2

8GB DDR RAM

1TB SATA3 HDD raid 1 구성.

* 홍콩 서버호스팅

Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz

RAM : 8GB

500GB SATA

Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz

RAM : 8GB

128 SSD

2 x Intel E5-2620 Processor

32GB ECC DDR3 Memory

2 x 1TB NL SAS Hard Disk

2 IP Address

* 러시아 서버호스팅

CPU : core i3-4360 2x3.7GHz

RAM : 4G (32GB 확장가능)

HDD : 100G ssd*2 (12 disk 확장 가능)

CPU : E3-1230v3 3.3GHz

RAM : 16G (32GB 확장가능)

HDD : 100G ssd*2 (12 disk 확장 가능)

CPU : E5-2620v3 2.4GHz

RAM : 16G (256GB 확장가능)

HDD : 100G ssd*2 (12 disk 확장 가능)

* 네덜란드 서버호스팅

CPU : Core i3-2100 3.1GHz (2xCores)

RAM : 4GB DDR3

HDD : 2x500GB SATA

etc : IPMI, 100Mbps

CPU : Intel Xeon E3-1230v3 3.6GHz (4xCores),

RAM : 16GB DDR3,

HDD : 2x1000GB SATA3

etc : IPMI, 100Mbps

CPU : Intel Xeon E5-1650 3,5GHz 6 Сores - 2xHDD

RAM : 16 to 128 GB DDR3 ECC RAM

HDD : SSD or 500GB/3TB SATA 7200