kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

Cyber Security

windows server 시스템 보안 Active Directory

까마기 2014. 9. 22. 22:08
728x90
반응형

 
안녕하세요. The Grit입니다. 본 포스팅에서는 Windows server 시스템 보안 파트에서 Active Directory에 대해 알아보도록 하겠습니다. 예전 네이버 블로그에 올렸던 내용을 참고한 내용이라 일부 누락된 부분이 있습니다. 


1. Active Directory service 
2. Workgroup, domain 네트워크 보안 접근의 차이점
3. GPO를 이용한 보안 설정
4. WEB 서비스 ( IIS ) 가 올라가져있는 상태에서 => 인증서버 연동 ( 보안 사이트 구성 )
5. FTP 보안

Active Directory -> 인증서비스, 계정서비스

MS - Workgroup  - 단순히 컴퓨터가 연결되어있는경우 -> Stand alone
                  (1) 사용자 계정, 암호를 똑같이 만든다.
                  (2) 계정과 암호를 물어본다.
                  (3) Guest 를 enabled (허가) 한다.
                   <요구사항>
                       1) Single Logon
                       2) 중앙집중식 계정 관리 --> 이래서 Domain 이 등장
     
       Domain  - NT 3.x                           Windows 20xx
                     4.x     
                     TCP/IP x                        NETBIOS over TCP/IP => NETBIT
                     NetBEVI->                     TCP/IP AD 서비스
                     NETBIOS over TCP/IP      Singlelogon 강조 (Client PC 들이 거의다 MS계열)로 바뀜
                  

UNIX - Fileserver         DB SErver            Application Server
       HP                          SOl                  Linux

      -------------------------------------------------------------->
                             대부분 원격 접속으로 사용
       

< WIndows - Active Directory 구성 >

(1) Domain Controller 설치
 
---> 실행 --> dcpromo -> 새 도메인 -> 포리스트 -> test.com -> 이름 test 확인
---> 데이터베이스 폴더 기본값 -> SYSVOL 기본값 -> 이컴퓨터에 DNS 서버 구성하고
     DNS 설정 하겠다. -> 2000 이상 (CLient 가 아니라 Server 를 의미)
--->  기본값 -> Next -> 설치마법사 실행됨 


(2) Single Server, Stand alone 상태에서 => dcpromo 
    설치후 Client 들이 Join 만하면 해당 Domain 의 Member가 된다.
- Host 컴퓨터 Member server로 가입하기 
* dcpromo로 Active Directory를 구성하게 되면 DNS 서버가 없을 경우 자동으로 설치되며 설치 시 입력했던 Domain에 대한
DNS 레코드가 자동으로 기본적으로 생성된다.


 
내컴퓨터 속성 -> 컴퓨터 이름 -> 변경 -> 자세히 -> DNS접미사 test.com -> 재부팅

인터넷 -> TCP/IP 속성 -> DNS 주소 : 자기 자신으로 바꾼다. IP ADDR = 192.168.xxx.xxx
                                                                                        SUBNETMASK = 255.255.255.0
                                                                                        GATEWAY = 192.168.xxx.xxx
                                                                                        1차 DNS = 127.0.0.1
 
관리도구 -> DNS -> 정방향 조회 -> 자동으로 구성되어있다. 
C:\WINDOWS\system32\drivers\etc  -> hosts 파일 확인 C:\WINDOWS\system32\drivers\etc .dns 삭제, 백업파일에서도 제거

역방향 -> 새영역 _> 주영역 -> 모든 도메인컨트롤러 -> 자신의 IP -> 중간레벨 (보안되지 않은 및 보안된 동적 업데이트 허용) -> 마침
새 포인터 -> 아이피  , WIN2003선택   -> 역방향에 보안되거나 보안되지 않음 클릭
                                    정방향에 보안되거나 보안되지 않음 클릭

Win XP -> 아이피 설정 -> 통신 되는지 PING 확인 
내컴퓨터 -> 설정 -> 컴퓨터 이름변경 -> 도메인 -> foosys1.com
 
Windows 2003에서
관리도구 -> 엑티브디렉토리 유저스 -> 새로만들기 -> 사용자 -> hjk1988 addong1224@    특수문자를 사용해야한다.
                                        
                                      --> 로그인 할때 재시작 체크 없앰

WInXP 재시작 -> Client 를 관리할때는 내컴퓨터로 administrators 로 로그인 ,, KANG 에 hjk1988 addong1224@ 로 로그인
          실행 -> \\ 192.168.xxx.xxx 으로 접속 확인

다시 Windows 2003 으로 와서 C 드라이브에 공유폴더 만들기
hub 폴더 생성 -> 우클릭 속성 -> 공유 탭 -> 사용권한 sol desk 사용자에게 공유권한 中 변경 권한을 준다. 

XP
--> HUB 안에 cc 만들기 -> CREATOR OWNER 만 남기고 나머지는 지워야 하는데 안된다. -> 공유 권한 中 변경 권한만 부여 했기 때문이다.
 
2003
HUB ->  모든권한으로 바꿈 (hjk1988) 

XP 
HUB -> bb 만들면 제거 버튼이 나왔다.

공유허가  +  NTFS 허가 = 가장제한적 허가가 우선이 된다.
해당 사용자에게 공유권한과 NTFS 권한 부여시 교집합이다. 즉, 

HUB 공유허가 : hjk1988 Deny
               Everyone 읽기권한
               Sales : 모든권한

NTF 허가     : hjk1988 읽기
               Everyone 모든권한
               Sales : 수정

     hjk1988 : Local (NTF) -> 제일큰 모든권한을 받는다.

               공유허가 -> 모든권한 (Sales 멤버) 

------------>

공유허가 : Everyone 모든권한
NTF 허가 : hjk1988 : 수정
           Everyone : 읽기
네트워크 권한은 두개를 비교하여 적은 권한을 준다.
LOcal 에서 hjk1988 는 수정권한 


보안정책을 바꿔야 한다
XP 에서 로그오프 KANG -> Administrator 로 로그인
관리도구 -> 컴퓨터 관리 -> 로컬 사용자 및 그룹에 사용자 만들기 , 다음로그인 체크 없앤다.

->  Null password 는 안된다. -> 닫기
--> 제어판 -> 관리도구 -> 로컬보안 정책 -> 계정 정책 ->  암호정책 -> 

Win2003
관리도구 -> 도메인  보안 정책 설정 ->   보안설정 -> 계정정책 -> 암호정책 -> 최근암호 0 -> 암호길이 0 -> 기간 0 -> 복잡성 x

XP KANG -> Administrator 로 로그인 (AD 로 로그인) 
관리도구 -> 로컬 보안 정책 -> 계정정책 -> 암호정책 -> 바뀐것을 확인 할 수 있음

Win2003

로그오프 ->  hjk1988  addong1224@ -> 이 시스템의 로컬정책에 따라 사용자는 대화형으로 로그인 할 수 없습니다. 메세지가 나온다.
----> administraotr 로 로그인 -> 
일반유저가 들어갈수 있겠금 허가 하기
관리도구 -> 도메인컨트롤럴 보안설정 -> 로컬정책 -> 사용자 권한할당 -> 로그인 허용등록 -> Everyone 
---> 다시 로그오프 -> 시간이 좀 걸린다. -> 5분~10분정도 지나면 로그인 할 수 있다.

GPO란?

일반유저 -> 어드민으로 실행  엑티브 디렉토리 사용자및컴퓨터 kang.com 오른쪽 -> 새로만들기 -> 조직구성단위 -> 

-> testou 만들기 -> testou 에서 조직구성단위 -> subou 만들기 

testou 에서 사용자 edu01 , edu01  -> 다음로그인할때 암호 변경 체크 x 
subou 에서 사용자 sub01 , sub01    다음로그인할때 암호 변경 체크 x  

Sales -> 

EDU01  만들기 

EDU02  만들기

testou -> 속성 -> 그룹정책 -> 새로만들기 -> salesspo -> 편집 -> 컴퓨터 구성 , 사용자 구성 ->
사용자 구성 -> WIndows 설정 -> 보안 설정 -> 확인
               WIndows 설정 -> 폴더 리디렉션 -> 바탕화면 -> 방향을 재지정 할수 있다. 
               소프트웨어 설치 -> 중앙서버에 소프트웨어가 배포되어있고, 유저가 인증받을떄 자동설치, 강제설치, 업데이트, 업그레이드 되게 하는것이 소프트웨어 배포 
                                  무인배포를 위함

관리 템플릿 ->  작업표시줄 및 시작매뉴  -> 아이콘에 대해서 제한할때 사용한다. 시작메뉴의 실행 메뉴 제거 -> 
                구성되지 않음 (Default 값) , 사용하지안함 (Disable 값) 구성되지않음이 Default  -> 사용함으로 설정 후 XP 로그인

                 XP (Client) 에서 edu01 로 접속한다. -> 실행버튼이 없어진것을 확인한다.
                 
Win2003 --> 검색매뉴 없애기 사용 -> XP에서 로그오프하면 검색매뉴도 사라져 있다. 

WinXP -> sub01, sub02 도 상속을 받기때문에 권한 상속이 되기때문에, 정책도 상속된다. 

WIn2003 -> subou -> 오른쪽 -> 속성 -> 그룹정책 -> 정책의 상속을 금지 체크 하기 

WinXP -> sub01로 로그인 검색과 실행 버튼이 다시 생겨난것을 확인

gpupdate /force 업데이트 하기

XP -> 로컬보안설정 -> 감사정책 -> 감사없음 확인 
Win2003
도메인 보안설정 -> 로컬정책 -> 감사정책 -> 개체엑세스 감사 성공실패 
실행 -> gpupdate /force

XP 재부팅

Windows XP 에서 
KANG -> administrator 로 로그인 
로컬보안설정 -> 로컬정책 -> 감사정책 -> 개체 엑세스 감사 -> 에 성공, 실패를 건들수 없다.


XP -> C드라이브 -> 폴더 하나 만들기 pub -> 공유 및 보안 -> 

XP -> 로컬보안정책 -> 보안옵션 -> 네트워크 엑세스 로컬 계정에 대한 공유 및 보안 등록정보 -> 게스트로 하면 -> 단순한 공유 밖에 안된다.
                                                                                          -> 로컬 계정으로 하면 -> 공유 Tab 이 생긴다.
   -> 로컬보안정책 -> 사용자 권한 할당  -> 네트워크에서 이 컴푸터 엑세스 에서 할 수 있음
                                           네트워크에서 이 컴퓨터 엑세스 거부 


   -> 로컬보안정책 -> 사용자 권한 할당 -> 워크스테이션 -> 고급 -> edu01 설정 함

Auditing 아이템 종류에 대해서도 CLient가 같이 설정해야 하는것도 있다.
2003 -> 관리도구 -> 기본 도메인 보안 설정 -> 로컬정책 -> 감사정책 (이벤트) -> 
XP -> C드라이브 -> pub파일 -> 속성 -> 보안 -> 고급 -> 감사 -> everyone 추가 성공,실패 모두 추가 
관리도구 -> 이벤트뷰어 -> 보안 -> 성공, 실패 감사를 다 볼수있다. 

100 CA
102 WEB

4. WEB 서비스 ( IIS ) 가 올라가져있는 상태에서 => 인증서버 연동
  ( 보안 사이트 구성 )

2003 
인증서 서버와 WEB 서버의 연동 하기

프로그램 추가제거 -> 윈도우즈 구성요소 추가/제거 -> 응용프로그램 -> IIS -> 자세히 -> FTP , World Wide web 서비스 확인

인증서 서비스 -> 독립실행형 루트 -> CA 이름 kang  -> 다음 -> 예 ->  CD 넣고 파일 선택 -> 마침

제어판 -> i386 -> 파일 선택 -> 마침 
                              
찾아보기 ->  제어판 -> 관리도구 -> 인증기관 -> 

페이지 올라오는지 확인

관리도구 -> IIS 클릭 -> 기본 웹사이트 -> 시작시키기 ->  CertSrv -> 웹페이지로 보기 
XP -> 인터넷익스플로러 ->  http://192.168.21.100/certsrv/

싸이트 만들기

IP 하나 추가 -> TCP/ip -> 고급에서 추가 가능 102번으로 설정 추가 

제어판 -> 관리도구 IIS 관리 -> 새로만들기 -> 웹사이트 ->새로만들기 -> 웹사이트 ->  kang -> 102번 설정 -> inetpup\wwwroot --> 쓰기빼고 나머지 는 다 체크 -> 완료 

XP -> http://192.168.21.102 로 접속하여 사이트 올라가는지 확인 (보안 x)

CA 서버 만들기
다시 2003에서 인증서만들기 하기
kang -> 오른쪽 -> 속성 -> 디렉토리 보안 -> 서버 인증서 클릭  ->  새인증서 -> 기본값 보낸다 -> 기본값 -> 조직 : kang 살명 : kang --> 다 설정 win2003 은바꾸지 말것 -> 나머지는 다 기본값 으로 -> 완료 (txt 저장)

웹서버가 CA 에게 웹서버를 요청 보낸다.
2003 에서 인터넷익스플로러 -> http://192.168.21.100/certsrv/  --> 인증서 요청 -> 고급인증서 요청 -> 
-> base64 -> C 드라이브에 Txt 파일 -> 오른쪽으로 


CA서버가 
관리도구 -> 인증기관 ->  발급 하기

웹서버가
192.168.100.21/certsrv  -> 대기중인 인증서 요청 -> 발급 ->  인증서 다운로드 C드라이브에 저장

이제 설치하기
관리도구 -> IIS -> kang -> 속성 -> 디렉토리 보안 -> 서버인증서 -> 대기중인 인증서 설치함 -> 받은파일 선택 -> 443 -> 설치 완료

관리도구 -> IIS -> kang -> 속성 -> 편집 -> 보안 채널 필요 -> 인증서 받아들임 

보안 사이트 구성 끝

XP

192.168.21.100/certsrv (인증서 서버) 인증서 를받아야 한다.
192.168.21.100/certsrv -> 인증서 요청 -> 웹브라우저 인증서 -> 정보 입력(이름만) -> 제출 

CA 서버 -> 인증기관 -> 대기중인 인증서 -> 발급 해준다.
192.168.21.100/certsrv -> 인증서 서버 인증서 요청에 표시 -> 설치 

http://192.168.21.102  -> https://192.168.21.102
WEB 서비스 (IIS) 가 올라가져있는상태에서 인증 서버와 연동

1. 제어판 - 프로그램 추가 / 제거에서 windows 구성요소 추가/제거 클릭 
2. 응용프로그램 서버에서 인터넷 정보 서비스(IIS) 체크 -> 자세히 클릭-> FTP 서비스와 World Wide web 서비스 클릭
3. 독립 실행형 루트 클릭
4. CA 이름 주고 다음
5. 인증서 데이터베이스 설정
6. 다음을 클릭하면 설치가 시작 된다. 도중에 cd가 필요하다는 메세지가 뜨면 우측하단의 시디롬 이미지에 win2003 이미지 파일을 넣고 확인을 클릭 하면 다시 설치가 진행 된다.
7. 설치가 끝나면 시스템 다시 시작.
8. 관리도구에 인증기관과 IIS가 뜬 것을 볼 수 있다.
9. 관리도구에 웹 사이트에 certSrv 웹 사이트 확인하기.
10. win2003에서 로컬 영역 연결에 ip 추가.
IIS 열어서 웹사이트 새로 만들기
이름 임의로 설정 -> 이 웹사이트에서 사용할 ip는 새로 추가한 ip 주고 포트는 그대로 80
-> 경로는 c:\Inetpub\wwwroot-> 허용할 권한에 쓰기 빼고 다 체크-> 만들기
11.xp에서 2003의 ip로 certsrv 접속시도.
ex)192.168.56.xxx/certsrv
12. xp에서 새로만든 웹사이트의 ip로 접속 시도
ex)192.168.xxx.xxx -> 다음 그림과 같이 떠야 한다.
13. 다시 win 2003

반응형