윈도우보안관리 -계정관리

Windows Server의 보안을 다룰 때 가장 중요한 영역 중의 하나가 바로 계정 정책입니다. 계정 정책은 사용자 계정에 필요한 암호의 길이, 암호의 복잡성, 사용자 계정 잠금 등과 같은 정책들로 구성됩니다.

Windows Server 2003에는 삭제할 수 없지만 이름을 변경할 수는 있는 기본 제공 사용자 계정이 여러 개 포함되어 있습니다. 이 중 가장 잘 알려진 두 개의 기본 제공 계정은 Guest와 Administrator입니다. 기본적으로 구성원 서버와 도메인 컨트롤러에서는 Guest 계정을 사용할 수 없습니다. 이 설정은 변경하지 않는 것이 좋습니다.

공격자가 잘 알려진 계정을 사용하여 원격 서버를 손상시키지 못하도록 하려면 기본 제공 Administrator 계정의 이름과 설명을 변경해야 합니다. 대부분의 악성 코드는 서버를 손상시키려는 초기 시도에서 기본 제공 Administrator 계정을 사용합니다. 로컬 관리자 계정의 이름을 고유한 이름으로 바꾸면 작업 그룹에서 이 계정에 대해 시도된 공격을 모니터링하기가 쉬워집니다.

계정에 대한 보안 구성

잘 알려진 도메인 계정 및 로컬 계정에 보안 설정하기

l         모든 도메인 계정 및 로컬 계정에 대해 Administrator 및 Guest 계정의 이름을 변경하고 암호를 길고 복잡한 값으로 변경합니다.

l         각 서버에 서로 다른 이름과 암호를 사용합니다. 모든 서버에 사용된 계정 이름과 암호가 동일하면 그 중 하나의 서버에 접속한 공격자가 계정 이름 및 암호가 같은 다른 모든 서버에도 접근할 수 있게 됩니다.

l         계정을 쉽게 식별할 수 없도록 계정 설명을 기본값이 아닌 다른 값으로 변경합니다. 이러한 변경 내용을 안전한 위치에 기록합니다.

l         새로운 계정을 생성하여 이름을 Administrator로 구성합니다. 새로 만든 Administrator 사용자 계정에 복잡한 암호를 구성합니다. 이 계정을 사용한 로그온 시도를 중점적으로 감사하여 공격 시도를 추적합니다.

도메인 컨트롤러에서 Administrator 이름 바꾸기

1.         시작을 클릭하고 관리 도구에서 Active Directory 사용자 및 컴퓨터를 엽니다. 도메인 컨트롤러가 아닌 경우에는 컴퓨터 관리를 엽니다.

2.         Administrator 계정을 오른쪽 버튼을 클릭해서 이름 바꾸기를 클릭합니다.

3.         전체 이름과 로그온 이름 등을 변경합니다.

[참고] 계정의 설명도 수정해야 합니다.

Administrator 계정의 이름을 변경할 때에는 반드시 계정의 설명 역시 수정하거나 지워야 합니다. 이 설명과 계정 목록은 공격자에 의해서 스캔될 가능성이 있는데, 변경한 관리자의 설명을 ‘관리자 계정’이라고 수정한다면 Administrator 계정을 수정하지 않는 것과 마찬가지입니다.

또한 만일 Administrator 계정을 비활성화하였다 하더라도 도메인 컨트롤러를 안전 모드에서 부팅할 필요가 있을 때에는 해당 계정을 사용할 수 있습니다. Administrator 계정은 안전 모드에서는 항상 사용 가능합니다.

[참고] Everyone과 Authenticated Users 사용자

Everyone 그룹은 말 그대로 모든 사람을 포함하므로 가장 보안이 낮습니다. 만일 Guest 계정이 활성화되어 있다면 Guests 사용자도 Everyone의 멤버이지만, Users나 Authenticated Users의 멤버는 아닙니다.

Users 그룹과 Authenticated Users 그룹의 차이를 이해하기는 약간 어려운 편입니다. Authenticated Users그룹이 인증 받은 모든 사용자를 나타내는 한편, Users 그룹은 모든 멤버가 인증을 받은 것이 아닙니다. Windows 네트워킹에서는 널^null 세션을 이용하여 공유 폴더 리스트, 프린터 등에 대한 정보를 교환합니다. Users 그룹은 널^null 연결을 포함합니다.

따라서 NTFS 권한 설정을 할 경우에는 파일이나 폴더에 Everyone 대신에 Authenticated Users를 사용하는 것이 바람직합니다.

net user 명령어 사용하기

net user를 이용하여, 사용자 계정과 관련된 명령을 명령 프롬프트에서 유용하게 사용할 수 있습니다.

l         전체 사용자 목록 보기

             net  user

l         전체 그룹 목록 보기

             net  group

l         Administrator의 정보 보기

             net  user  administrator

l         'Sales'라는 그룹의 구성원을 모두 보기

             net  group  sales

l         도메인 사용자 user1의 암호를 임의의 값으로 바꾸기

             net  user  user1  /random  /domain

l         도메인 사용자 user1의 암호를 P@ssw0rd로 바꾸기

             net  user  user1  P@ssw0rd  /domain