12일차 보안정책, 감사정책, 서버 도구 관리 및 방법

# 보안정책

-사용자권한
사용자, 그룹 또는 컴퓨터가 시스템에 접근할 수 있는 권한


## 설정방법
관리도구-> 로컬 보안 정책 -> 로컬 정책 -> 사용자 권한 할당

원하는 속성을 클릭한 후 [사용자 또는 그룹 추가]를 눌러서 default group를 사용하여 수동으로 유저권한을 설정한다.

-계정정책
정의 : 계정의 암호를 추측하여 공격하는 brute Force 공격을 완화
암호정책과 계정 잠금 정책이 있다.(암호 길이를 늘려주거나 접근 대기시간을 설정해서 막는다.)

-보안 템플릿
정의 : 사용자를 위해 정의되어 있는 보안 설정
ㄴ 여러 컴퓨터에 공통된 보안 설정을 하기 위해 사용
ㄴ 서버 환경에 맞춰 설정 가능
ㄴ 그룹 정책으로 배포가 가능하다.
## 보안 템플릿 생성
MMC->스냅인 추가/제거 -> 보안 구성 및 분석, 보안 템플릿을 추가 -> 보안 템플릿 우클릭-> 템플릿 추가.

---

# 감사정책
정의 : 관리자가 감시할 유저나 컴퓨터의 활동들을 로그로 남겨서 확인하는 것.
누가, 언제, 어떻게 되었는지 확인하고 그 로그를 보안로그에 '감사정책'이 저장된다.

권한주는 방법
1. 그룹(보안그룹 [도메인]에 권한을 주고 담는다)
local > administrator의 SAM에 저장한다.
2. 정책을 이용해 권한을 준다.(관리자 그룹에 유저 할당)
ㄴ secpol.msc로 로컬그룹을 열어서 권한할당.

로컬 보안 정책  (gpedit.msc : 로컬 그룹 편집기)
DC에는 일반사용자 로그인이 안된다. 그러나 일반 서버는 일반 유저로도 로그인 가능하며,
일반 유저는 권한 부여가 가능하다.
로컬은 내 컴퓨터에서만 적용된다. default groub에서 기본으로 저장 - 컴퓨터 생성시 만들어지는 그룹
보안템플릿 - 정책을 미리 만들어놓고 적용한다. (gpmc.msc에는 그룹 정책관리가 있다.)

그룹 보안 정책(그룹정책)
그룹 정책은 밑의 그림과 같이 아래로 갈수록 아래의 권한으로 덮어써진다.

# 감사이벤트 유형
계정 로그온 이벤트 감시  - 네트워크를 통해 접근시 기록
계정 관리 감사    - 계정이 추가, 삭제 및 변경될 때 기록
디렉터리 서비스 액세스 감사 - 안내책자들이 복제되거나 변경될 때 기록
ㄴ디렉터리 서비스 변경
ㄴ디렉터리 서비스 복제
ㄴ디렉터리 서비스 복제 상세 정보
로그온 이벤트 감사 - 로컬로 로그인시 기록
개체 액세스 감사 - 개체(파일, 폴더)에 접근시 성공, 실패로 기록됨
정책 변경감사 - SACL(system access control list), 시스템관리(여기에 설정된 파일만 기록함)
권한사용 감사 - 클릭만 해도 로그가 기록되기에 일반적으로 시간으로 두고 "특정시간 동안" 확인
프로세스 추적감사 - 일반적으로 프로세스 추적을 지원하나 다른 프로그램을 쓰는게 낫다.
시스템감사 - 기본적으로 감사 이벤트는 비활성화가 default 값이나 시스템 감사는 항상 켜져있다.

## 감사 정책 설정
로컬 보안 정책 > 로컬 정책 > 감사 정책

보이는 바와 같이 '성공,실패'로 설정할 수 있다.

## 감사 정책 설정
개체 액세스에 감사를 설정할 경우 개체에도 설정을 해줘야 한다.

## 보안로그
이벤트 뷰어
정의 : 이벤트 로그를 찾아보고 관리하는데 사용되는 관리도구
시스템 상태를 모니터링 하고 문제를 해결하는데 반드시 필요하다.

이벤트 뷰어로 확인할 수 있는 로그
- 관리 이벤트
- 서버 역할
    Active Directory 도메인 서비스
    DNS 서버
- windows 로그
    응용 프로그램
    보안
    시스템
- 응용 프로그램 및 서비스 로그

# 이벤트뷰어 실행
실행 > eventvwr 로 실행

위에 보이는 로그를 보면 실행창에서 # shutdown /s /t 0 /m vm12를 이용하여 13포트의 사용자가 내 컴퓨터를 종료했다는 로그가 남겨졌다.

# 이벤트뷰어 기능
- 설정한 감사 정책 이벤트 확인
- 보안 로그의 크기 설정 가능
- 필터링 작업을 통하여 원하는 이벤트만 확인 가능

 로그가 꽉 차면 로그 보관은 관리자가 용량을 확보해주지 않으면 더 이상 로그를 기록하지 않고 대기 상태에 있다.

---

6장 서버 도구 관리 및 방법
1. 다음 계정으로 실행(secondaly logon)
2. 컴퓨터관리
3. 관리를 위한 데스크톱

1. 다음 계정으로 실행(secondaly logon)
다음계정으로 실행의 정의
- 사용자가 현재 로그온 한 권한이 아닌 다른 권한으로 실행시 사용(cui : runas gui: 우클릭>관리자권한실행)

2. 컴퓨터관리
컴퓨터관리의 정의
- 로컬 또는 네트워크 컴퓨터를 관리하기 위한 관리 도구
- 제한적인 관리

3. 관리를 위한 데스크톱
- 터미널 서비스를 이용한 원격 컴퓨터 관리
* 원격 컴퓨터에 완벽한 관리를 위하여 사용
* 원격 컴퓨터에 빈번하게 발생되는 관리 작업을 용이하게 처리함

- 원격 데스크톱
* 원격 서버 데스크톱에 접속가능
* 동시 연결 수는 최대 2개(라이센스를 가지면 8개까지 가능)
* 터미널 서버가 설치되어 있지 않아도 관리용으로 구성 가능
* 기본적으로 3389 포트를 사용한다.

- 원격 데스크톱의 장점
* 원격 접속을 통해 최대의 관리 작업 제공
* 여러 문제를 빠르게 진단 가능
* 인터넷 접속만 가능하면 어디서든 접근이 허용
* 원격지에서 GUI 환경에서 작업을 필요로하는 경우

# 원격 데스크톱 설정 방법
- 시작 -> 실행 -> control system (내컴퓨터 > 속성)

기본적으로 허용안함이 되어있다.
윈도우 vista이상이나 2008서버 이상부터는 보안이 가능한 네트워크를 이용하나 xp, 2003서버 이하 버전은 보안을 지원하지 않는다.

 원격 데스크톱 연결 방법
시작 -> 모든 프로그램 -> 원격 데스크톱 연결

 MMC -> 스냅인 추가/제거 -> 원격 데스크톱 -> 새 연결