'구축'에 해당되는 글 1건

  1. 2008.10.20 Active Directory 관리 시리즈1 - AD 구축 및 보안 구성

이 시리즈는 2005년 MS TechNet AD 관리 시리즈를 보며 내용을 정리한 것이다.

○ Domain Controller 구축환경
    Data Center
        - 신뢰할 수 있는 작업자만이 접근할 수 있도록 통제 가능한 Datacenter와
           같은 장소에서 DC 구축 작업을 수행할 것을 권장
        - Datacenter에서 DC를 구축 후, 최종 운영장소(Branch Office)로 이동시킬 것
        - 작업자의 실수를 방지하기 위해 운영체제 설치 및 AD 설치를 자동화할 것 권장
    
    Branch Office
  
○ Windows Server 2003 설치 및 보안설정
    운영체제 설치시의 보안 설정
        - Windows Server 2003 설치 후, 최신 Service Pack 및 Hotfix 설치
            ㅡ 가장 기본
            ㅡ 모든 DC에 대한 동일한 구성을 위해 자동화 방식으로 OS 설치권장
            ㅡ 모든 파티션은 NTFS로 포맷
            ㅡ TCP/IP 프로토콜만 설치
            ㅡ Site간 복제를 위해 SMTP 프로토콜을 쓸 경우가 아니면 SMTP 설치 금지
            ㅡ IIS 설치 금지
            ㅡ OS 설치시 DNS도 설치
        - 강력한 Administrator 암호 설정
            ㅡ Local Administrator 암호 설정
            ㅡ Local Administrator 계정이 DC로 Promotion후 Domain Administrator
                 계정이 되므로 운영체제 설치시에 Local Administrator 계정의 암호로 다음과 같은
                 강력한 암호를 설정할 것을 권장함
                1) 최소 9자 이상
                2) 계정이름, 관리자이름, 회사이름을 포함시키지 말 것
                3) 이전 암호와 유사한 체계를 사용하지 말 것
                4) 처음 7자 안에 하나 이상의 특수 문자를 포함할 것
                5) 대문자, 소문자, 숫자, 특수문자를 모두 포함할 것

        - NTFS 자동 8.3 파일 이름 생성 기능 정지
            ㅡ 바이러스나 공격자에 의해 사용되는 프로그램들은  주로 16bit
                응용프로그램으로 NTFS 파티션의 8.3 파일이름을 사용함
            ㅡ DC에서 16bit 응용프로그램을 실행할 경우는 없기 때문에
                NTFS 자동 8.3 파일이름 생성기능을 정지하여 보안 강화
            ㅡ 설정방법 :    
                Registry
                   HKLM\System\CurrentControlSet\Control\FileSystem
                이름
                   ntfsDisable8dot3NameCreation
                Data Type
                   REG_DWORD
                값
                   0x01
            ㅡ NTFS에서 Long file name 사용가능
            ㅡ 16bit Application을 위해 8.3 file이름 자동 생성기능 정지
                바이러스, hacking 프로그램이 동작하지 않도록 설정 권장

    - Virus-Scanning 소프트웨어 설치
            ㅡ OS 설치후 DC로 Promotion하기 전에 Virus-Scanning SW를 설치하고
                동작하도록 구성
    - 불필요 서비스를 사용 안 함으로 설정
                DC 전용 시스템의 경우 꼭 필요한 Service만 사용할 것 권장
           ㅡ Application Management
               프로그램 추가 제거를 통한 Application 설치 관련 서비스
               임의적 SW 설치 제어
           ㅡ Automatic Updates
           ㅡ Background Intelligent Transfer Service
               자동 업데이트관련(패치) 서비스
               검증된 HotFix만 수작업으로 선택적 설치권장
           ㅡ Computer Browser
               브라우징 서비스, DC가 마스터 브라우저로 동작하여 불필요한 부하 발생시킴, 방지
           ㅡ Distributed Link Tracking Client
               NTFS File Link 관리
           ㅡ Error Reporting Service
               프로그램의 오류시 관련 정보를 MS에 전송
           ㅡ Portable Media Serial Number Service
               Portable Media Player의 Serial Number 검색, 사용할 일이 거의 없음
           ㅡ Print Spooler
               서버를 Printer 서버로 사용할 경우 사용
           ㅡ Remote Access Auto Connection Manager
           ㅡ Remote Access Connection Manager
               RAS와 관련 VPN, 전화접속을 이용하지 않으면 사용안함
          ㅡ Shell Hardware Detection
               Autoplay HW 인식
          ㅡ Special Administrator Console Helper
               명령 프롬프트를 원격에서 접속해서 사용하도록 하는 서비스
          ㅡ Telephony
               Telephony API를 서버에서 사용할 일이 없음
          ㅡ Uninterruptible Power Supply 
               UPS를 사용하지 않는다면 Serial Communication을 사용할 일이 없음
          ㅡ Wireless Configuration
               무선 설정관련된 서비스

○ Active Directory 설치 및  보안 설정
            AD 설치 시 고려할 보안 설정
    - Active Directory 자동 설치
        관리자의 실수를 최소화하기 위해 Unattended 설치 권장
        모든 DC가 동일한 구성을 유지하도록 하기 위해 AD 자동 설치를 권장
    - DCPromo /Answer:[Answer File Path]
    - Active Directory Database, Log, SYSVOL은 모두 System 파티션이 아닌 다른
       물리적 디스크에 저장할 것을 권장
    - Default로 Windows Server 2003 AD에서는 "Windows 2000 또는 Windows Server 2003
       운영체제와만 호환되는 사용 권한" 옵션이 선택되어 인증 받은 사용자만이
       도메인의 정보를 액세스할 수 있음
       Anonymous 사용자가 도메인의 정보를 액세스할 수 없도록 한다.
    - Virus-Scanning SW 설정
        OS 설치후 Virus-Scanning SW 설치
        AD 설치후 AD 관련 데이터베이스 파일과 SYSVOL Folder는 Scanning 금지
        ㅡ NTDS.dit
        ㅡ Edb*.log, Res1.log, Res2.log
        ㅡ Temp.edb, Edb.chk
       이상은 AD DB와 Transaction log file
        ㅡ SYSVOL 하부 폴더와 파일
       그룹정책에 관련된 정보를 저장
       DC가 운영중에는 항상 오픈되어 있음
       일부 백신 프로그램은 파일을 스캔 후 임의 정보를 주입하는 경우도 있어
       파일이 깨진 것으로 인식하는 경우가 있음
    - Virus-Scanning에서 제외되는 파일들은 모두 데이터 파일들이기 때문에 바이러스에
      대한 취약점이 발생하는 것은 아님
    - 그룹 보안 설정
       DC의 보안강화를 위해 도메인 정책의 계정잠금 정책 설정
        ㅡ 계정 잠금 기간 : 0(관리자가 수작업으로 수정하기 전엔 사용할 수 없음)
        ㅡ 계정 잠금 임계값 : 20(연속 20번 틀리면 계정 잠금)(적절한 횟수 지정)
        ㅡ 다음 시간 후 계정 잠금 수를 원래대로 설정 : 30(분)
      도메인컨트롤러 사용자 권한 할당 정책
        ㅡ 로컬로그온 허용
            Administrators
            Backup Operators
            Server Operators
            다음의 그룹 제거
            Account Operators
            Print Operators
        ㅡ 시스템 종료
            Administrators
            Backup Operators
            Server Operators
            다음의 그룹 제거
            Print Operators
    도메인 컨트롤러 보안 옵션 정책
           감사: 글로벌 시스템 개체에 대한 액세스 감사  : 사용안함
           감사: 백업 및 복원 권한 사용을 감사   : 사용안함
                불필요한 보안 로그를 방지
           감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료  : 사용안함
                보안로그가 Full인 경우 시스템 종료하게 됨
           장치: 로그온 할 필요없이 도킹 해제 허용   : 사용안함  
           장치: 로컬로 로그온 한 사용자만이 플로피 드라이브에 액세스 : 사용
           장치: 로컬로 로그온 한 사용자만이 CD-ROM에 액세스 가능 : 사용
                로컬 로그온을 해야만 장치 사용
           장치: 사용자가 프린터 드라이버를 설치할 수 없게 함 : 사용
           장치: 서명되지 않은 드라이버 설치 동작  : 설치 허용 안함
           장치: 이동식 미디어 포맷 및 꺼내기 허용  : Administrators
           도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부 : 사용안함
           도메인 컨트롤러: Server Operator가 작업을 스케줄하도록 허용 : 사용안함
                Administrators 그룹만 허용
           도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) : 사용
           도메인 구성원: 컴퓨터 계정 암호 변경 사용 안함 : 사용안함
           도메인 구성원: 컴퓨터 계정 암호 최대 사용 기간 : 30일
                보안 강화 구성
           도메인 구성원: 고급 세션 키 요청(Windows 2000 또는 그 이상) : 사용
           대화형 로그온: 마지막 사용자 이름 표시 안함 : 사용
           대화형 로그온: [CTRL+ALT+DEL]을 사용할 필요없음 : 사용 안 함
           대화형 로그온: 캐시할 로그온의 회수(도메인 컨트롤러가 사용 불가능할 경우) : 0일
                도메인 컨트롤러가 사용 불가능할 경우 캐시된 로그온의 사용 안함
           대화형 로그온: 암호 만료전에 사용자에게 암호를 변경하도록 프롬프트 : 14일
           대화형 로그온: 워크스테이션 잠금 해제를 위해 도메인 컨트롤러 인증 필요 : 사용
           Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호를 보냄: 사용안함
           Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 : 사용
           Microsoft 네트워크 서버: 세션 연결을 중단하기 전에 필요한 유휴 시간 : 15분
           네트워크 액세스: 네트워크 인증에 대한 자격 증명의 저장소나 .NET Passport 허용 안함 : 사용
           네트워크 액세스: 명명된 파이프와 공유에 대한 익명 액세스 제한 : 사용
           복구 콘솔: 모든 드라이브 및 폴더에 플로피 복사 및 액세스 허용 : 사용안함
           복구 콘솔: 자동 관리 로그온 허용 : 사용안함
           시스템 종료: 로그온 하지 않고 시스템 종료 허용 : 사용안함
           시스템 종료: 가상 메모리 페이지 파일 지움 : 사용
           시스템 개체: 내부 시스템 개체(예: 심볼 링크)에 대한 기본 사용 권한을 강화 : 사용

○ 물리적 보안 유지
    - 물리적 접근 제한
        신뢰할 수 있는 운영자만이 접근 가능한 Room에서 DC 운영
        물리적 잠금 장치 사용
        DC를 관리하기 위한 절차 수립
    - 다른 운영체제로의 부팅 제한
        플로피 디스크 드라이브 제거
        CD-ROM 또는 DVD 드라이브 제거
        Boot.INI의 [Timeout] 값을 0으로 설정
           다른 운영체제로의 부팅의 여지를 없앰

○ 참고자료
    - Microsoft TechNet Active Directory Operation
        http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/933b109f-42c5-4f85-9462-50b23b30e326.mspx
    - Active Directory Administration Webcast Series
        http://www.microsoft.com/events/series/adaug.mspx 

신고
Posted by She쥐포s