5.관리자 계정 보안
1. 현재 관리자 sid값은 무엇인가?
=>
실행(ctrl+r) > cmd
c:\>user2sid administrator
S-1-5-21-796845957-412668190-839522115-500
Number of subauthorities is 5
Domain is KISA-1
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser
c:\>getsid
\\kisa-1 administrator
\\kisa-1 administrator
The SID for account KISA-1\administrator matches account KISA-1\administrator
The SID for account KISA-1\administrator is S-1-5-21-796845957-412668190-839522115-500
2. 관리자 이름을 `eent123x`로 변경하여라. 변경 이후 관리자 sid값은 무엇인가?
=>
[관리자 이름 변경]
"로컬 보안 설정>로컬 정책 > 보안 옵션" 에 정책중
"계정 : Administrator 계정 이름 바꾸기" 값을 eent123x로 변경한다.
[변경 이후 관리자 sid 값]
1번 같은 방법으로..
3. 가짜 Administrator 계정을 만들고 guest 그룹으로 등록하여라.
=> "제어판 > 관리도구 > 컴퓨터 관리"에
"로컬 사용자 및 그룹 > 사용자"에서
"오른쪽 클릭 > 새 사용자"클릭 이름을 Administrator로 정하고 확인
목록에서 Administrator 우클릭> 속성에 "소속 그룹" 탭에서
"추가" 클릭> 그룹선택에서 "고급" 클릭
"지금 찾기"클릭후 목록에서 Guest 계정 클릭하고 확인
기존에 등록되어있던 소속 그룹은 삭제한다.
4. 패스워드 크랙 방지를 위해 SAM 데이터 베이스를 128bit로 암호화 시켜라.
=> 실행>cmd
c:>syskey
Windows XP 계정 테이터베이스 보안
암호화 사용> 확인
6.패치 및 업데이트 관리
※ 주의 : MBSA(Microsoft Baseline Security Analyzer)를 이용하여 해결하시오.
1. 현재 시스템에서 업데이트가 이루어지지 않았거나 잘못된 업데이트는
모두 몇 개 인가?
=> C:\Program Files\Microsoft Baseline Security Analyzer\mbsa를 실행한다.
17개
2. 현재 시스템에서 나타난 취약점은 모두 몇 개 인가?
0개
7.Windows XP 폴더 보안
Windows XP Professional을 사용하는 중소기업에서 개인 공유 폴더에 대한 보안을
아래와 같이 설정하려고 한다.
1. `4분기영업자료` 공유 폴더를 share_user 라는 사용자만 네트워크를 통해
읽기 가능하도록 설정하여라.
=> 해당 폴더 우클릭 > "공유 및 보안" 클릭
공유설정 확인한다.
사용자 제한설정이 나오지 않는다면 탐색기>도구>폴더 옵션 "보기"탭에서
"모든 사용자에게 동일한 폴더 공유 건한을 지정"에 체크를 해제한다.
"사용권한" 클릭 > "추가" 클릭 > "고급" 클릭 > "지금 찾기" 클릭
share_user 를 찾아서 확인
기존에 등록된 그룹또는 사용자는 삭제한다.
2. `4분기영업자료` 폴더에 접근할 사내 직원은 10명이 넘지 않으므로 10명만
동시 접속이 가능하도록 설정하여라
=>
"공유 및 보안"에서 사용자 제한> "허용 인원"을 10으로 설정
8.터미널 서비스 보안
1. `ftp_user` 계정만 터미널 서비스에 로그온 할 수 있도록 설정하여라.
=> "실행" > "compmgmt.msc"(컴퓨터관리)
"시스템 도구" > "로컬 사용자 및 그룹" > "사용자" > "ftp_user"추가
내 컴퓨터 > 속성 > "원격"탭에서 원격데스크톱에 사용자 추가 ftp_user
2. 기본적인 터미널 서비스 포트 3389/tcp를 3147포트로 변경하여라.
아래 레지스트리 경로로 이동하여 터미널 서비스 접속 포트를 변경 하여 준다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 에서 Port number 수정
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 에서 Port number 수정
10진수를 선택하고 3147을 넣어주면 된다.
9.레지스트리 보안
웜이 시스템 시작 시 레지스트리로부터 실행되는 것을 막기 위해 자동 실행관련
레지스트리 키를 찾아 관리자 그룹(administrators), 시스템 그룹(SYSTEM)만
접근 가능하도록 설정하였다.
1. 바이러스 웜 및 악성 프로그램이 시스템에 설치되었는지 감사하고자 한다.
자동 실행 관련 레지스트리 키의 `값 설정`, `삭제`, `하위 키 추가 성공`,
`연결 만들기` 이벤트 발생시 감사로그가 남도록 설정하여라.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion의 Run, RunOnce, RunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion의 Run, RunOnce, RunServices, RunServicesOnce
2. 패스워드 무작위 대입 공격이나 바이러스 웜 감염을 막기 위해 원격에서
레지스트리 조작을 허용하지 않도록 설정하여라
=> 실행 > services.msc
"Remote Registry" 항목 "사용 안함"으로 설정
