내보내기(0) 인쇄
모두 확장

Windows Server 2003 보안 가이드

6장: 인프라 서버 역할

업데이트 날짜: 2005년 12월 27일

이 페이지에서

개요
감사 정책 설정
사용자 권한 할당 설정
보안 옵션
이벤트 로그 설정
추가 보안 설정
SCW를 사용하여 정책 만들기
요약

개요

이 장에서는 이 가이드에 정의된 세 가지 환경에서 Microsoft® Windows Server™ 2003 SP1(서비스 팩 1)이 실행되는 인프라 서버의 보안 강화를 위해 사용할 수 있는 정책 설정에 대해 설명합니다. 이 가이드에서 인프라 서버는 DHCP 서비스 또는 Microsoft WINS 기능을 제공하는 서버를 나타냅니다.

이 장의 대부분의 설정은 그룹 정책을 통해 구성 및 적용됩니다. MSBP(구성원 서버 기준 정책)를 보완하는 GPO(그룹 정책 개체)는 서버에 대해 추가적인 보안을 제공하기 위한 인프라 서버를 포함하는 적절한 OU(조직 구성 단위)에 연결될 수 있습니다. 이 장에서는 MSBP와 다른 정책 설정만 다룹니다.

가능한 경우 이러한 정책 설정은 Infrastructure Servers OU에 적용되는 점진적인 그룹 정책 개체에 수집됩니다. 이 장에 나오는 일부 설정은 그룹 정책을 통해 적용할 수 없습니다. 이러한 설정을 수동으로 구성하는 방법에 대한 자세한 내용이 제공됩니다.

다음 표에서는 이 가이드에 정의된 세 가지 환경에 대한 인프라 서버 보안 템플릿의 이름이 표시됩니다. 이러한 템플릿은 점진적인 인프라 서버 템플릿에 대한 설정을 제공합니다. 이 설정은 해당 환경의 Infrastructure Servers OU에 연결된 새 GPO를 만드는 데 사용됩니다. 2장 "Windows Server 2003 보안 강화 메커니즘"에는 OU 및 그룹 정책을 만든 후 해당 보안 템플릿을 각 GPO로 가져오는 데 도움을 주기 위한 단계별 지침이 제공됩니다.

표 6.1 인프라 서버 보안 템플릿 및 정책

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

LC-Infrastructure Server.inf

EC-Infrastructure Server.inf

SSLF-Infrastructure Server.inf


MSBP의 정책 설정에 대한 자세한 내용은 4장 “구성원 서버 기준 정책”을 참조하십시오. 모든 기본 정책 설정에 대한 자세한 내용은 관련 가이드인 위협 및 대책 - Windows Server 2003 및 Windows XP용 보안 설정을 참조하십시오. 이 가이드는 http://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch00.mspx 사이트에서 다운로드할 수 있습니다.

감사 정책 설정

본 가이드에 정의된 세 가지 환경에서의 인프라 서버에 대한 감사 정책 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 인프라 서버에서 관련 보안 감사 정보에 대한 로깅을 활성화합니다.

사용자 권한 할당 설정

본 가이드에 정의된 세 가지 환경에서의 인프라 서버에 대한 사용자 권한 할당 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 모든 인프라 서버에서 일정하게 사용자 권한 할당을 구성합니다.

보안 옵션

본 가이드에 정의된 세 가지 환경에서의 인프라 서버에 대한 보안 옵션 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 모든 인프라 서버에서 일정하게 관련 보안 옵션 설정을 구성합니다.

이벤트 로그 설정

본 가이드에 정의된 세 가지 환경에서의 인프라 서버에 대한 이벤트 로그 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오.

추가 보안 설정

MSBP가 적용하는 보안 설정은 인프라 서버의 보안을 크게 향상시킵니다. 이 섹션에서는 고려해야 하는 몇 가지 추가 설정에 대해 설명합니다. 이 섹션의 설정은 그룹 정책을 통해 구성할 수 없으며 모든 인프라 서버에서 수동으로 구성해야 합니다.

DHCP 로깅 구성

기본적으로 DHCP 서비스는 이벤트 로그에 시작 및 종료 이벤트만 기록합니다. DHCP 서버에서 보다 자세한 로그를 활성화하려면 다음 단계를 완료하십시오.

  1. DHCP 관리 도구에서 DHCP 서버를 마우스 오른쪽 단추로 클릭합니다.

  2. 속성을 선택합니다.

  3. 속성 대화 상자의 일반 탭에서 DHCP 감사 로깅 사용을 클릭합니다.

이 단계가 완료되면 DHCP 서버는 다음 위치에 로그 파일을 만듭니다.

%systemroot%\system32\dhcp\

대부분의 로그에 저장되는 유일한 정보는 대개 IP 주소가 아닌 컴퓨터 이름이기 때문에 DHCP 클라이언트 정보는 로그 파일에서 찾기가 어렵습니다. DHCP 감사 로그는 내부 공격이나 부주의한 활동의 원인을 찾는 데 도움이 되는 추가 도구를 제공합니다.

그러나 호스트 이름과 MAC(Media Access Control) 주소 둘 모두 위조나 위장할 수 있기 때문에 이러한 로그의 정보는 절대 간단하지는 않습니다. 스푸핑은 작업을 수행한 사용자가 아닌 다른 사용자로부터 전송되는 것처럼 보이게 만드는 방법입니다. 그러나 이러한 정보가 제공하는 이점은 DHCP 서버에서 로깅을 활성화할 때 발생하는 비용을 무시해도 될 만큼 뛰어납니다. 특정 IP 주소가 네트워크에서 어떻게 사용되는지 알아야 할 경우에 IP 주소와 컴퓨터 이름만 알아도 아주 유용할 수 있습니다.

기본적으로 Server OperatorsAuthenticated Users 그룹은 DHCP 로그 파일에 대해 읽기 권한을 갖습니다. DHCP 서버가 기록하는 정보의 무결성을 잘 유지하려면 이러한 로그에 대한 액세스를 서버 관리자로 제한하는 것이 좋습니다. Server OperatorsAuthenticated Users 그룹을 %systemroot%\system32\dhcp\ 폴더의 ACL(액세스 제어 목록)에서 제거해야 합니다.

이론상으로 DHCP 감사 로그는 저장되어 있는 디스크를 채울 수 있습니다. 그러나 DHCP 감사 로깅 설정의 기본 구성을 사용하면 서버에 남아 있는 여유 디스크 공간이 20MB 미만일 경우 이 로깅이 중지됩니다. 대부분의 환경에서는 기본 구성이면 적당하지만 서버의 다른 응용 프로그램이 충분한 여유 디스크 공간을 사용할 수 있도록 이 구성을 수정할 수 있습니다. 이 구성을 수정하는 방법에 대한 자세한 내용은 Windows Server 2003 Tech Center의 DhcpLogMinSpaceOnDisk (영문) 페이지(www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
DepKit/f7802dce-3ff9-406a-b3e6-c0c6b3ed4941.mspx)를 참조하십시오.

DHCP 서비스 거부 공격으로부터 보호

DHCP 서버가 네트워크에 대한 클라이언트 액세스를 제공하는 중요한 리소스이기 때문에 DoS 공격의 주요 대상이 될 수 있습니다. DHCP 서버가 공격을 받고 서비스 DHCP 요청에 대해 서비스를 제공할 수 없는 경우 결국 DHCP 클라이언트가 임대를 얻지 못할 수도 있습니다. 이러한 클라이언트는 기존 IP 임대 및 네트워크 리소스에 액세스하는 기능을 잃게 됩니다.

DHCP 서버에서 사용 가능한 모든 주소를 요청하는 공격 도구 스크립트는 쉽게 작성할 수 있습니다. 이러한 스크립트는 이후에 DHCP 클라이언트가 보내는 합법적인 요청에 대해 사용 가능한 IP 주소의 풀을 소모하게 됩니다. 또한 악의적인 사용자가 자신이 관리하는 컴퓨터의 네트워크 어댑터에 있는 모든 DHCP IP 주소를 구성할 수도 있습니다. 따라서 DHCP 서버가 모든 주소에 대한 IP 주소 충돌을 검색하고 DHCP 임대 할당을 거부하게 됩니다.

또한 다른 모든 네트워크 서비스와 마찬가지로 합법적인 트래픽에 응답하는 DHCP 서버의 기능을 소모하는 CPU 소모 또는 DHCP 수신기의 요청 버퍼 채우기 등의 DoS 공격으로 인해 클라이언트는 임대와 갱신을 요청하지 못할 수 있습니다. 이러한 유형의 문제는 DHCP 서비스를 적절히 디자인하면 피할 수 있습니다.

DHCP 서버를 쌍으로 구성하고 가장 좋은 방법인 80/20 규칙(예: 한 DHCP 서버가 배포하는 주소를 80%로 하고 다른 DHCP 서버가 배포하는 주소는 20%가 되도록 서버 간에 DHCP 서버 범위를 분할)을 준수하면 이러한 종류의 공격이 주는 영향을 완화할 수 있습니다. 이러한 제안 구성은 서버 오류가 발생해도 클라이언트가 IP 주소 구성을 계속 수신할 수 있도록 보장합니다. 80/20 규칙 및 DHCP 프로토콜에 대한 자세한 내용은 Windows 2000 Server Resource Kit의 DHCP (영문) 페이지(www.microsoft.com/resources/documentation/Windows/2000/server/
reskit/en-us/cnet/cncb_dhc_klom.asp)를 참조하십시오.

참고: Windows 2000 Server Resource Kit에 설명된 80/20 규칙 또한 Windows Server 2003 SP1의 DHCP 서비스에 적용됩니다.

잘 알려진 계정의 보안 설정

Windows Server 2003 SP1에는 삭제할 수는 없지만 이름을 바꿀 수는 있는 다수의 기본 제공 사용자 계정이 있습니다. Windows Server 2003에서 가장 잘 알려진 두 가지 기본 제공 계정은 Guest 와 Administrator입니다.

Guest 계정은 구성원 서버와 도메인 컨트롤러에서 기본적으로 사용하지 않도록 설정됩니다. 이 구성은 변경하면 안 됩니다. 변형된 대부분의 악성 코드는 서버를 손상시키려는 초기 시도에서 기본 제공 Administrator 계정을 사용합니다. 따라서 공격자가 이러한 잘 알려진 계정을 사용하여 원격 서버를 손상시키지 못하도록 기본 제공 Administrator 계정의 이름을 바꾸고 해당 설명을 변경해야 합니다.

기본 제공 Administrator 계정의 SID(보안 식별자)를 지정하여 해당 계정의 실제 이름을 확인함으로써 서버 침입을 시도하는 공격 도구가 등장한 이후 지난 몇 년 동안 이 구성 변경 값은 감소했습니다. SID는 네트워크의 각 사용자, 그룹, 컴퓨터 계정 및 로그온 세션을 고유하게 식별하는 값입니다. 기본 제공 계정의 SID는 변경할 수 없습니다. 그러나 이 SID를 고유한 이름으로 바꾸면 작업 그룹에서 Administrator 계정에 대해 시도된 공격을 모니터링하기 쉬워집니다.

인프라 서버에서 잘 알려진 계정을 보호하려면

  • 모든 도메인 및 서버에 대해 Administrator 및 Guest 계정의 이름을 변경하고 암호를 길고 복잡한 값으로 변경합니다.

  • 각 서버에 서로 다른 이름과 암호를 사용합니다. 모든 도메인 및 서버에 사용된 계정 이름과 암호가 동일하면 하나의 구성원 서버에 액세스한 공격자가 계정 이름 및 암호가 같은 다른 모든 서버에도 액세스할 수 있게 됩니다.

  • 계정을 쉽게 식별할 수 없도록 계정 설명을 기본값이 아닌 다른 값으로 변경합니다.

  • 지정한 변경 내용을 안전한 위치에 기록해 둡니다.

    참고: 그룹 정책을 통해 기본 제공 Administrator 계정의 이름은 변경할 수 있습니다. 모든 조직에서는 이 계정의 고유한 이름을 선택해야 하므로 이 가이드에 제공된 보안 템플릿에는 이 정책 설정이 구현되지 않았습니다. 그러나 EC 환경에서 Administrator 계정의 이름을 바꾸도록 계정: Administrator 계정 이름 바꾸기 설정을 구성할 수 있습니다. 이 정책 설정은 GPO의 보안 옵션 설정에 포함됩니다.

서비스 계정 보안 설정

꼭 필요한 경우가 아니면 서비스가 도메인 계정의 보안 컨텍스트에서 실행되도록 구성하지 않습니다. 서버가 물리적으로 손상되면 LSA 기밀 정보를 덤프하여 도메인 계정 암호를 알아낼 수 있습니다. 서비스 계정에 대해 보안을 설정하는 방법에 대한 자세한 내용은 서비스 및 서비스 계정 보안 계획 가이드(www.microsoft.com/korea/technet/security/topics/serversecurity/serviceaccount/default.mspx)를 참조하십시오.

SCW를 사용하여 정책 만들기

필요한 보안 설정을 배포하려면 SCW(보안 구성 마법사 도구)와 이 가이드의 다운로드 가능 버전에 포함되어 있는 보안 템플릿을 사용하여 서버 정책을 만들어야 합니다.

자체의 정책을 만든 경우 "레지스트리 설정" 및 "감사 정책" 섹션을 건너뛰십시오. 이러한 정책 설정은 선택한 환경에 대한 보안 템플릿에서 제공합니다. 이 방법은 템플릿에서 제공한 정책 요소가 SCW에 의해 구성된 정책보다 우선적으로 적용되도록 하는 데 필요합니다.

이전 구성에서 가져온 레거시 설정이나 소프트웨어가 없도록 운영 체제를 새로 설치하여 구성 작업을 시작해야 합니다. 가능한 경우 호환성이 최대한 보장되도록 배포에 사용된 하드웨어와 비슷한 하드웨어에 운영 체제를 설치해야 합니다. 새 설치를 참조 시스템이라고 합니다.

서버 정책 생성 단계 중에 검색된 역할 목록에서 파일 서버 역할을 제거할 수 있습니다. 이 역할은 일반적으로 이 역할을 필요로 하지 않는 서버에 구성되며 보안 위험으로 간주될 수 있습니다. 파일 서버 역할을 필요로 하는 서버에 대해 이 역할을 활성화하려는 경우 다음 프로세스 뒷부분에서 또 다른 정책을 적용할 수 있습니다.

인프라 서버 정책을 만들려면

  1. 새 참조 컴퓨터에서 Windows Server 2003 SP1을 새로 설치합니다.

  2. 제어판, 프로그램 추가/제거, Windows 구성 요소 추가/제거를 통해 컴퓨터에 보안 구성 마법사 구성 요소를 설치합니다.

  3. 컴퓨터를 도메인에 가입시킵니다. 그러면 부모 OU의 모든 보안 설정이 적용됩니다.

  4. 이 역할을 공유하는 모든 서버에 반드시 필요한 응용 프로그램만 설치하고 구성합니다. 예제에는 역할별 서비스, 소프트웨어 및 관리 에이전트, 테이프 백업 에이전트 및 바이러스 백신이나 스파이웨어 백신 유틸리티가 포함되어 있습니다.

  5. SCW GUI를 시작하고 새 보안 정책 만들기를 선택한 후 참조 컴퓨터를 가리키도록 지정합니다.

  6. 검색된 서버 역할(예: DHCP 서버 및 WINS 서버 역할)이 작업 환경에 적절한지 확인합니다.

  7. 검색된 클라이언트 기능이 작업 환경에 적절한지 확인합니다.

  8. 검색된 관리 옵션이 작업 환경에 적절한지 확인합니다.

  9. 백업 에이전트나 바이러스 백신 소프트웨어와 같이 기준 정책에 필요한 추가 서비스가 검색되는지 확인합니다.

  10. 작업 환경에 있는 미지정 서비스의 처리 방법을 결정합니다. 보안 강화를 위해 이 정책 설정을 사용 안 함으로 구성할 수도 있습니다. 프로덕션 서버가 참조 컴퓨터와 중복되지 않는 추가 서비스를 실행할 경우 문제가 발생할 수 있으므로 먼저 구성을 철저히 테스트한 후에 프로덕션 네트워크에 배포해야 합니다.

  11. "네트워크 보안" 섹션에서 현재 영역 건너뛰기 확인란의 선택을 취소한 후 다음을 클릭합니다. 앞에서 식별된 특정 포트 및 응용 프로그램이 Windows 방화벽에 대한 예외로 구성됩니다.

  12. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  13. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  14. 적절한 보안 템플릿(예: EC-Infrastructure Server.inf)을 포함시킵니다.

  15. 적절한 이름(예: Infrastructure Server.xml)을 지정하여 정책을 저장합니다.

SCW를 사용하여 정책 테스트

정책을 만들어 저장한 후에는 반드시 테스트 환경에 배포해 보십시오. 이상적으로는 테스트 서버가 프로덕션 서버와 동일한 하드웨어 및 소프트웨어 구성을 갖는 것이 좋습니다. 이렇게 하면 특정 하드웨어 장치에 필요한 예상치 못한 서비스가 존재하는 경우와 같은 잠재적인 문제를 찾아 해결할 수 있습니다.

정책을 테스트하기 위해서는 두 가지 방법을 사용할 수 있습니다. 바로 네이티브 SCW 배포 기능을 사용하는 방법과 GPO를 통해 정책을 배포하는 것입니다.

정책 감사를 시작할 경우에는 네이티브 SCW 배포 기능을 사용해야 합니다. SCW를 사용하여 한 번에 한 서버에 정책을 밀어 넣거나 Scwcmd를 사용하여 서버 그룹에 정책을 밀어 넣을 수 있습니다. 네이티브 배포 방법을 사용하면 배포된 정책을 SCW 내에서 쉽게 롤백할 수 있습니다. 이 기능은 테스트 프로세스 중에 정책을 많이 변경해야 할 경우에 특히 유용합니다.

정책을 대상 서버에 적용했을 때 중요한 기능이 영향을 받지 않는지 확인하기 위해 정책을 테스트합니다. 구성 변경 내용을 적용한 후에는 컴퓨터의 핵심 기능을 확인해야 합니다. 예를 들어 서버가 CA(인증 기관)로 구성된 경우 클라이언트에서 인증서를 요청하고 얻을 수 있는지, 인증서 해지 목록을 다운로드할 수 있는지 등을 확인해야 합니다.

만든 정책 구성에 문제가 없으면 다음 절차에 표시된 대로 Scwcmd를 사용하여 정책을 GPO로 변환합니다.

SCW 정책을 테스트하는 방법에 대한 자세한 내용은 보안 구성 마법사에 대한 배포 가이드 (영문)(www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx) 및 보안 구성 마법사 설명서 (영문)(http://go.microsoft.com/fwlink/?linkid=43450)를 참조하십시오.

정책 변환 및 배포

정책을 철저히 테스트한 후에는 다음 단계를 완료하여 정책을 GPO로 변환한 후 배포합니다.

  1. 명령 프롬프트에서 다음 명령을 입력합니다.

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    그런 후 Enter 키를 누릅니다. 예를 들면 다음과 같습니다.

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml"
    /g:"Infrastructure Policy"
    

    참고: 여기서는 표시상의 문제 때문에 명령 프롬프트에 입력할 정보가 여러 줄로 표시됩니다. 실제로 이 정보는 모두 한 줄로 입력해야 합니다.

  2. 그룹 정책 관리 콘솔을 사용하여 새로 만든 GPO를 해당 OU에 연결합니다.

SCW 보안 정책 파일에 Windows 방화벽 설정이 포함되어 있을 경우 이 절차가 성공적으로 완료되려면 로컬 컴퓨터에서 Windows 방화벽이 활성 상태여야 합니다. Windows 방화벽이 활성 상태인지 확인하려면 제어판을 열고 Windows 방화벽을 두 번 클릭합니다.

이제 최종 테스트를 수행하여 GPO가 원하는 정책 설정을 적용하는지 확인합니다. 이 절차를 완료하려면 적절한 정책 설정이 구성되었으며 기능에 영향을 주지 않는지 확인합니다.

요약

이 장에서는 이 가이드에 정의된 세 가지 환경에서 Windows Server 2003 SP1이 실행되는 DHCP 및 WINS 서버에 사용할 수 있는 정책 설정에 대해 설명했습니다. 이러한 역할에 대한 대부분의 설정은 MSBP를 통해 적용됩니다. DHCP 및 WINS 서버에 대해 인프라 정책 개체를 만드는 기본 목적은 이러한 역할이 완전히 기능하고 안전하게 유지되는 데 필요한 서비스를 활성화하는 것입니다.

MSBP는 높은 수준의 보안을 제공하지만 이 장에서는 인프라 서버 역할에 대해 고려해야 할 다른 사항에 대해서도 설명했습니다. 이러한 고려 사항에는 로그 파일의 생성에 대한 내용이 포함됩니다.

추가 정보

다음 링크는 보안 및 Windows Server 2003 SP1이 실행되는 인프라 서버의 보안 강화와 관련된 항목에 대한 추가 정보를 제공합니다.



다운로드

Windows Server 2003 보안 가이드 받기 (영문)

업데이트 알림

업데이트 및 최신 릴리스 정보 수신 등록 (영문)

사용자 의견 보내기

의견 및 제안 보내기



이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft