내보내기(0) 인쇄
모두 확장

Windows Server 2003 보안 가이드

12장: 요새 호스트 역할

업데이트 날짜: 2005년 12월 27일
이 페이지에서

개요
감사 정책 설정
사용자 권한 할당
보안 옵션
이벤트 로그 설정
추가 보안 설정
SCW를 사용하여 정책 만들기
요약

개요

이 장에서는 작업 환경에서 Microsoft WindowsServer2003SP1(서비스 팩 1)이 실행되는 요새 호스트의 보안을 강화하는 방법을 중점적으로 설명합니다. 요새 호스트는 조직의 주변 네트워크(DMZ: 비무장지대 또는 스크린된 서브넷이라고도 함)에서 공용 측면에 위치하는 안전하지만 공개적으로 액세스할 수 있는 컴퓨터를 말합니다. 요새 호스트는 방화벽이나 필터링 라우터의 보호를 받지 않으므로 공격에 완전히 노출됩니다. 공격 가능성을 최소화하려면 요새 호스트를 신중히 디자인하고 구성해야 합니다.

요새 호스트는 일반적으로 웹 서버, DNS 서버, FTP(File Transfer Protocol) 서버, SMTP(Simple Mail Transport Protocol) 서버 및 NNTP(Network News Transfer Protocol) 서버로 사용됩니다. 이론적으로 말하면 서버에서 제공하는 기능이 많을수록 안전 취약점이 간과될 가능성이 높기 때문에 요새 호스트는 이러한 기능 중 하나만을 수행하도록 되어 있습니다. 단일 요새 호스트에서는 여러 서비스를 보호하는 것보다 단일 서비스를 보호하는 것이 더 쉽습니다. 여러 요새 호스트를 보유할 수 있는 조직에서는 이러한 유형의 네트워크 아키텍처에서 큰 이점을 얻을 수 있습니다.

요새 호스트는 일반 호스트와는 매우 다른 방식으로 구성됩니다. 모든 불필요한 서비스, 프로토콜, 프로그램 및 네트워크 인터페이스를 해제하거나 제거한 다음 각 요새 호스트에서 특정 역할을 수행하도록 구성합니다. 이 방법을 사용하여 요새 호스트의 보안을 강화할 경우 가능한 공격 유형을 제한할 수 있습니다.

이 장의 다음 섹션에서는 작업 환경의 요새 호스트 보안 유지에 도움이 되는 다양한 보안 설정에 대해 설명합니다. 이 장에 포함된 작업 절차는 SMTP 요새 호스트를 만드는 데 필요한 정보를 제공합니다. 다른 기능을 추가하기 위해서는 이 가이드에 포함되어 있는 구성 파일을 수정해야 합니다.

요새 호스트 로컬 정책

이 가이드 앞부분에 설명된 서버 역할은 그룹 정책을 사용하여 서버를 구성했습니다. 요새 호스트는 ActiveDirectory 디렉터리 서비스 도메인에 속하지 않는 독립 실행형 호스트로 구성되므로 그룹 정책이 적용될 수 없습니다. 또한 요새 호스트는 다른 장치에 의해 보호받지 못하고 노출되어 있으므로 이 가이드에 정의된 세 가지 환경의 요새 호스트 서버에 대해서는 한 가지 수준의 지침만 규정되어 있습니다. 이 장에 설명된 보안 설정은 4장 "구성원 서버 기준 정책"에 정의된 SSLF 환경의 MSBP(구성원 서버 기준 정책)를 기반으로 합니다. 보안 설정은 각 요새 호스트의 BHLP(요새 호스트 로컬 정책)에 적용해야 할 보안 템플릿에 포함됩니다.

표 12.1 요새 호스트 서버 보안 템플릿

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

SSLF-Bastion Host.inf

SSLF-Bastion Host.inf

SSLF-Bastion Host.inf


감사 정책 설정

요새 호스트에 대한 BHLP 감사 정책 설정은 SSLF-Bastion Host.inf 파일에 포함되어 있습니다. 이러한 설정은 SSLF-Member Server Baseline.inf 파일에 지정된 설정과 같습니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. BHLP 설정은 모든 관련 보안 감사 정보가 모든 요새 호스트 서버에 기록될 수 있도록 합니다.

사용자 권한 할당

SSLF-Bastion Host.inf 파일에는 요새 호스트에 대한 BHLP 사용자 권한 할당 설정이 포함되어 있습니다. 이러한 정책 설정은 4장 "구성원 서버 기준 정책"의 SSLF-Member Server Baseline.inf 파일에 지정된 설정을 기준으로 합니다. 다음 표에서는 BHLP와 MSBP 간의 차이점을 요약해서 보여 줍니다. 자세한 정보는 표 다음에 나와 있습니다.

표 12.2 사용자 권한 할당 권장 설정

사용자 권한 할당

설정

네트워크에서 이 컴퓨터 액세스 거부

ANONOYMOUS LOGON, 기본 제공 Administrator, SUPPORT_388945a0, Guest, 모든 비운영 체제 서비스 계정

네트워크에서 이 컴퓨터 액세스 거부

참고: ANONOYMOUS LOGON, 기본 제공 Administrator, SUPPORT_388945a0, Guest 및 모든 비운영 체제 서비스 계정은 보안 템플릿에 포함되지 않습니다. 이러한 계정 및 그룹은 고유한 SID(보안 식별자)를 갖습니다. 따라서 BHLP에 수동으로 추가해야 합니다.

이 정책 설정은 네트워크를 통해 컴퓨터에 액세스할 수 없는 사용자를 결정합니다. 이 정책 설정은 SMB(서버 메시지 블록) 기반 프로토콜, NetBIOS, CIFS(Common Internet File System), HTTP 및 COM+(Component Object Model Plus)를 비롯한 여러 네트워크 프로토콜을 거부합니다. 또한 사용자 계정에 이 정책 설정과 네트워크에서 이 컴퓨터 액세스 설정이 모두 적용된 경우에는 이 정책 설정이 우선합니다. 다른 그룹에 대해 이 사용자 권한을 구성하면 사용자들이 현재 환경에서 위임 관리 작업을 수행할 수 있는 기능이 제한될 수 있습니다.

4장 "구성원 서버 기준 정책"에 설명된 것처럼 최대한 높은 보안을 제공하기 위해 이 사용자 권한에 할당된 사용자 및 그룹 목록에 Guests 그룹을 포함시키는 것이 좋습니다. 그러나 IIS에 익명으로 액세스하는 데 사용되는 IUSR 계정은 기본적으로 Guests 그룹의 구성원입니다.

이 가이드에 정의된 SSLF 환경의 요새 호스트에서는 네트워크에서 이 컴퓨터 액세스 거부 설정이 ANONOYMOUS LOGON, 기본 제공 Administrator, SUPPORT_388945a0, Guest 및 모든 비운영 체제 서비스 계정을 포함하도록 구성됩니다.

보안 옵션

요새 호스트에 대한 BHLP 보안 옵션 설정은 4장 "구성원 서버 기준 정책"의 SSLF-Member Server Baseline.inf 파일에 지정된 설정과 같습니다. 이 BHLP 설정은 모든 요새 호스트 서버에서 모든 관련 보안 옵션을 일관되게 구성할 수 있도록 합니다.

이벤트 로그 설정

요새 호스트에 대한 BHLP 보안 옵션 설정은 4장 "구성원 서버 기준 정책"의 SSLF-Member Server Baseline.inf 파일에 지정된 설정과 같습니다. 이 BHLP 설정은 모든 요새 호스트 서버에서 모든 이벤트 로그 설정을 일관되게 구성할 수 있도록 합니다.

추가 보안 설정

BHLP가 적용하는 보안 설정은 요새 호스트 서버의 보안을 크게 향상시킵니다. 그러나 몇 가지 추가 설정을 고려해야 합니다. 이 단계는 로컬 정책을 통해서는 수행될 수 없으며 모든 요새 호스트 서버에서 수동으로 완료해야 합니다.

사용자 권한 할당에 수동으로 고유 보안 그룹 추가

이 가이드와 함께 제공되는 보안 템플릿에는 MSBP를 통해 적용된 대부분의 사용자 권한 할당에 대해 적절한 보안 그룹이 지정되어 있습니다. 그러나 일부 계정 및 보안 그룹의 경우에는 해당 SID(보안 식별자)가 개별 WindowsServer2003 도메인에서 고유하므로 템플릿에 포함할 수 없습니다. 다음 표의 사용자 권한 할당 설정은 수동으로 구성해야 합니다.

경고: 다음 표는 기본 제공 Administrator 계정 값을 포함합니다. 이 계정을 기본 제공 Administrators 보안 그룹과 혼동하면 안 됩니다. Administrators 보안 그룹을 지정된 "액세스 거부" 사용자 권한에 추가할 경우 실수를 정정하려면 로컬로 로그온해야 합니다.

또한 4장 "구성원 서버 기준 정책"에서 권장하는 대로 기본 제공 Administrator 계정의 이름이 바뀌었을 수 있습니다. 따라서 사용자 권한에 Administrator 계정을 추가할 경우 이름이 바뀐 계정을 지정해야 합니다.

표 12.3 수동으로 추가되는 사용자 권한 할당

설정

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

네트워크에서 이 컴퓨터 액세스 거부

기본 제공 Administrator, SUPPORT_388945a0,

Guest, 모든 비운영 체제 서비스 계정

기본 제공 Administrator, SUPPORT_388945a0,

Guest, 모든 비운영 체제 서비스 계정

기본 제공 Administrator, SUPPORT_388945a0,

Guest, 모든 비운영 체제 서비스 계정


중요: “모든 비운영 체제 서비스 계정”에는 엔터프라이즈 전체에서 특정 응용 프로그램용으로 사용되는 서비스 계정이 포함되지만 LOCAL SYSTEM, LOCAL SERVICE 또는 NETWORK SERVICE 계정(운영 체제에서 사용하는 기본 제공 계정)은 포함되지 않습니다.

잘 알려진 계정의 보안 설정

Windows Server 2003 SP1에는 삭제할 수는 없지만 이름을 바꿀 수는 있는 다수의 기본 제공 사용자 계정이 있습니다. Windows Server 2003에서 가장 잘 알려진 두 가지 기본 제공 계정은 Guest 와 Administrator입니다.

Guest 계정은 구성원 서버와 도메인 컨트롤러에서 기본적으로 사용하지 않도록 설정됩니다. 이 구성은 변경하면 안 됩니다. 변형된 대부분의 악성 코드는 서버를 손상시키려는 초기 시도에서 기본 제공 Administrator 계정을 사용합니다. 따라서 공격자가 이러한 잘 알려진 계정을 사용하여 원격 서버를 손상시키지 못하도록 기본 제공 Administrator 계정의 이름을 바꾸고 해당 설명을 변경해야 합니다.

기본 제공 Administrator 계정의 SID(보안 식별자)를 지정하여 해당 계정의 실제 이름을 확인함으로써 서버 침입을 시도하는 공격 도구가 등장한 이후 지난 몇 년 동안 이 구성 변경 값은 감소했습니다. SID는 네트워크의 각 사용자, 그룹, 컴퓨터 계정 및 로그온 세션을 고유하게 식별하는 값입니다. 기본 제공 계정의 SID는 변경할 수 없습니다. 그러나 이 SID를 고유한 이름으로 바꾸면 작업 그룹에서 Administrator 계정에 대해 시도된 공격을 모니터링하기 쉬워집니다.

요새 호스트 서버의 잘 알려진 계정을 보호하려면

  • Administrator와 Guest 계정의 이름을 변경한 다음 모든 서버에서 암호를 길고 복잡한 것으로 변경합니다.

  • 각 서버에 서로 다른 이름과 암호를 사용합니다. 모든 서버에 사용된 계정 이름과 암호가 동일하면 하나의 서버에 액세스한 공격자가 다른 모든 서버에도 액세스할 수 있게 됩니다.

  • 계정을 쉽게 식별할 수 없도록 계정 설명을 기본값이 아닌 다른 값으로 변경합니다.

  • 지정한 변경 내용을 안전한 위치에 기록해 둡니다.

오류 보고

표 12.4 오류 보고 권장 설정

설정

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

Windows 오류 보고 사용 안 함

사용

사용

사용


이 서비스는 Microsoft에서 오류를 추적하여 해결하는 데 도움을 줍니다. 이 서비스에서 운영 체제 오류, Windows 구성 요소 오류 또는 프로그램 오류에 대한 보고서를 생성하도록 구성할 수 있습니다. 이 서비스는 Windows XP Professional 및 Windows Server 2003에서만 사용할 수 있습니다.

오류 보고 서비스는 인터넷 또는 내부 파일 공유를 통해 Microsoft에 이러한 오류를 보고할 수 있습니다. 오류 보고에는 중요하거나 기밀인 회사 데이터가 포함될 수 있지만 오류 보고와 관련된 Microsoft 개인 정보 보호 정책은 Microsoft에서 이러한 데이터를 부적절하게 사용하지 않을 것임을 보장합니다. 데이터는 암호화되지 않은 텍스트로 HTTP(Hypertext Transfer Protocol)를 통해 전송되므로 인터넷 상에서 제3자가 가로채어 볼 수 있습니다.

Windows 오류 보고 사용 안 함 설정은 오류 보고 서비스가 데이터를 전송할지 여부를 제어할 수 있습니다.

Windows Server 2003에서는 그룹 정책 개체 편집기 내의 다음 위치에서 이 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\시스템\인터넷 통신 관리\인터넷 통신 설정

이 가이드에 정의된 세 가지 환경의 BHLP에서는 Windows 오류 보고 사용 안 함 설정을 사용으로 구성하십시오.

SCW를 사용하여 정책 만들기

필요한 보안 설정을 배포하려면 SCW(보안 구성 마법사 도구)와 이 가이드의 다운로드 가능 버전에 포함되어 있는 보안 템플릿을 사용하여 서버 정책을 만들어야 합니다.

자체의 정책을 만든 경우 "레지스트리 설정" 및 "감사 정책" 섹션을 건너뛰십시오. 이러한 설정은 선택한 환경에 대한 보안 템플릿에서 제공합니다. 이 방법은 템플릿에서 제공한 정책 요소가 SCW에 의해 구성된 정책보다 우선적으로 적용되도록 하는 데 필요합니다.

이전 구성에서 가져온 레거시 설정이나 소프트웨어가 없도록 운영 체제를 새로 설치하여 구성 작업을 시작해야 합니다. 가능한 경우 호환성이 최대한 보장되도록 배포에 사용된 하드웨어와 비슷한 하드웨어를 사용해야 합니다. 새 설치를 참조 시스템이라고 합니다.

서버 정책 생성 단계 중에 검색된 역할 목록에서 파일 서버 역할을 제거할 수 있습니다. 이 역할은 일반적으로 이 역할을 필요로 하지 않는 서버에 구성되며 보안 위험으로 간주될 수 있습니다. 파일 서버 역할을 필요로 하는 서버에 대해 이 역할을 활성화하려는 경우 다음 프로세스 뒷부분에서 또 다른 정책을 적용할 수 있습니다.

요새 호스트 정책을 만들려면

  1. 새 참조 컴퓨터에서 Windows Server 2003 SP1을 새로 설치합니다.

  2. 제어판, 프로그램 추가/제거, Windows 구성 요소 추가/제거를 통해 컴퓨터에 보안 구성 마법사 구성 요소를 설치합니다.

  3. 모든 요새 호스트에 배치할 필수 응용 프로그램만 설치하여 구성합니다. 이러한 프로그램으로 바이러스 백신 또는 스파이웨어 백신 유틸리티를 들 수 있습니다.

  4. SCW GUI를 시작하고 새 보안 정책 만들기를 선택한 후 참조 컴퓨터를 가리키도록 지정합니다.

  5. 검색된 서버 역할(예: 웹 서버)이 요새 호스트에 적절한지 확인합니다. 다른 서버 역할을 모두 제거합니다.

  6. 검색된 클라이언트 기능이 작업 환경에 적절한지 확인합니다. 불필요한 클라이언트 기능을 모두 제거합니다. 예를 들어 서버의 공격 노출 영역을 줄이기 위해 Microsoft 네트워킹 클라이언트DHCP 클라이언트 기능을 제거해야 합니다.

  7. 보호 능력을 최대화하려면 Windows 방화벽을 제외한 모든 관리 옵션을 제거합니다. 추가 옵션을 포함시키면 요새 호스트의 관리 효율이 높아지지만 공격 노출 영역이 늘어납니다. 따라서 요새 호스트의 적절한 작동에 꼭 필요하지 않은 옵션은 제거하여 잠재적인 보안 위험을 줄이도록 합니다.

  8. 백업 에이전트나 바이러스 백신 소프트웨어와 같이 기준 정책에 필요한 추가 서비스가 검색되는지 확인합니다.

  9. 작업 환경에 있는 미지정 서비스의 처리 방법을 결정합니다. 보안 강화를 위해 이 정책 설정을 사용 안 함으로 구성할 수도 있습니다. 프로덕션 서버가 참조 컴퓨터와 중복되지 않는 추가 서비스를 실행할 경우 문제가 발생할 수 있으므로 먼저 구성을 철저히 테스트한 후에 프로덕션 네트워크에 배포해야 합니다.

  10. "네트워크 보안" 섹션에서 현재 영역 건너뛰기 확인란의 선택을 취소한 후 다음을 클릭합니다. 앞에서 식별된 특정 포트 및 응용 프로그램이 Windows 방화벽에 대한 예외로 구성됩니다. 요새 호스트 기능에 필요한 포트를 제외한 모든 포트의 선택을 취소합니다.

  11. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  12. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  13. 적절한 보안 템플릿(예: SSLF-Bastion Host.inf)을 포함시킵니다.

  14. 적절한 이름(예: Bastion Host.xml)을 지정하여 정책을 저장합니다.

SCW를 사용하여 정책 테스트

정책을 만들어 저장한 후에는 반드시 테스트 환경에 배포해 보십시오. 이상적으로는 테스트 서버가 프로덕션 서버와 동일한 하드웨어 및 소프트웨어 구성을 갖는 것이 좋습니다. 이렇게 하면 특정 하드웨어 장치에 필요한 예상치 못한 서비스가 존재하는 경우와 같은 잠재적인 문제를 찾아 해결할 수 있습니다.

요새 호스트 역할의 컴퓨터는 도메인에 연결되지 않으므로 SCW를 사용하여 설정을 적용해야 합니다. 도메인이 없으면 그룹 정책을 사용할 수 없습니다.

정책을 대상 서버에 적용했을 때 중요한 기능이 영향을 받지 않는지 확인하기 위해 정책을 테스트합니다. 구성 변경 내용을 적용한 후에는 컴퓨터의 핵심 기능을 확인해야 합니다. 예를 들어 서버가 CA(인증 기관)로 구성된 경우 클라이언트에서 인증서를 요청하고 얻을 수 있는지, 인증서 해지 목록을 다운로드할 수 있는지 등을 확인해야 합니다.

만든 정책 구성에 문제가 없으면 다음 절차에 표시된 대로 Scwcmd를 사용하여 정책을 GPO로 변환합니다.

SCW 정책을 테스트하는 방법에 대한 자세한 내용은 보안 구성 마법사에 대한 배포 가이드 (영문)(www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx)및 보안 구성 마법사 설명서 (영문) (http://go.microsoft.com/fwlink/?linkid=43450)를 참조하십시오.

정책 구현

정책을 철저히 테스트한 후에는 다음 단계에 따라 정책을 구현합니다.

  1. SCW GUI를 시작합니다.

  2. 기존 보안 정책 적용을 선택합니다.

  3. 이전에 만든 XML 파일을 선택합니다. 예를 들어 Bastion Host.xml 등을 선택합니다.

  4. SCW 마법사를 완료하여 설정을 적용합니다.

SCW 보안 정책 파일에 Windows 방화벽 설정이 포함되어 있을 경우 이 절차가 성공적으로 완료되려면 로컬 컴퓨터에서 Windows 방화벽이 활성 상태여야 합니다. Windows 방화벽이 활성 상태인지 확인하려면 제어판을 열고 Windows 방화벽을 두 번 클릭합니다.

이제 최종 테스트를 수행하여 SCW가 원하는 설정을 적용하는지 확인합니다. 이 절차를 완료하려면 적절한 설정이 구성되었으며 기능에 영향을 주지 않는지 확인합니다.

요약

WindowsServer2003 SP1이 실행되는 요새 호스트 서버는 방화벽과 같은 다른 장치의 보호를 받지 못하므로 외부 공격에 노출되어 있습니다. 따라서 가용성을 극대화하고 손상 가능성을 최소화하기 위해 보안을 최대한 유지해야 합니다. 가장 안전한 요새 호스트 서버는 신뢰도가 높은 계정으로만 액세스를 제한하며 완전한 작동에 필요한 서비스만 활성화합니다.

이 장에서는 요새 호스트 서버의 보안을 강화하고 보다 안전하게 만드는 데 사용할 수 있는 설정 및 절차에 대해 설명했습니다. 대부분의 설정은 로컬 그룹 정책을 통해 적용할 수 있습니다. 수동 설정을 구성하고 적용하는 방법도 설명되어 있습니다.

추가 정보

다음 링크는 보안 및 Windows Server 2003 SP1이 실행되는 요새 호스트 서버의 보안 강화와 관련된 항목에 대한 추가 정보를 제공합니다.


다운로드

Windows Server 2003 보안 가이드 받기 (영문)

업데이트 알림

업데이트 및 최신 릴리스 정보 수신 등록 (영문)

사용자 의견 보내기

의견 및 제안 보내기



이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft