내보내기(0) 인쇄
모두 확장

Windows Server 2008의 액세스 제어를 위한 새로운 기능

업데이트 날짜: 2011년 3월

적용 대상: Windows Server 2008

액세스 제어란 사용 권한, 사용자 권한 및 개체 감사를 사용하여 네트워크의 개체에 액세스할 수 있도록 사용자, 그룹 및 컴퓨터에 권한을 부여하는 프로세스를 말합니다.

액세스 제어 사용자 인터페이스

UAC(사용자 액세스 제어)를 지원하기 위해 액세스 제어 UI(사용자 인터페이스)에서는 새로운 기능이 도입되었습니다. 즉, 이제 사용자는 자신에게 보기 또는 변경 권한이 없는 개체에 대한 ACL(액세스 제어 목록)을 편집할 수 있도록 권한을 상승시킬 수 있게 되었습니다. UAC는 작업을 계속하기 위해 권한이 상승된 자격 증명 또는 사용자 동의를 요청합니다. 자격 증명 또는 사용자 동의가 성공적으로 제출되면 액세스 제어 UI에서 이전 버전의 Windows에서와 마찬가지로 작업이 수행됩니다.

액세스 제어 UI에 대한 추가 리소스

TrustedInstaller SID

Windows Server® 2008 및 Windows Vista® 운영 체제에서 대부분의 운영 체제 파일은 운영 체제 파일에 대한 모든 권한을 갖는 유일한 SID인 TrustedInstaller SID(보안 식별자)에서 소유합니다. TrustedInstaller SID의 목적은 관리자 또는 LocalSystem 계정으로 실행되는 프로세스가 운영 체제 파일을 자동으로 바꾸지 못하도록 방지하는 것입니다. 운영 체제 파일을 삭제하기 위해서는 해당 파일에 대한 소유권이 있어야 하며 파일을 삭제할 수 있도록 허용하는 ACE(액세스 제어 항목)를 파일에 추가해야 합니다. 이런 방식으로 LocalSystem으로 실행되며 시스템 무결성 레이블을 갖는 프로세스에 대한 보호 수준을 높이고, 무결성이 낮은 프로세스가 자체의 권한을 상승시켜서 소유권을 변경하지 못하도록 할 수 있습니다. 예를 들어 일부 서비스는 LocalSystem으로 실행되는 경우에도 중간 무결성으로 실행될 수 있습니다. 이러한 서비스는 시스템 파일을 바꿀 수 없기 때문에 운영 체제 파일을 바꿔서 서비스에 대한 제어 권한을 갖는 악용 사례를 방지할 수 있습니다.

제한된 SID 검사

제한된 SID는 Windows Server 2008 및 Windows Vista의 새로운 기능은 아니지만 토큰 기반의 액세스 검사는 보다 중요한 의미를 갖습니다. 제한된 SID는 제한된 토큰을 제공하는 모든 프로세스를 나타냅니다. 제한된 토큰은 하나 이상의 제한 SID를 가지며, 이 SID는 개별 액세스 검사에 사용됩니다. 제한 SID가 제공된 경우 Windows는 두 가지 액세스 검사를 수행합니다. 첫 번째 검사는 일반적인 액세스 검사이며, 두 번째 액세스 검사에서는 동일한 액세스 검사를 수행하지만 토큰에 있는 제한 SID에 대해서만 검사를 수행합니다. 두 가지 액세스 검사를 모두 통과해야 프로세스가 해당 개체에 액세스할 수 있습니다.

제한된 SID 검사에 대한 추가 리소스

파일 시스템 네임스페이스 수정

파일 시스템 네임스페이스는 Windows Server 2008 및 Windows Vista에서 크게 수정되었습니다. 사용자 데이터는 이제 C:\Users에 있고 C:\Documents and Settings\<사용자 이름>\ 네임스페이스에 있는 다른 파일 및 폴더도 이동되었습니다. 따라서 문서 파일과 데이터 파일을 쉽게 분리할 수 있습니다. 내 문서 폴더에 모든 파일을 저장하는 대신 개발자가 해당 사용자에게 제공되는 사용자 프로필 아래에 고유 폴더를 만들 수 있습니다. 모든 사용자의 응용 프로그램 데이터 파일은 이제 Documents and Settings\All Users\Application Data 대신 %systemroot%\ProgramData라는 숨겨진 폴더에 저장됩니다.

기본 권한 변경 내용

다음 표에는 Windows Server 2003과 Windows Server 2008 간의 기본 권한 차이점이 정리되어 있습니다.

 

액세스 제어 항목 Windows Server 2003의 사용 권한 Windows Server 2008의 사용 권한

BA

(기본 제공\관리자)

컨테이너 및 개체에 BA 상속

루트에 대한 모든 권한 부여

GA(일반 전체) 부여

BA 상속 안됨

루트에 대한 모든 권한 부여

GA 부여

컨테이너 및 개체에 IO(Inherit-Only) 상속 및 GA 부여

SY

(로컬 시스템)

컨테이너 및 개체에 SY 상속

루트에 대한 모든 권한 부여

GA 부여

SY 상속 안됨

루트에 대한 모든 권한 부여

GA 부여

컨테이너 및 개체에 IO 상속 및 GA 부여

CO

(만든 이/소유자)

사용자로부터 상속된 권한 자리 표시자

제거됨

즉, 사용자가 파일 시스템의 루트에 개체를 만들 경우 작성자에게 부여되는 특별한 권한이 없습니다.

WD

(모두)

기능적으로 BU와 동일

제거됨

AU

(인증된 사용자)

게스트 계정이 루트에 파일을 만들 수 있음

게스트 계정이 기본적으로 사용되지 않도록 설정됨

즉, 게스트 계정은 루트에 파일을 만들 수 없습니다. 이를 보완하기 위해 파일 만들기 및 폴더 만들기 권한이 AU에 부여됩니다.

BU

(기본 제공\사용자)

게스트 계정이 루트에 파일을 만들 수 있음

게스트 계정이 파일을 읽고 실행하도록 읽기 및 실행 ACE가 BU에 부여된 상태로 유지됩니다.

게스트를 포함하여 사용자가 루트에 만든 하위 폴더에 부여된 권한은 (A;OICIIO;SDGXGWGR;;;AU) ACL을 통해서만 제어됩니다. Windows Server 2008 및 Windows Vista에서는 하위 폴더의 작성자에게 모든 권한을 부여하는 대신 이 ACL에서 인증된 사용자에게 수정 권한을 부여합니다.

이 새로운 ACL로 인해 개체의 작성자는 더 이상 특별한 권한을 갖지 않으며, 인증된 사용자 그룹이 관리자가 만든 하위 폴더에 대해서도 수정 권한을 가질 수 있습니다.

Windows Server 2008 및 Windows Vista에서는 게스트 사용자를 포함한 모든 사용자가 루트에 있는 파일에 대한 읽기 및 실행 권한을 가질 수 있습니다. 인증된 사용자만 새 파일 및 폴더를 만들 수 있고 사용자가 이러한 생성 작업을 수행하면 해당 파일 및 폴더에 대한 수정 권한을 갖습니다.

토큰 변경 내용

Windows® XP 또는 Windows Server 2003에서 Administrators 그룹의 구성원인 사용자가 컴퓨터에 로그온하면 해당 사용자의 토큰에 Administrators 그룹 SID가 포함되고 사용자는 Administrators 그룹과 동일한 권한을 갖습니다. Windows Server 2008 및 Windows Vista에서 UAC가 설정된 경우 Administrators SID는 토큰에 계속 제공되지만 거부로만 설정됩니다. 액세스 제어를 수행할 때 토큰에 있는 이러한 항목은 액세스를 거부하는 데에만 사용됩니다. 즉, ACE 거부와 동일합니다. 해당 SID에 대한 모든 ACE 허용은 무시됩니다. 즉, 컴퓨터에 관리자 권한으로 로그온하더라도 실질적으로 항상 관리자인 것은 아닙니다.

UAC가 해제된 경우 Administrators 그룹의 구성원인 사용자는 Administrators 그룹 SID를 포함하는 토큰을 갖습니다.

note참고
기본 제공 관리자 계정은 Windows Server 2008에서 기본적으로 사용됩니다. UAC에서 사용되는 관리자 승인 모드는 이 계정에 대해 해제됩니다.

무결성 수준

Windows에서는 이제 무결성 수준을 사용한 프로세스 및 개체의 레이블링이 지원됩니다. 이러한 무결성 수준은 일부 특수한 플래그를 사용하여 SACL(시스템 액세스 제어 목록)에서 ACE로 표현됩니다. 예를 들어 플래그 NW는 무결성 수준이 낮은 프로세스가 무결성 수준이 높은 개체에 대한 쓰기 작업을 수행하지 못하도록 차단(SDDL_NO_WRITE_UP)하기 위해 사용됩니다.

Icacls 명령줄 도구

Icacls는 Cacls를 ACL 명령줄 도구로 바꿔 줍니다. Icacls는 보안 개체에 대한 다음과 같은 기능을 제공합니다.

  • ACL 저장 및 복원

  • 한 사용자의 권한을 다른 사용자의 권한으로 바꾸기

  • 개체 소유권 변경

  • 특정 사용자의 파일 찾기

  • ACL 다시 설정 및 변경

  • 무결성 수준 설정

Icacls 명령줄 도구에 대한 추가 리소스

OwnerRights SID

이전 버전의 Windows 운영 체제에서 보안 개체(보안 설명자에서 소유자 SID 필드로 표시)의 소유자는 항상 암시적으로 부여된 READ_CONTROL 및 WRITE_DAC 권한을 갖습니다. WRITE_DAC는 액세스 제어 정책을 변경하는 데 사용할 수 있는 강력한 권한입니다. Windows Server 2008 및 Windows Vista에서는 OwnerRights라 하는 새로운 SID를 ACE에서 사용하여 보안 개체에 대한 이러한 권한을 제어할 수 있습니다.

OwnerRights SID에 대한 추가 리소스

참고 항목

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft