<보안>
보안의 정의
: 갯수를 줄이고 속도를 늦추고 규모를 작게 만드는 것.
(= 절대 방어, 절대 보호는 존재 x)
사용자 계정 암호 정책
- 암호의 복잡도 (대소문자 + 특수문자 + 숫자)=>Dictionaly Attack / 부트볼스 어택
- 최근 암호 기억 (암호를 바꿀때 이전 암호를 기억해 둠으로서 사용자가 똑같은 아호를 설정하지 않도록 방지)
- 최대,최소 암호 사용 기간 (Default : 40일 / 휴면 계정이 털린 상태에서 원래 주인이 암호를 바꾸면 해커가 다시 또 바꿀수 있기 때문)
- 최소 암호 길이
<계정>
사용자 계정이란?
- 사용자 계정은 인증을 받거나 권한(로컬이나 네트워크의 자원에 접근하는 것)을 가능하게 해주는 객체이다.
- 사용자 계정을 만들면 Security ID (SID: 계정의 주민등록증 같은 식별을 위한 고유번호)도 생성된다.
사용자:
권한을 받기위해 계정을 만듬
관리자:
1. 사용자 식별을 위해
2. 사용자에게 권한을 부여하기 위해
3. 서비스(업데이트 등)를 제공하기 위해
<도메인 사용자 계정(user) 표현>
* 로그온 방법과 매우 흡사
|
Object Name |
Example |
Uniqueness Requirment |
|
User Logon Name |
user1 |
도메인 안에서 유일 |
|
User Logon Name (Pro-MS Window 2000) |
itbank/user1 |
도메인 안에서 유일 |
|
User Principal Name (UDN) |
user1@itbank.com |
Forest 안에서 유일 |
|
LDAP Distinguished Name (DN) |
cn=user1, ou=평일반, dc=itbank, dc=com |
상대 고유이름(cn) + 컨테이너 이름(ou) + 도메인 이름(dc)으로 구성. |
|
Relative Distinguished Name (RDN) |
cn=user1 |
조직구조(ou) 안에서 유일 |
Security ID (SID)
: 사용자, 컴퓨터 또는 보안 그룹이 생성될 때 부여되는 유일한 식별 값
윈도우 내부 프로세스는 계정의 사용자 이름 또는 그룹 이름보다 SID를 더 선호
* UID/GID는 계정확인, 권한 부여 또는 취소가 가능하지만
SID는 권한이 있는지 조차 확인 x
* 같은 내용의 파일을 백업 시킬때 오류: 복사본에 원본의 SID가 똑같이 들어있기 때문에 도메인은 생성될지라도 자식/맴버 도메인에 연결이 안됨 ~> 원래꺼를 삭제시키고 백업해야함
Relative ID (RID)
: SID의 한부분이며, 도메인에서 계정 또는 그룹을 구분하는 값
500번 = 관리자 계정
1000번 이후로 랜덤 = 일반 사용자 계정 (1000부터 생성될때마다 +1)
501번 = 게스트 계정
cmd창
C:\Users\Administrator>whoami
itbank\administrator
C:\Users\Administrator>whoami/user
==================== ==============================
itbank\administrator S-1-5-21-3541317083-3778656933-1669241460-500 [adds]
==================== ==============================
itbank\administrator S-1-5-21-3541317083-3778656933-1669241460-500 [client100]
=================== ===============================
busan\administrator S-1-5-21-3514129367-3995928856-652585547-500 [client200]
=================== ================================
itbank\user1 S-1-5-21-3541317083-3778656933-1669241460-1602 [client100/user1]
============ ========================================
itbank\user1 S-1-5-21-3541317083-3778656933-1669241460-1603 [그 다음 새로운 user1]
* S-1-5-21 : 윈도우 운영체제
* 뒤에 숫자들: 도메인 아이디 [SID]
###계정 만들기###
<GUI 에서>
-계정옵션
- “ 사용자가 암호를 변경할수 없음 ” : 공용 계정일때! (관리자, 즉 담당자들 입장에서 프린트 같은 공용 서버에 적용)
- “ 암호 사용 기간제한 없음 ” : 암호 변경할수 없음과 꼭 동반 체크! (CLI 에서는 직접 설정해야함) => 변경할수 없는데 암호사용기간이 정해져 버리면 그 계정은 더이상 사용 불가능! (물론 관리자가 해지해 줄순 있음)
- “ 계정 사용안함 " : 휴면 계정을 만들때 (휴직) =>한꺼번에 많은 계정을 만들때 (미리 만들어서 휴면상태로 두었다가 배급할때 해지)
+ “ 로그온 대상 ” : 지정 PC로 선택가능
- 모든 컴퓨터
- 다음 컴퓨터 ( 신용할수 없는 외부 사람이 지정된 PC 외에는 접속을 시도하지 못하도록)
* 재로그인시 적용!
<CLI에서>
cd/
dsadd /? > dsa.txt => dsadd 의 내용을 저장
dsadd user /? >> dsa.txt => dsadd user 의 관한 명령어의 설명
dsadd user cn=user1, dc=itbank, cd=com -> 비활성화로 만들어짐 (패스워드가 설정되어 있지 않으므로)
dsadd user cn=user2, ou=홍길동, ou=평일반, dc=itbank, dc=com -pwd P@ssw0rd -mustchpwd yes -disable no
dsadd user cn=user3, ou=홍길동, ou=평일반, dc=itbank, dc=com -pwd * -mustchpwd yes -disable no -upn user3@itbank.com
(upn은 계정이름의 또다른 표기법 / GUI에서는 필수입력이지만 GUI에서는 옵션. GUL에서 입력안한다면 기본값으로 호스트 이름이 사용됨)
dsadd user cn=user4, cn=computers, dc=itbank, dc=com -pwd * -mustchpwd yes -disable no -upn user3@itbank.com
(computers, users 같은 애들은 ou가 아닌 컨테이너!!!)
dsadd user cn=신입사원, ou=홍길동, ou=평일반, dc=itbank, dc=com -pwd * -mustchpwd yes -disable no -upn shnip@itbank.com -samid newface
(samid는 그냥 sam 계정이름)
dsadd ou ou=test, ou=평일반, dc=itbank, dc=com
* SAM 이름을 지정하지 않으면 dsadd에서 사용자 DN 에 대한 CN(comman name)의 처음 문자 최대 20개를 사용하여 SAM 계정이름을 만든다. (SAM : Security Accoutn Name)
< 반복문을 사용하여 계정만들기 >
for /l %n in(1,1,30) do dsadd user cn=test%n, ou=test, ou=평일반, dc=itbank, dc=com -pwd * -mustchpwd yes - disable no -upn text%n@itbank.com
for /l %n in (1,1,10) do md 안녕하세요 %n
/l : 단계적으로 진행
%n : 매개 변수
in : 맴버 연산자 “~안에” 존재의 참,거짓
(1,1,10) : 1부터 시작해서 1씩 더하여 10까지
md : (=mkdir)
안녕하세요 1
안녕하세요 2
안녕하세요 3
안녕하세요 4
안녕하세요 5
…
< Text 파일로 실행햐여 계정만들기 >
1. text 파일의 내용을 아래와 같이 작성.
dsadd ou ou="경영 지원",dc=itbank,dc=com
dsadd ou ou=총무팀,ou="경영 지원",dc=itbank,dc=com
dsadd ou ou=인사팀,ou="경영 지원",dc=itbank,dc=com
dsadd ou ou=홍보팀,ou="경영 지원",dc=itbank,dc=com
for /l %%n in (1,1,30) do dsadd user cn=chong%%n,ou=총무팀,ou="경영 지원",dc=itbank,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn chong%%n@itbank.com
for /l %%n in (31,1,60) do dsadd user cn=insa%%n,ou=인사팀,ou="경영 지원",dc=itbank,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn insa%%n@itbank.com
for /l %%n in (61,1,90) do dsadd user cn=hongbo%%n,ou=홍보팀,ou="경영 지원",dc=itbank,dc=com -pwd
P@ssw0rd -mustchpwd yes -disabled no -upn hongbo%%n@itbank.com
*택스트 파일.bat로 실행시키는 것이기 때문에 %가 두개여야 한다.
2. 파일 형식을 ‘모든 파일’로 설정
3. text파일 이름을 auto.bat로 설정 (batch 파일 =하나이상의 명령어들을 순차적으로 처리하는 파일 / 일괄처리 파일)
4. cmd 창에 auto 라고 치면 실행이 됨
<수정하기>
- 계정을 이동
dsmove cn=orange, dc=itbank,dc=com -newparent ou=김유리, ou=평일반,dc=itbank,dc=com
- 계정명 변경
dsmove cn=orange, ou=김유리, ou=평일반, dc=itbank, dc=com -newname 사과
- upn로그온이름 변경/수정
dsmod user cn=사과,ou=김유리,ou=평일반,dc=itbank,dc=com -upn apple@itbank.com
(* user인지 group인지 표시 필요 )
- NetBios 로그온이름 변경
(불가능...사람이름의 성까지 다갈아엎은 느낌이라 불가능)
- 계정 삭제
dsrm cn=사과, ou=김유리, ou=평일반, dc=itbank, dc=com [ -noprompt ]
dsadd (추가)
dsget (표시)
dsmod (수정)
dsmove (이동)
dsquery (개체 찾기의 도움말)
dsrm (삭제)
<로컬 계정에서 계정만들기>
(client200) 초기설정으로 변경: ADDS 설치 전
-계정 생성
net user user1 P@ssw0rd /add
-계정 수정
net user user1 P@ssword100
잘 실행되었습니다 <= 이미있는 user1의 비번을 수정한것
-계정 삭제 (administrator 에서)
net user 홍길동 /delete
- 도메인의 도메인 컨트롤러에서 요청을 처리
net user user1 P@ssw0rd /add /domain
* 도메인에서 삭제시 ''컴퓨터 관리"창에서만 "사용자 및 컴퓨터"에서는 삭제가 안되어있다
로컬에서 삭제시 깨끗하게 모두 삭제됨
* dsadd 가 확인 절차 있음 <-> net user 는 강제 삭제
*도메인으로 승격될때 "로컬 사용자 및 그룹"이 필요없어짐에 따라 자동으로 삭제되어있다.
= net user 명령어는 로컬에서만 사용하는것이 바람직함
* compmgmt.msc
컴퓨터관리 -로컬 사용자 및 그룹 - 사용자
<제어 위임>: 일부 권한을 (위임받은 구간내에서) 위임
제어위임 만큼은 재로그인을 할 필요없이 바로 적용
제어위임을 해지할때는 재로그인 하기 전까지만 권한이 있음
* 권한을 위임 할수있는 최소단위 = ou
- 제어 위임하기
adds에서 각 부서에 제어위임 - 사용자 추가 (ex. insa31@itbank.com) - client100에서 로그아웃 후에
insa31로 로그인(비번변경 후.) - 사용자 추가해보기
to user : 반장 (not OU)
- 사용자 계정만들기, 삭제 및 관리
- 사용자 암호를 원래대로 설정하고 다음 로그온 시에 암호 변경 강요
- 모든 사용자 정보 읽기
- 그룹 만들기, 삭제 및 관리
- etc
'정보보안 지망이! > Windows 기초' 카테고리의 다른 글
| Chapter.5 정책 (0) | 2020.05.11 |
|---|---|
| Chapter.6 원격지원 (수정중) (0) | 2020.05.11 |
| Chapter.4 권한, 파일 시스템 (0) | 2020.05.10 |
| Chapter.3 그룹 (0) | 2020.05.10 |
| Chapter.1 VMWare 설치 (0) | 2020.05.09 |
