1. 윈도의 서버의 계정관리방식
- 워크그룹방식 : P2P / SAM
- 도메인방식 : 중앙 집중식 관리 / 액티브디렉터리
3. 윈도우의 로그
1) 응용프로그램 로그 : 응용프로그램이 남기는 이벤트 저장
2) 시스템로그 : 운영체제 시작시 장치 드라이버 로드 여부, 시스템 서비스 시작, 오류 등의 이벤트 저장
3) 보안로그 : 로그온 시도 및 성공 실패, 사용자 계정의 추가 삭제, 사용자 권한변경 등 보안 관련 이벤트 저장
어떤 상황에 어떤 로그 남길지는 감사로그설정에 의해 결정
4. 윈도우 시스템의 로그파일명(XP 이하 / vista 이후)
1) 어플리케이션 로그 AppEvent.Evt / application.evtx
2) 시스템로그 SysEvent.Evt / system.evtx
3) 보안로그 SecEvent.Evt / security.evtx
6. 윈도우즈 감사정책
윈도우즈 감사정책은 어떤 로그를 남길지 정의한 규칙
감사정책 설정시 감사정책에 의해 지정한 이벤트에 대해서만 로그 남음
* 근데 윈10 홈버전에서는 기본적으로 secpol.msc 못 조작하게 되어있네
* 궁금한건 애플리케이션 로그, 시스템 로그, 보안 로그 라는 카테고리는 나누어져있는데
왜 감사정책은 카테고리가 이상하지 싶다.
| 감사항목 | 권장값 | 설명 | ||||
| 개체 액세스 | 감사안함 | 파일, 디렉터리, 레지스트리, 프린터 등의 객체에 대한 접근 성공/ 실패 여부를 기록할지 결정(저런 애들을 객체라고 하는구나) | ||||
| 계정관리 | 실패 | 계정관리 이벤트를 감시할지 여부를 결정 사용자 계정 또는 그룹의 생성, 변경, 삭제, 암호의 설정 및 변경등의 이벤트 성공/실패 로그를 기록 |
||||
| 계정 로그온 이벤트 | 성공, 실패 | 도메인 계정에 대한 로그온 성공/실패 관련 이벤트 로그를 기록할지를 결정 | ||||
| 권한사용 | 실패 | 권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트 생성 | ||||
| 디렉터리 서비스 액세스 | 실패 | Active Directory 개체의 시스템 액세스 컨트롤 목록(SACL)에 나열된 사용자가 해당 개체에 액세스를 시도할 때 이벤트 생성 | ||||
| 로그온 이벤트 | 성공, 실패 | 로컬 계정에 대한 로그온/오프 성공/실패에 대한 이베느를 기록할지를 결정 | ||||
| 시스템 이벤트 | 감사안함 | 시스템 시작 또는 종료, 보안 로그에 영향을 미치는 이벤트 등을 감사할지 여부를 결정 | ||||
| 정책변경 | 성공,실패 | 감사 정책 변경의 성공 및 실패를 감사 | ||||
| 프로세스 추적 | 감사안함 | 실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 프로세스 생성, 프로세스 종료, 핸들 복제 및 간접 개체 액세스 같은 프로세스 관련 이벤트를 감사할지 여부를 결정 |
||||
이런 외우기는 재미 없지만 잘 외워보자
7. 비트로커
노트북 분실. 디스크 분리 후 중요 데이터 탈취 등의 이유로 기밀 자료 유출상황에 대비한 디스크 암호화 기술
TPM(Trusted Platform Module) 을 사용해 초기 시작 구성요소의 무결성을 검사하는 암호화 방식
TPM은 하드웨어와 소프트웨어, 펌웨어 인증을 검사하는 전용 칩이다. 승인 없는 변경을 감지했을 경우 PC는 제한된 모드로 부팅되어 잠재적인 공격자의 악의적인 행위를 차단한다.
8. 윈도우에서 계정명이 "algisa2", 비밀번호가 "password"인 계정을 생성하는 명령어는?
net user algisa2 password /ADD
생성된 계정 리스트를 확인하는 명령어는?
net user
생성한 algisa2 계정을 administrators 그룹에 추가하는 방법은?
net localgroup administrators algisa2 /ADD
*/ADD 말고 또 뭐가 있을까 (/delete, /active/ expires 등등이 있네)
9. NULL Session 취약점에 대해 설명하시오
널 세션이란 윈도우가 설치된 네트워크의 다른 원격 컴퓨터에 사용자명과 패스워드를 널(NULL 빈값)으로 해서 접속할 수 있게 해주는 것을 말한다.(??이게 왜 가능하지)
IPC(Inter Processing Communication)은 네트워크 프로그램간 통신을 위해 파이프 사용하고 네트워크 서버 원격관리에 사용되는데, 윈도우 서버에 IPC$를 통한 원격 접속을 할 때 패스워드를 Null로 설정하여 접속할 수 있는 취약점이 있다고 한다. 이것을 허용할 경우 인증절차를 거치지 않아도 Null 공유대상인 IPC에 연결하여 유저의 정보를 탈취하거나 레지스트리에 접근하는 등의 행위가 가능하다. (근데 파이프 사용하고 원격관리 하려고 그 기능을 켜면 아이디 패스워드를 Null로 했을때 된다는게 무슨말이지. 생각해보면 공유폴더 만들어놓고 아무 아이디 패스워드 치면 들어가지던 그걸말하나)
11. 운영체제 보안을 위한 분리
1) 운영체제 보안의기능
메모리 보호, 파일 보호, 접근통제, 사용자인증
2) 보호대상 객체
메모리, 공유 및 재사용이 가능한 I/O 장치, 공유 가능한 프로그램 및 서브프로그램, 공유데이터
3) 운영체제 보안을 위한 분리
물리적 분리 : 사용자별로 별도의 장비만 사용, 강한형태의 분리, 비현실적/비실용적
시간적 분리 : 프로세스가 동일 시간에 하나씩만
논리적 분리 : 프로세스별로 논리적 영역을 갖도록 하는 방법, 할당된 영역 안에서 작업 수행, 그 외 엄격제한
암호적 분리 : 내부에서 사용되느 정보 외부에서 알지못하게 암호화하는 방법
'정보보안기사 실기' 카테고리의 다른 글
| 정보보안기사 _ 10일차 _ 보안운영체제 (0) | 2022.04.18 |
|---|---|
| 정보보안기사 _ 8일차 _ Unix/Linux 서버 취약점 _ 파일 및 디렉터리 관리 (0) | 2022.04.14 |
| 정보보안기사 _ 8일차 _ Unix/Linux 서버 취약점 _ 계정관리 (0) | 2022.04.13 |
| 정보보안기사 _ 7일차 _ 시스템 기본 학습 _ 시스템해킹 (레이스컨디션) (0) | 2022.04.12 |
| 정보보안기사 _ 6일차 _ 시스템 기본 학습 _ 시스템해킹(버퍼오버플로우) (0) | 2022.04.06 |