Windows Server #2

그룹정책(GP:Group Policy)은 Computer와 User 별로 설정할 수 있는데 두 설정이 충돌하면 Computer 설정이 우선한다.

 

  Windows Server 부팅 과정

a. 전원 ->POST(Power On Self Test) ->MBR(Master Boot Record) ->BOOTMGR(멀티부팅이면 원하는 OS 선택) ->Windows Loader(win.ini, sys.ini) ->Login screen ->시작 프로그램 실행 ->바탕화면으로 진행된다.

b. Windows Server가 정상 부팅되지 않으면 부팅 시 F8을 누르고 Safe Mode, Safe Mode with Networking, Safe Mode with Command Prompt, Last Known Good Configuration (advanced), 그리고 Start Windows Normally 등이 보이면 여기서 Safe Mode로 들어가서 작업을 해줄 수도 있다.

OR 시작>실행>msconfig를 입력하고>시스템 구성 창이 뜨면>일반 탭에는 정상, 진단, 선택 모드가 있다>두 번째 부팅 탭으로 가면 하단에 부팅 옵션이 있는데 안전부팅에 체크해두면 여러 옵션이 다음처럼 활성화되므로 선택해서 부팅할 수 있다. 여기서는 취소해서 그냥 나간다>서비스 탭에서는 시작할 때 어떤 서비스들이 실행되는지를 보이므로 조절할 수 있다>시작 프로그램 탭에서는 시작할 때 자동으로 실행되는 프로그램들이 있다>도구 탭에도 많은 선택 옵션이 있다.

=>여기에 hack$ 파일을 생성해두면 보이지 않지만 시작 때마다 실행된다. Windows에서는

  '파일/폴더$'식으로 해서 숨김이 된다.

 

그룹은 그룹에 권한을 설정한 뒤 그룹에 사용자들을 넣으면 해당 사용자들은 해당 그룹에 정해진 권한을 자동으로 가지게 된다. '그룹 생성->그룹에 권한 설정->사용자를 그룹에 넣기'로 진행된다. =>내장 그룹은 Administrators, Backup Operators, Event Log Readers, IIS_IUSRS, Network Configuration Operators, Performance Log Users, Power Users, Remote Desktop Users, Replicator, Users 등은 역할을 그룹 이름으로 유추할 수 있고, 이미 그룹에 해당 권한이 설정되어져 있다.

 

  관리자와 사용자는 패스워드를 변경할 수 있는데, 중요한 것은

∎ 관리자는 어느 사용자의 패스워드를 변경할 때 해당 사용자의 이전 패스워드를 몰라도 새롭게 패스워드를 설정해줄 수 있지만,

∎ 사용자는 자신의 이전 패스워드를 알고 있어야 새롭게 패스워드를 변경할 수 있다. 

=>관리자라도 일반 사용자의 패스워드를 알 수는 없다!!!!

 

  Windows 머신의 처리 속도를 빠르게 하려면,

  하드웨어적으로 RAM을 추가하거나, CPU를 빠른 것을 교체하는 방법이 있을 수도 있지만,

  소프트웨어적으로도 두 가지 방법이 있을 수 있는데

∎ 바탕화면의 컴퓨터>C: 드라이브를 선택하고 우클릭>속성>도구 탭>지금 조각모음을 클릭해주거나

∎ 파일 색인(index)을 생성해서 검색을 빠르게 할 수도 있다.

 

서버 성능의 문제나 오류 등을 확인하려면 성능 모니터를 사용하면 된다.

 

 일반적인 키 생성과 배포에서처럼

암호화 문장을 생성한 사용자 A가 평문장을 암호화하고 암호화에 사용된 키를 함께 생성한 뒤, 이 키와 암호문을 사용자 B에게 전해주어야 사용자 B가 암호문을 전달받은 키로 풀 수 있다. 생성한 암호문 키와 해독하는 키가 동일하기 때문에 대칭키 구조이다.

 

  Administrator의 패스워드를 암호화해서 USB 등 다른 저장소에 저장해두고, 로그인할 때 이 키로 로그인하면 HDD에 암호화 키를 저장하지 않으므로 보안이 매우 좋아진다.

 

  공유폴더 권한과 NTFS 권한, 파일 권한

a. Windows는 파일 및 폴더에 대한 액세스를 제한하기 위해 두 가지 권한인 NTFS 권한과 공유 권한을 제공하는데 두 권한은 모두 파일 또는 폴더의 속성 창에서 할당할 수 있다. 

▪ 공유 폴더 권한은 원격지에서 이 시스템의 접속해서 공유 폴더에 저장된 파일/폴더를 사용할 때 적용된다.

=>설정은 해당 폴더의 속성 창에서>고급 공유로 가서>권한으로 가서>공유 탭에서 설정하면 된다.

▪ NTFS 권한은 NTFS 파일 시스템으로 포맷된 볼륨(HDD)에 저장된 모든 파일/폴더에 적용된다. 기본적으로 권한은 부모 폴더에서 자식 파일/폴더로 상속되는데 이 상속을 비활성화 시킬 수 있다. NTFS 권한은 HDD 등 저장장치에 적용되기 때문에 파일/폴더가 로컬 또는 원격에서 액세스되는지와 상관없이 모두 적용된다(데이터가 HDD 위에 있으므로). NTFS 권한은 기본적으로 읽기, 읽기 및 실행, 쓰기, 수정, 폴더 내용 목록 및 모든 권한에 대한 액세스 수준을 제공한다.

=>NTFS 권한은 HDD의 속성 창에서>보안 탭에서 설정하면 된다.

▪ 공유 권한은 공유 폴더에만 적용되고, 원격 시스템에서 네트워크를 통해서 해당 공유 폴더에 액세스할 때 적용되는 권한이다. 특정 공유 폴더에 대한 공유 권한은 해당 폴더 및 그 내용에 적용되는데 공유 권한은 NTFS 권한보다 덜 세분화되어서 읽기, 변경 및 모든 권한의 액세스 수준만 제공한다.

▪ NTFS 권한과 공유 권한을 조합해서 액세스를 조절할 수 있다.

  특정 파일에 대한 사용자의 액세스 수준을 결정하는 규칙은 다음과 같은데

a) 파일이 로컬로 액세스되는 경우 NTFS 권한만 적용된다.

b) 파일이 네트워크를 통해서 액세스되는 경우 NTFS와 공유 권한이 모두 적용되는데 가장 제한적인 권한이 적용된다. 예를 들어 공유 폴더의 공유 권한이 읽기 권한이고 NTFS 권한이 수정 권한일 경우, 사용자의 유효 권한은 원격으로 공유 폴더에 액세스할 때 읽기이며, 로컬로 폴더에 액세스할 때는 수정이 된다.

▪ 사용자의 개별 권한과 사용자가 속한 그룹의 권한을 조합해서 액세스를 조절할 수 있다.

사용자는 여러 권한을 누적(accumulated) 해서 가지기 때문에 더 높은 권한이 있으면 해당 권한을 가지게 된다.

  예를 들어서 사용자가 파일에 대해 읽기 권한을 가지고 있고 해당 사용자가 속한 그룹이 동일한 파일에 대해 수정 권한이 있다면, 이 사용자의 유효 권한은 수정이 된다.

▪ 특정 파일/폴더에 직접 할당된 명시적 권한이 상위 폴더에서 상속된 암묵적 권한보다 우선한다.

  예를 들어서 부모 폴더에 쓰기 권한이 있으면 자식 폴더나 파일은 자동으로 부모의 권한을 상속받아서 쓰기 권한을 가지게 된다. 하지만 자식 파일이 읽기 권한만 가지게 한다면 부모로부터의 상속(쓰기)을 끊고 자식이 읽기 권한으로 설정되면 된다. 이 명시적 읽기 권한이 상속으로 인한 암묵적 쓰기 권한보다 우선한다.

 

  파일공유 권한 설정

  파일공유 권한 설정은 폴더공유 권한 설정과 같은데 C:\에 파일 하나를 생성한 뒤>우클릭>속성>공유나 보안 탭에서 앞에서와 같이 사용자/그룹 지정과 권한을 설정해주면 된다. 하지만

▸여러 파일을 일일이 설정하는 것보다 이들 파일을 폴더에 넣고 폴더에 공유와 권한을 설정하는 것이 더 좋다.

▸또 로컬에서 그룹을 생성해서 권한을 설정하는 것보다 도메인에서 도메인 그룹을 생성해서 권한을 설정해주는 것이 더 좋다.

 

∎ 상속 포기

  부모로부터의 권한 상속을 포기할 수 있다.

앞에서 생성했던 ‘공유폴더’ 마우스 우클릭>속성>보안 탭에서>우측하단의 고급을 클릭하고>고급보안 설정창에서 첫 번째 사용 권한 탭에서 원하는 사용자나 그룹, 여기서는 Everyone을 선택하고>하단의 편집을 클릭하고>Everyone을 선택하고 하단의 편집을 클릭하면 권한들이 뜨는데 여기서 체크 설정을 가감해서 권한을 조절할 수도 있다. 이런 식으로 사용 권한 목록에서 사용자와 그룹을 삭제하거나 사용 권한을 변경할 수 있다.

 

  개체 소유권  

  NTFS 볼륨이나 AD 도메인 내의 모든 개체는 소유권을 가지고 있다. 소유권은 기본적으로 해당 파일/폴더를 생성한 사람이 소유자가 된다. 소유자는 해당 개체에 대해서 어떻게 사용 권한을 설정할지, 누구에게 권한을 위임할지 등을 정할 수 있다. 소유자는 소유권을 타인에게 주거나 다시 뺐어 올 수 있고, 심지어 소유자는 접근 거부일 때에도 자신이 생성한 해당 개체에 대해서 사용 권한을 변경할 수 있다!! 이를 방지하려면 관리자가 사용자가 생성한 파일/폴더에 대한 소유권을 즉시 변경해 두는 것인데 Administrators 그룹은 파일 또는 기타 개체에 대한 타인의 소유권 가져오기 권한(Rights)를 가지고 있다. 파일/디렉터리 복원 사용자 권한을 가진 모든 사용자와 그룹도 개체 소유권을 변경할 수 있다.

=>개체의 소유권을 가져오려면 Administrator 계정 또는 소유권 가져오기 권한(Permission), 또는 파일 또는 디렉터리 복원 사용자 권한(Rights)이 있는 사용자로 로그인해야 작업할 수 있다. 

 

  시작>관리도구>컴퓨터 관리>공유폴더>공유로 가면

∎ 수동으로 공유한 폴더들과  

∎ ADMIN$는 이 서버를 원격에서 관리할 때 사용됨, Windows가 설치된 폴더(시스템 루트인 C:\Windows를 의미함)로써 Administrators, Backup Operators, Server Operators 그룹 사용자만 접속 가능 =>원격 관리로 보이고

∎ C$는 루트 폴더인 C:\ 드라이브로써 Administrators, Backup Operators, Server Operators 그룹 사용자만 접속 가능 =>기본 공유로 보이며

∎ IPC$는 원격 관리와 공유된 리소스에 대한 확인에서 사용되는데 통신의 기본이라서 삭제 는 불가하함, =>원격 IPC로 보임

∎ Public은 일반적인 공유폴더로써 누구나 접속 가능함

등의 시스템 폴더가 보인다.