윈도우 설치 및 보안 정책

 운영체제란 CPU, 메모리카드 , 그래픽카드등 컴퓨터의 장치를 가동, 제어시켜, 사용자가 각종 작업을 할 수 있는 환경을 마련하는 프로그램으로, 운영체제의 쉘을 통해 사용자의 동작을 받고 커널을 통해 컴퓨터가 사용자의 동작을 인식하도록 변형시킨다. 즉, 운영체제는 사용자와 컴퓨터를 연결시키는 역할을 한다.  

 

 윈도우는 손쉬운 사용자 인터페이스를 통해 프로그램을 작업, 실행할 수 있는 환경을 제공해 주는 마이크로 소프트의 운영체제로, 기본적으로 사용하는 윈도우는 개인PC에서 쉽게 사용할 수 있도록 만들어진 클라이언트 운영체제이지만 서버나 개발자가 사용할 수 있도록 서버 전용 윈도우를 따로 제공을 하고 있다. 

Windows Server 2016 | Microsoft Evaluation Center

 

• 가상머신 설치 과정
  1. 가상 머신의 호환 버전 설정
  2. guestOS 설치 방식 설정
  3. guestOS 종류 설정 → Window 10 x64
  4. 가상 머신 설치 위치와 이름 설정
  5. 펌웨어 설정 → BIOS
  6. CPU 사용 갯수와 1개의 CPU의 분할 갯수 설정 → Number of processor : 2, Number of cores per processor : 1
  7. RAM 카드 용량 설정 → 4GB
  8. 가상 머신의 사용할 네트워크 타입 설정 → NAT 
  9. 디스크의 입/출력 방식 설정 → LSI Logic SAS
  10. 사용 디스크 설정 → NVMe
  11. 디스크 용량 설정 → 60GB
  12. 디스크 파일 이름 설정

 

• windows 서버 설치 과정
  1. 사용할 언어 설정후 지금설치
  2. 설치할 운영체제 선택 → windows server 2016 standard(데스크톱 환경)
     • Window Server 2016 Standard : TUI환경 서버
     • WIndow Server 2016 Standard(데스크톱 환경) : GUI 환경 서버
     • Window Server 2016 Datacenter : TUI환경 데이터 베이스
     • Window Server 2016 Datacenter(데스크톱 환경) : GUI환경 데이터 베이스
  3. 설치 유형 선택 → windows만 설치
  4. windows 설치 위치 설정 → 파티션 분할 없이 하나의 디스크에 설치
  5. 최고 관리자 비번 설정 → 암호 정책에 따라 설정
• vmtools 설치
  • VMware의 창 크기변경에 따른 윈도우 크기(해상도) 변경 및 호스트간 파일 공유(복사, 붙혀넣기) 목적 
    1. VMware에서 VM → install VMware tools → 윈도우에서 VMware Tools 실행
    2. 설치유형 선택(표준 설치 유형)

 

• 윈도우 Netbios name(컴퓨터 이름) 변경
  
  • 윈도우는 같은 네트워크, 같은 작업 그룹에 있다면, 컴퓨터 이름을 이용해서 컴퓨터 간의 통신이 가능 
    1. Window 키 + R → sysdm.cpl 입력 → 변경
    2. 컴퓨터 이름 변경
    3. 다시시작

 

• Ping 방화벽 해제
  • 기본적으로 윈도우에서는 Ping의 reply를 보내지 않도록 방화벽 설정, 외부와의 연결 상태를 확인하기 위해서는 Ping에 대한 방화벽 해제
    1. Window 키 + R → WF.msc 입력 → 인바운드(서버로 들어오는 프로토콜) 규칙
    2. 가상 컴퓨터 모니터링(에코 요청 - ICMPv4-In) 좌클릭 → 규칙사용

 

윈도우 실행창(win키 + R) 대상 바로가기
제어판 바로가기	control panel	모든 제어판 항목창
	ncpa.cpl	네트워크 연결창
	sysdm.cpl	시스템 속성창
windows 관리 도구 바로가기	compmgmt.msc	컴퓨터 관리창
	diskmgmt.msc	디스크 관리창
	eventvwr.msc	이벤트 뷰어창
	fsmgmt.msc	공유 폴더창
	gpedit.msc	로컬 그룹 정책 편집기
	lusrmgr.msc	로컬 사용자 및 로컬 그룹 창
	secpol.msc	로컬 보안 정책창
	WF.msc	고급 보안이 포함된 Windows 방화벽

대상 바로가기 확인

 

 

보안 정책

 서버는 여러 데이터나 서비스를 타 사용자에게 제공하며, 사용자는 데이터나 서비스를 사용하기 위해서 해당 서버에 접근할 필요가 있다. 특히 서버에서는 데이터가 임의적으로 변경되는것을 막기 위해 인증된 특정 사용자만 접근할 수 있도록 보안정책이 필요하다.

 

 윈도우 서버도 마찬가지로 보안정책이 적용되어 있으며, 검색창 또는 실행창(win키 + R) 에 "secpol.msc"를 검색하면 로컬 보안 정책에 접근할 수 있다. 

secpol.msc

• 계정 정책
  
  • 암호 정책 : 계정의 암호에 대한 정책
    • 암호의 복잡성 : 암호를 설정하기 위한 최소 기준에 대한 정책
    • 최근 암호 기억 : 이전의 암호와 설정할려는 암호와의 동일성에 대한 정책
    • 최대 암호 사용 기간 : 암호 설정 후 해당 암호를 사용할 수 있는 최데 기간에 대한 정책
    • 최소 암호 길이 : 암호를 설정하기 위한 최소 길이에 대한 정책
  • 계정 잠금 정책 : 계정 잠금에 대한 정책
    • 계정 잠금 기간 : 일정 로그인 시도 횟수를 초과한 계정에 대한 잠금 기간에 대한 정책
    • 게정 잠금 임게값 : 한 계정의 로그인 시도를 허용하는 횟수에 대한 정책
• 로컬 정책
  • 감사 정책 : 해당 운영체제에서 발생하는 현상에 대한 감사를 결정하는 정책
    • 개체 액세스 감사
    • 계정 관리 감사
    • 계정 로그온 이벤트 감사 
  • 보안 옵션 : 해당 운영체제의 보안을 설정하는 정책
    • 계정 : Administrator 계정 상태 : Administrator 계정의 사용 여부에 대한 정책
    • 계정 : Administrator 계정 이름 바꾸기 : Administrator 계정의 이름 변경에 대한 정책

 

계정

 모든 서버에서는 여러 데이터나 서비스를 타 사용자에게 제공하며, 특정 사용자가 데이터나 서비스를 사용할 수 있도록 해당 서버에 계정을 만들고 해당 계정을 통해 접근하는 형식을 사용하고 있다.

 

 윈도우 서버도 마찬가지로 계정을 생성하게 해서 해당 계정으로 서버에 접근하도록 하며, 검색창에 "lusrmgr.msc"를 검색하면 윈도우에 생성된 계정과 그룹을 확인 할 수 있다. 

• 도메인 계정 : 도메인 안에 등록된 계정
• 로컬 계정 : 내 컴퓨터 작업그룹내에서 사용가능한 계정
• 그룹 : 여러 계정들의 집합체

lusrmgr.msc

 

• 사용자 생성 및 암호 변경
  • 사용자 생성 방법
    • 사용자 목록에서 좌클릭 후, 새 사용자 → 사용자 이름과 암호 입력 → 만들기
      • Administrator : 최고 관리자 계정
      • Guest : 문제가 생길 경우, 컴퓨터 도메인을 액세스하도록 기본 제공된 계정
  • 사용자 암호 변경 
    • 번호 교체할 사용자에서 좌클릭 후, 번호 설정 → 새 암호 입력 → 확인
  • 사용자 관련 명령어 (bat파일 생성시에 사용) 
    • net user /add [계정명] [PW] : 계정 생성
    • net user /del [계정명] : 계정 삭제
    • net user [계정] [변경할 비번] : 계정의 암호 변경
• 그룹 생성 및 구성원 추가
  • 그룹 생성 방법
    • 그룹목록에서 좌클릭 후, 새 그룹 → 그룹 이름 입력과 구성원 결정 → 만들기
      • Administrators : 관리자 권한을 사용할 수 있는 계정을 모은 그룹
  • 그룹 구성원 추가
    • 추가할 그룹에 좌클릭 후, 그룹에 추가 → 추가할 구성원 결정 → 확인
  • 그룹 관련 명렁어 (bat파일 생성시에 사용)
    • net localgroup /add [그룹명] : 그룹 생성
    • net localgroup /del [그룹명] : 그룹 삭제
    • net localgroup [그룹명] /add [계정] : 해당 그룹에 계정 추가
    • net localgroup [그룹명] /del [계정] : 해당 그룹에 계정 삭제

SID
윈도우에서 계정마다 부여하는 보안 식별자로, 윈도우마다 부여되는 고유 식별번호와 계정마다 부여되는 계정 번호로 구성되어 있다. 이떄, 같은 네트워크 상에서 같은 윈도우 식별번호를 가지는 같은 계정이 존재할 경우, 해당 계정은 권한을 사용할 수 없다. whoami /user : 현재 사용하는 사용자의 이름과 SID를 확인하는 명령어 wmic UserAccount get name,sid : 계정의 이름과 sid를 확인하는 명령어
구성	S-1-5-21-[윈도우 고유코드]-[계정 번호]
S-1	해당 시스템이 윈도우 시스템을 의미
5-21	DC(Domain Controller : 컴퓨터들이 논리적으로 묶여져 있는 하나의 도메인을 관리하는 시스템)또는 단독시스템을 의미
윈도우 고유코드	해당 윈도우 시스템의 고유 식별 번호
계정번호	사용자 식별자(500 : 관리자, 501 ~ 999 : guest, 1000 ~ : 일반계정)

 

하드 디스크와 파일 시스템

 리눅스의 하드디스크는 MBR 파티션 구조로 디스크가 구성되어 있다. 즉, 하나의 디스크에 최대 4개의 물리 파티션을 만들 수 있으며, 4개 이상의 파티션을 만들 경우 하나의 물리 파티션이 연장 파티션으로 변경해서 해당 연장 파티션에 논리파티션을 생성하게 된다.  

 

 윈도우 하드 디스크도 리눅스와 마찬가지로 MBR 구조로 디스크를 구성하고 있으며, 검색창에 "diskmgmt.msc"를 입력하면 윈도우에서 사용하는 하드 디스크를 관리 할 수 있다.  

diskmgmt.msc

• 디스크 초기화 방법
  1. 새 디스크 상태 변환 : 새 디스크에 왼쪽 클릭 → 온라인
  2. 디스크 초기화 : 온라인된 디스크에 왼쪽 클릭 → 디스크 초기화 → 파티션 형식을 MBR 형식으로 선택

 

 디스크를 사용하기 위해서는 파일 시스템으로 해당 디스크를 포멧해야 하며, 윈도우의 파일시스템은 FAT, FAT32, FAT64, NTFS, REFS를 사용한다. 

 

• FAT
  • 대부분의 OS가 지원하는 파일 시스템
  • 이름은 숫자나 문자로만 시작이 가능하며, 대소문자를 구별하지 않음
  • 파일이름을 8자 이상 ,확장자 3자 이상 사용할 수 없음
  • 10GB이상 디스크에서 사용 불가
  • 단일 파일 최대 저장 크기 : 2GB
  • 최대 볼륨 사이즈 :  2GB
  • 파일당 클러스터 용량 : 512MB당 8KB, 2GB당 32KB
• FAT32
  • USB의 기본 포멧으로 사용되는 파일 시스템
  • 다중부팅가능
  • 단일 파일 최대 저장 크기 : 4GB
  • 최대 볼륨 사이즈 :  32GB
  • 파일당 클러스터 용량 : 8GB 이하에 8KB
• NTFS
  • 윈도우에서 주로 사용되는 파일 시스템
  • 도메인, 압축, 보안, 암호화, 섀도 복사, 공유 지원
  • 단일 최대 저장 크기 : 16TB
  • 최대 볼륨 사이즈 : 16EB(GPT) , 2TB(MBR)
  • 파일당 클러스트 용량 : 512 ~ 64KB (기본 4KB)

 

• 디스크 파티션 할당 방법
  • 단순 파티션 할당
    • 하나의 파티션을 생성하는 방법
    • 생성 : 온라인 디스크의 용량에 왼쪽 클릭 → 새 단순 볼륨 클릭 → 파티션 크기 지정 → 드라이브 문자 할당 → 파티션 포멧 (파일 시스템 지정)
  • 디스크 파티션 연동 기술 : 서로다른 디스크의 파티션을 하나의 파티션으로 인식시키는 방식
    
    1. 스팬 볼륨
       • 확장 개념으로 두 개의 디스크를 붙이는 방법
       • 생성 : 온라인 디스크의 용량에 왼쪽 클릭 → 새 스팬 볼륨 클릭 → 파티션 크기 지정 → 드라이브 문자 할당 → 파티션 포멧 (파일 시스템 지정)
       • 파티션을 정할때, 서로다른 디스크의 파티션을 생성하는데 해당 파티션들의 크기를 다르게 결정할 수 있다.
    2. 스트라이프 볼륨 (Raid 0) 
       • 디스크에 기록할 때는 두 디스크를 동시에 활용하는 방법
       • 생성 : 온라인 디스크의 용량에 왼쪽 클릭 → 새 스트라이프 볼륨 클릭 → 파티션 크기 지정 → 드라이브 문자 할당 → 파티션 포멧 (파일 시스템 지정)
       • 파티션을 정할 때, 서로다른 디스크의 파티션을 생성하는데 파티션들의 크기들이 전부 동일해야 한다. 
    3. 미러볼륨 (Raid 1)
       • 디스크의 내용을 서로 동기화하는 방법
       • 생성 : 온라인 디스크의 용량에 왼쪽 클릭 → 새 미러 볼륨 클릭 → 파티션 크기 지정 → 드라이브 문자 할당 → 파티션 포멧 (파일 시스템 지정)
       • 파티션을 정할 때, 서로다른 디스크의 파티션을 생성하는데 파티션들의 크기들이 전부 동일해야 하며, 2개의 디스크만 사용할 수 있다. 
    4. Raid 5 볼륨 (Raid 5)
       • 각 디스크마다 parity를 가지고 있어서 서로가 서로를 복원하는 방법
       • 생성 : 온라인 디스크의 용량에 왼쪽 클릭 → 새 Raid 5 볼륨 클릭 → 파티션 크기 지정 → 드라이브 문자 할당 → 파티션 포멧 (파일 시스템 지정)
       • 파티션을 정할 때, 서로다른 디스크의 파티션을 생성하는데 파티션들의 크기들이 전부 동일해야 하며, 최소 3개의 디스크가 있어야 한다. 

 

Raid 기술 종류
Raid 0	stripe	용량 증가	100M +100M = 200M
Raid 1	mirror	디스크의 내용을 서로 동기화	100M +100M = 100M
Raid 2	rescue	디스크의 한 순간으로 복구
Raid 3	parity(byte)	하나의 디스크가 parity(다른 디스크의 내용을 가지고 있는것)로 사용해서  byte단위로 복원	100M +100M(P) +100M = 200M
Raid 4	parity(block)	하나의 디스크가 parity로 사용해서 block단위로 복원	100M +100M(P) +100M = 200M
Raid 5	random parity 1	각 디스크마다 parity를 가지고 있어서 서로가 서로를 복원	100M(P) +100M(P) +100M(P) = 200M
Raid 6	random parity 2	각 디스크마다 parity를 가지고 있어서 서로가 서로를 복원	100M(P) +100M(P) +100M(P) +100M(P) =200M

 

권한

 윈도우는 파일/폴더에 계정/그룹마다 권한을 각각 부여한다. 그래서 계정마다 해당 파일/폴더의 사용 가능 여부를 결정할 수 있다. 즉, 특정 사용자만 해당 데이터를 사용할 수 있도록 권한을 통해 접근 여부를 제어한다. 

 

 윈도우도 다른 운영체제와 같이 권한을 통해 해당 계정의 데이터 접근성을 통제하며, 이런 보안 기능은 NTFS 파일 시스템에서만 호환된다. 

FAT 32	NTFS

 윈도우에서는 읽기접근권한과 쓰기권한으로 나뉘며, 파일이나 폴더의 권한은 해당 파일이나 폴더가 있는 상위 폴더의 권한을 상속하는 특징을 가지고 있다. 그래서 권한을 변경하기 위해서는 고급 설정을 통해 상속을 해제해야 편집에서 권한을 수정 할 수 있다.  이때, 허용 권한과 거부 권한이 동시에 부여될 경우 거부 권한이 최우선으로 적용된다.

새 폴더의 Administrators 권한	새 폴더 안에 새 폴더의 Administrators 권한

• 읽기접근권한
  
  • 읽기 및 실행
  • 폴더 내용 보기
  • 읽기 
•  쓰기권한
  
  • 수정
  • 쓰기