윈도우 NT 보안: 1부

사용자: 사용자와 직원들이 반드시 좋은 패스워드를 사용하도록 한다 (대소문자 혼용, 문장부호, 숫자 ) 사용할 수 있는 패스워드 검사 메카니즘을 이용하여 좋은 패스워드 선택을 보장한다. 최대 사용기간, 최소 사용기간, 길이 및 이전 패스워드 금지 개수 등을 시스템 민감도에 따라 설정한다(e.g. 180, 1, 8, 5).
로그온 상자에 법률적인 공지를 넣는다.
Resource kit 에서 C2config를 설치하고, 감사 실패시 정지, Posix 및 네트웍 서비스를 제외한 모든 C2 항목을 구성한다.
DumpAcl을 설치하여 시스템내의 수상한 변경사항에 대해 정기적으로 검사한다.
Regsnap을 설치하여 레지스트리와 시스템 파일의 스냅샷을 비교한다. 설치/제거 감시와 추적에 유용하다.
NT4: 서비스팩 3을 설치하고, 암호화된 패스워드 및 패스워드 필터링의 사용을 고려한다.
레지스트리에 원격 접근을 못하게 할 것을 고려한다.
자동 화면 잠금 기능을 패스워드 보호와 함께 사용한다.
가능하면 게스트 계정을 사용안함으로 하고, 아니면 패스워드를 붙인다.
믿을만하지 않은 도메인을 트러스트하지 않는다. 트러스트를 없앤 후 재부팅한다.
디렉토리는 제한적으로 공유하고, 가능한한 읽기 전용으로 하며 절대 Everyone에게 쓰기 접근을 허용하지 않는다.
FAT 보다는 NTFS 파일시스템을 사용한다.
Win95 & WfW 클라이언트들을 패스워드 보안 패치로 업데이트하고, 캐싱을 사용할 수 없게 하면 더욱 좋다.
중요한 파일들(e.g. 레지스트리, 로그온 스크립트)과 이벤트들 (로그온/로그오프)에 대해서는 감사를 수행하도록 한다.
이상한 행동들이 있는지 로그를 정기적으로 감시한다.
성능 측정기(또는 그 비슷한 것)를 사용하여 시스템을 감시한다.
정기적인 백업을 설정하고 복원을 테스트한다. 레지스트리를 정기적으로 파일로 백업한다.
백업 도메인 콘트롤러& 복제를 사용하여 로그온 가용성을 높인다.
RAID 나 디스크 동기화를 사용하여 NT 공유의 가용성을 개선한다. 부트 디스크의 warm copy를 보관하고 이중 부팅을 제공한다 (e.g. DriveImage를 사용하여).
긴급 복구 디스크를 정기적으로 갱신한다 (rdisk.exe 에 /s 옵션을 주어).
아래 인터넷 서버로서의 NT 절도 참고한다.
중요하다고 생각되는 레지스트리 항목은 nt_tips.reg 에서 찾을 수 있다. 사용하려면 다운로드 해서 편집기로 열고, 변경이 의미하는 것들을 반드시 이해한 후에, 필요한 경우 적용하며, 설치하려면 더블클릭한다. NT4 SP3에서 테스트되었다. 아마 새로운 항목들을 다시 업데이트 할 것이다.

일반

NT를 위한 유용한 팁:

파일 완성: 다음 레지스트리 항목이 9로 설정되어 있으면, NT는 명령줄에서의 파일 이름을 탭 키로 완성시킨다:
HKEY_CURRENT_USER\Software/Microsoft/Command Processor/CompletionChar

참고 문서

Ref.	문서 번호	버전	제목	날짜	저자
[nt1]	Technet CD		Enterprise Planning Guide - Security	May'95	Microsoft
[nt2]	ISBN 1-55615-653-7	3.5	NT resource Toolkit	1995	Microsoft
[nt3]	ISBN 1-55615-814-9		Windows NT 3.5 Guidelines for Security, Audit and Control	1994	Microsoft
[nt4]	Technet CD	5.95	Enterprise Planning Guide - Domains	May'95	Microsoft
[nt5]	Technet CD /Backoffice	5.95	The Microsoft Strategy for Distributed Computing and DCE Services	May'95	Microsoft
[nt6]		3.5	NT Server "Concepts and Planning Guide"		Microsoft
[nt7]	The Perl Journal	#8	Issue #8, "NT Administration with Perl"	Winter 1997	Dave Roth

보증

기본 보안 아키텍처와 설계는 좋지만, 구현에는 문제가 없지 않다 (다음 절 참고).
1995년 8월, NT 3.51 (NT4 아님)이 네트웍 없는 구성에서 (!) C2 를 따르는 것으로 인증받았다.( "OS 개론"장도 참고). 네트워킹 있는 NT는 '98년 12월 현재 인증 심사중이다.
Microsoft 는 보안 문제/알고리듬을 공개적으로 논의하지도 않고, 일대일 리뷰에도 제출하지 않는다. 그들의 원칙은 모호함을 통한 보안인 것 같다. NT에서 사용되는 인증 및 암호화 방법이 잘 알려지고, 집중적인 일대일 리뷰에 제출되기 전까지는, NT 는 신뢰되는 시스템이라고 할 수 없다. 이러한 상황은 1997년 봄 Microsoft 가 www.microsoft.com 의 일부를 보안에 바침으로써 조금 개선되었다.
NT는 아직 새롭고, 보안 기능의 어떤 부분들은 잘 받아들여지지 않는다.

주된 위험

NT의 주된 위험은:

취약한 패스워드를 가지거나 패스워드가 없는 계정으로 인한 비인가 접근(게스트 같은).
실수로 인한 비인가 접근: 사용자를 틀린 그룹으로 잘못 추가, 공유 허가가 잘못 부여, 파일 허가가 잘못 부여, 사용자에게 너무 많은 권한 부여, RAS의 잘못된 구성
권한의 비인가 사용.
네트웍 트래픽의 비인가 감시.
서비스 거부 공격 (1997년에는 새롭고 다양한 공격 기법들이 많이 보고되었다).
보안 로그 항목의 삭제/변경.
중앙 구성 데이타베이스인 레지스트리가 취약지점으로, 특히 WIn95나 NT 클라이언트에서 (NT4/SP3은 더 잘됨) 원격으로 편집할 수 있다.
도메인 내 서버 중 하나가 전복되면 전체 도메인이 점령될 수 있다.

현재 알려진 문제/위험들

NT는 좋은 점이 많지만 (Win95 나 Win3.1과 비교해서), 문제가 없는 것은 아니다. 다음은 알려진 보안 문제 및 관리 문제이다.

게스트 계정은 V3.5에서 디폴트로 사용할 수 있도록 되어있다: 새로운 V3.5 서버에서는, 서버 상의 모든 드라이브들이 모든사람에게 공유된다. 게스트 로그인이 패스워드 없이 가능하므로, 이 드라이브들은 모든 클라이언트에서 마운트할 수 있다. 어느 시스템에서든 네트웍을 통해 레지스트리를 (어떤 항목들을) 변경할 수 있다 . 게스트 계정을 사용안함으로 하거나 패스워드를 설정하면 문제는 없어진다. V3.51에서는, 게스트 계정이 디폴트로 사용 안하도록 되어 있다.
프린터나 파일을 공유하기 위해서는:

현재 도메인 밖의(트러스트 관계도 없는) NT 가 아닌 컴퓨터들이 공유 할 수 있으려면, 게스트 계정을 패스워드 없이 사용할 수 있어야 한다. 이것이 필요하다면, 파일 시스템 상의 모든사람 읽기 및 쓰기 권한은 절대적으로 필요하지 않은 한 제거되어야 한다 (다음 페이지의 프린팅 절을 참고).
현재 도메인 밖의(트러스트 관계도 없는) NT 컴퓨터의 경우, 동일한 사용자 계정을 동일한 패스워드로 생성해 주면 된다 (또는 자원에 접근할 필요가 있는 사람들이 패스워드를 아는 게스트 계정).

NT4.0 에서는 16비트 프로그램들이 잘 동작하지 않는 경우가 많다. 16비트 어플리케이션이 필요하면 3.51로 남아 있도록 한다.
NT는 사용자나 그룹의 속성으로 줄 수 있는 정의된 권한 목록을 가지고 있다. 그러나 어떤 권한들은 속성화 될 수 없으며, NT에 붙박혀 있다. 이것은 심각한 한계인데 V4.0에서도 수정되지 않았다.
NT 네트웍: 특정 호스트에만 디렉토리를 공유할 수 없다. ACL에 사용자나 그룹은 포함될 수 있지만 호스트 이름은 안된다.
Administrator (또는 해당 권한을 받은 사용자) 가 파일의 소유권을 변경할 수 없다. 소유권을 변경하려면, 언급된 사용자로 소유권 가져오기 를 해야 하고, 이 사용자는 필요한 파일의 소유권을 가져온 후 권한을 다시 철회 해야 한다. 이것은 매우 지저분하고 악용의 소지가 있다.
이메일 시스템이 (아직) NT에 번들되지 않았지만, MS-Exchange를 별도로 구할 수 있다. 스크립트에서 쓸 수 있는 이메일 명령줄 유틸리티가 없다.
NT 스크립팅 언어는 우습다. 다행히, NT resource kit (3.51 이후) 에 Perl 이 들어있다. 이것이 NT의 표준 스크립팅 언어가 되기를 바란다.
원격 호스트로 로그인은 지원되지 않는다. Resource kit 명령어 remote를 통해 원격 시스템으로의 명령줄 로그인은 가능하다.
NT 시스템 로깅 메카니즘 (이벤트 로그)은, 꽤 좋지만, 한 무리의 시스템들에 대해 중앙화된 로깅이 지원되지 않는다.
도메인이 다른 도메인을 트러스트하면, 사용자 관리자는 양쪽 도메인 모두의 전체 사용자와 그룹 목록을 보여주어, 사용자 관리가 어려워진다. 맞춤 필터 메카니즘을 쓰는 게 좋을 것 같다.
심각한 위험은 NT가 아니라 Win95 & WfW 에 의해 야기된다: 패스워드 캐싱. 이 작은 기능이 여러분의 네트웍 전체를 침해할 수 있다. 절대 사용하지 말도록 한다.
트러스트: 한 도메인이 다른 도메인을 신뢰할 수 있다. 전자는 trusting 도메인이고 후자는 trusted 도메인이다. Trusted 도메인의 관리자는 trusting 도메인의 모든 사용자 계정과 상세정보를 볼 수 있지만 변경할 수는 없다. 열려있거나 취약하게 구성된 계정을 찾아내는 데는 보는 것만으로 충분하다.
사용자 계정 시스템, 디스크 모음 유틸리티, 디스크 할당 시스템이 없다.
드라이버 변경이나 어플리케이션 설치시 일반적으로 재부팅이 필요하다.
관리자 계정으로의 로그인 시도 실패 횟수를 제한할 수 없다. 예를 들어 5번의 로그인 시도 실패 후 관리자 로그온이 5분간 차단될 수 있다면 좋을 것이다. 이것은 로그온 공격시 시간당 가능한 로그인 시도 횟수를 상당히 줄여줄 수 있다.
Win32 개발 API가 NT와 Win95에서 다르다!
작업 스케쥴러(at)는 작업을 submit 한 사용자가 아니라 시스템의 보안 환경에서 돌아간다. at 스케쥴러는 대규모의 중요한 서버들을 관리하기에는 너무 원시적이다. 심지어 유닉스의 cron 유틸리티(결함이 없지 않은)에도 접근하지 못한다 .
NT4 는 몇 가지 "서비스 거부 공격" 취약점을 가지고 있다. 예기치 못한 데이타가 DNS,135,1031 등과 같은 특정 포트에 오면 기본적으로 서버가 hang up 된다 (CPU가 100%). SP3에서 이 문제들을 해결했지만, 더 많은 비슷한 취약점들이 항상 도사리고 있다.

인터넷 방화벽/ 인터넷 서버로서의 NT

NT는 필터에 의해 보호되고 매우 신중하게 설치되는 경우에만 인터넷 서버로서 적당하다. 방화벽 장도 참고한다:

NT 방화벽은 반드시 독립서버이고 (도메인의 일부가 아닌) 아무도 트러스트하지 않도록 한다!
WWW 서버:
- 내부와 외부 WWW 서버를 같은 시스템에 섞지 않는다.
- WWW 서버는 별도의 도메인이나 독립서버로 운영한다.
- WWW 서비스는 시스템 상의 다른 파일에는 접근권한이 없는 전용 사용자 아래서 돌아가도록 한다.
- .BAT 파일을 피하고, 절대 FAT 파일 시스템을 쓰지말고 NTFS만 사용한다.
- PERL 같은 해석기(interpreters)를 cgi-bin 디렉토리에 넣어 두지 않는다.
인터넷으로부터의 공격을 어렵게 하고 관리자로의 공격을 더욱 어렵게 할 수 있도록 "네트웍으로부터 접근" 권한의 폐지를 고려한다.
IIS 와 NT4를 위한 Microsoft의 체크리스트를 읽어 본다 www.microsoft.com/security/products/iis/CheckList.asp
서비스의 최대치를 없애거나, 시작값을 "manual"로 설정한다. 가능하면 disable 한다: NetBIOS, 컴퓨터 브라우저, 네트웍 감시 도구, 원격접속, RPC (어려움), Alerter, 메신저.
한 번에 하나씩만 disable 하고 그 결과를 관찰한다. RPC는 disable 하지 못한다는 걸 발견하게 될 수도 있다. 그러면 적어도 NT 서버의 방화벽 필터에서는 RPC가 확실히 차단되도록 한다.
인터넷 인터페이스에서 Netbios over TCP/IP를 disable한다 ( *정말* 인터넷을 통해 NT 공유를 공개하려는 것이 아니면). 로컬에서의 공유를 위해서는 NetBEUI를 사용한다 (그러나 이것도 역시 피한다).
관리자 계정 (administrator)를 뭔가 평범하지 않은 이름으로 바꿀 것을 고려한다 (저자는 그러나 이에 대한 확신은 없다)
Nt 서버와 인터넷 사이에 필터를 설치하고 필요한 포트들만 통과되도록 한다(e.g. WWW 용 80, FTP 20/21). 특히 원격 관리를 위한 NBT(137,138,139)나 Netbios/RPC (111, 135)는 피하도록 한다.
NT4는 어떤 IP 주소가 어떤 TCP 포트, UDP 포트 또는 IP 프로토콜 번호에 접근할 수 있는지 규정하는 TCP/IP 필터가 커널 레벨에서 구성되는 것을 허용한다.
- 네트워크 등록정보 -> 프로토콜 -> TCP/IP -> IP 주소 -> 고급 -> 보안 사용 -> 구성을 참고한다. 그러나 사용하기는 어렵다.
- 내부 인터페이스를 구성하거나 외부 인터페이스에 접근을 제한(특히 UDP포트)하는 데 유용할 수 있다. 전화접속 인터페이스에는 작동하지 않는다.
- 그러나 한계가 있다: 모든 포트나 특정 포트를 허용할 수 있고,특정포트를 거부할 수 있다.
NT4/SP3 는 또한 레지스트리에 저장된 사용자 패스워드가 (대부분 알기 어려운 형태로만 있는) 암호화될 수 있도록 해준다. KB Q143475 와 syskey.exe를 참고한다. 이것은 레지스트리에서 구할 수 있는 항목들에 대한 크래킹을 훨씬 어렵게 만들지만, 신중한 구현이 필요하다.
SNMP를 사용하지 않는디.
최근의 CERT & MS권고문에 방문하여 enable한 서비스에 대한 취약점/fix들을 확인한다.

NT 워크스테이션

global Admin 그룹이 local Admin 그룹의 부분이 되도록 한다 (net localgroup Administrators).
트로이 목마를 피한다: 사용자는 항상 CTL-ALT-DEL 를 사용하여 logon/logoff/화면 잠금을 해야 한다.
Power user가 로컬 사용자를 생성하도록 허용하지 않는다 -> musmgr.exe 허가를 이에 맞게 설정한다 (cacls musmgr.exe /E /R Everyone).
게스트 계정을 사용안함으로 한다 (net user Guest /active:no).
사용자 프로파일을 사용한다: 프로그램 관리자의 기능을 제한한다 [1]
제어판을 제한한다 [2]
가능하다면 MS-DOS 프롬프트를 제거한다 (cacls cmd.exe /E /R Everyone).
플로피 디스크 접근 제한을 고려한다: NT 플로피 잠금을 사용한다 [3]. (주의: 성공적으로 테스트되진 않았다)
regedt32.exe를 제거하고, 네트웍으로부터 레지스트리를 구성하거나, 관리자만 실행할 수 있도록 한다 (cacls regedt32.exe /E /R Everyone)
*.inf 를 customize 한다 [4].
워크그룹을 사용하지 않는다.

책임 추적성(Accountability)

식별 / 인증

NT는 사용자 식별/인증 및 인가를 위해 한 가지 메카니즘만을 제공한다: Lan Manager 3 (peer to peer 나 도메인 구성으로).

NIS, NIS+, FNS 나 Kerberos는 직접적으로 지원되지는 않지만, 이들 중 일부는 제삼자로부터 구할 수 있다. 이를 위해 "GINA" DLL을 대신 사용할 수 있다. 그러나 만약 이에 접근하고자 하는 두 가지 프로그램을 사용하려고 하면 Gina는 깨질 것이다.
NT는 트로이 목마를 피하기 위해 안전한 로그온 시퀀스를 제공한다. 사용자는 로그온, 로그오프하거나 화면을 잠그려면 CTL-ALT-DEL를 눌러야 한다. 이것은 매우 쓸모있는 기능이며 사용자들은 이에 익숙해지고 자리를 비울 때 이를 사용하여 화면을 잠그도록 훈련받아야 한다. 저자는 시퀀스가 얼마나 안전한 지 모르겠다, 왜냐하면 PC Anywhere 같은 프로그램에서 원격으로 전송될 수 있기 때문이다.
클라이언트가 Lan Manager 2 나 마이크로소프트 클라이언트라면 (Win95, NT) 패스워드는 암호화되어 네트웍으로 전송되며, 그렇지 않은 경우는 평문으로 전송된다 (e.g. 오래된 삼바나 윈도우 버전). 암호화 알고리듬은 challenge response 와 해싱을 기반으로 한다. 평문과 암호화된 패스워드가 모두 지원된다는 사실이, 공격자는 서버가 평문 패스워드를 요청하도록 꾀하고, 그다음에 네트웍 상에서 스니프하는 공격을 허용할 수도 있다.

NT 도메인 / Lan Manager 3.0

Lan Manager는 사용자이름으로 주체를 식별하고 패스워드의 입력을 통해 인증한다.

"정책" 장도 참고한다.

계정 정책은 다음과 같은 디폴트 값을 가진다: 세션이 40분간 휴지상태이면 강제로 로그오프한다, 패스워드는 최소 6글자이고 최소 사용기간 14일에 매달 변경되어야 한다. 최근 사용한 3개의 패스워드들은 중복되지 않아야 하고, 리셋 카운트는 20분이며 60분간 잠긴다 (패스워드가 3번 잘못 입력됐을 때)
다음과 같이 정책을 설정할 것을 제안한다 : 세션이 1000분 동안 휴지상태이면 강제로 로그오프, 패스워드는 최소 6글자, 3개월에 한번씩 변경, 최소 사용기간 3일. 최근 5개의 패스워드까지 유일하도록. 5번의 잘못된 로그인까지 허용, 12시간동안 잠금, 리셋카운트 12시간. 불행히도 모든 파라미터들이 명령줄에서 설정될 수 있지는 않지만, 어쨌든 여기 예가 있다:
net accounts /forcelogoff:1000 /minpwlen:6 /maxpwage:90 /minpwage:3 /uniquepw:5 /domain
net accounts /sync
현재의 설정을 보려면,
net accounts /domain.

관리자 계정(Administrator) 이름을 바꾸는 것에 대해 고려해 본다. 관리자 패스워드를 보호하고 (잠겨진 금고안에 보관), 정기적으로 패스워드를 변경한다. Domain Users 그룹에서 Administrator 를 삭제한다.
각 관리자에 대해 특별한 계정을 생성하여 필요한 권한을 준다. 관리자들이 관리 기능을 수행하지 않을 때는 자기의 개인 계정을 사용하도록 훈련시킨다.
사용자가 로그인하기 전에 법적 공지를 표시한다: (c2config.exe를 이용해서 또는 HKEY_LOCAL_MACHINE Software\Microsoft\WindowsNT\CurrentVersion\Winlogon: LegalNoticeCaption, LegalNoticeText를 통해).
자동 로그온은 사용하지 못하도록 해야 한다 (디폴트임): c2config.exe를 이용 또는 HKEY_LOCAL_MACHINE Software\Microsoft\WindowsNT\CurrentVersion\Winlogon, AutoAdminLogon가 존재하지 않도록 하거나 REG_SZ : 0 이 되도록 하여. 마찬가지로 DefaultPassword도 없어야 한다.
net session명령어를 사용하여 서버에 연결하는 사용자들을 볼 수 있다.
사용자가 로그온할 수 있는 워크스테이션을 제한한다.
로그온 시간을 불필요하게 제한하지 말고, 민감한 시스템에 대해서는 사용자들에 대해 로그인 시간 제한을 고려한다: net user USER_NAME /times:Monday-Friday,06-19.
NT4/SP3 에서는, PDC와 BDC에서 패스워드 필터를 적용하는 것이 가능하다 (패스워드의 강도를 증가시키기 위해). 구현되어 있는 정책은: 최소 6글자로, 다음 중 적어도 3-4개 그룹 이상으로 이루어져야 한다: A-Z, a-z, 0-9 및 ".,;:*&%!+" 그리고 사용자이름을 포함해서는 안된다. Knowledge base 자료 Q151082.
다음의 레지스트리 항목이 필요하다:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: Notification Packages
Type: REG_MULTI_SZ
Data: Passfilt.dll

SMB 패스워드 교환은 NT4에 SP3가 설치되어 있을 경우 평문 패스워드를 거부하도록 설정되어 있다. 이것은 보안 관점에서 보면 좋지만, 이렇게 하면 SAMBA 같은 다른 SMB 서버로의 접근을 거부하게될 수도 있다. KB Q166730 도 한번 참고하기 바란다. 좋은 해법은 "통과(pass through)"를 지원하는 버전으로 Samba를 업그레이드 하는 것이다.

게스트 계정

게스트 계정이 필요하면, 패스워드를 부여한다.
게스트 계정을 사용하지 않는다 (미지의 사용자로부터 원격 레지스트리 및 공유 악용을 방지):
net user Guest /active:no /passwordreq:yes
게스트의 서버 콘솔 로그온을 허용하지 않는다. 로컬에서 로그온 권한을 뺏는다.
게스트 계정은 게스트 그룹에만 속해야 한다, 즉 Administrators나 Domain Users 그룹에 속하면 안된다!
현재 도메인 밖의 (그리고 트러스트가 없는) 컴퓨터들과 프린터나 파일들을 공유하려면,게스트 계정을 패스워드 없이 사용하거나, 자원에 접근하고자 하는 사람 모두가 알고 있는 패스워드가 있어야 한다. 만약 이것이 필요하다면 everyone 읽기 및 쓰기 접근은 절대적으로 필요하지 않은 이상 자원 & 파일로부터 제거되어야 한다 ("파일시스템" 부분 참조). 게스트 접근은 특정한 시스템 목록으로만 제한되어야 한다:
net user Guest /active:yes /passwordreq:no /workstation:host1,host2
NT4/SP3 에서, 기본적으로 익명의 사용자를 제외한 모두를 포함하는 새로운 "Authenticated Users" 그룹에 의해, 레지스트리로의 익명(anonymous) 접근이 금지된다.

임시 사용자

계정이 특정한 날짜에 만료되도록 구성해야 한다.
net users USER_NAME /expires:30/12/96 /domain
계정을 특정 워크스테이션에서만 사용할 수 있어야 한다.
net users USER_NAME /workstations:computer1,computer2,computer3

사용자 그룹

누가 시스템의 어떤 부분을 관리하는지 신중하게 고려한다.
NT 그룹은 "사용자 그룹 (User Groups)"을 사용하여 책임을 분리한다. 로컬 그룹과 글로벌 그룹이 있다:

워크스테이션 상의 로컬 그룹은 그 워크스테이션으로만 제한된다 (net localgroup을 통해 확인).
도메인 내의 로컬 그룹들은 전체 도메인에서 볼 수 있다 (net localgroup 통해 확인). 이들은 자기가 속하는 도메인 내에서만 허가(permission)를 부여받는다. 로컬 그룹은 로컬 및 트러스트된 도메인의 사용자 및 글로벌 그룹들을 포함할 수 있으나 다른 로컬 그룹은 포함할 수 없다.
도메인 내의 글로벌 그룹은 그 도메인과 그도메인을 트러스트하는 모든 도메인에서 보인다 (net group /domain 통해). 글로벌 그룹들은 자기 도메인의 멤버들(로컬그룹이 아닌 사용자들)만 포함할 수 있다.

디폴트로, NT는 다음 그룹들로 직무를 나눈다:

직무	NT 워크스테이션 그룹	NT 서버 그룹
고급 시스템 관리자	Administrators	Administrators
기본적 관리(디스크/공유)	Power Users	Server operators
사용자 계정 생성/삭제	Power Users	Account operators
프린터 구성	Power Users	Print operators
시스템 백업/복원	Backup operators	Backup operators
모든 자용자	Everyone	Everyone
일반 사용자	Users	Users
게스트	Guests	Guests

새로운 그룹의 생성을 제안한다: 다음 "권한"절에 열거된 권한을가진, Security Administrators.

TBD: 글로벌 그룹들 및 이들과 위와의 관계 정의

권한

NT 는 사용자나 (되도록) 그룹의 속성이 될 수 있는 정의된 권한 목록을 가지고 있다. 권한은 사용자가 시스템 상에서 할 수 있도록 허가된 것을 가리킨다. E.g. 사용자가 "로컬에서 로그온" 권한을 가지고 있다면, 이 사용자는 시스템 콘솔에 로그인 하도록 허가된다. 어떤 권한들은 속성으로 될 수 없고, NT에 붙박아져 있다. 예를 들어, 관리자가 파일 시스템 및 프린터 공유는 할 수 있지만 다른 관리 기능은 수행하지 못하게 하고 싶다면, 쉽지 않다 (Operator 그룹에서 백업/복원/시스템 종료/시스템 시간 바꾸기 같은 권한을 제거하고 공유기능만으로 써야 한다).

가능하면 사용자가 아닌 그룹에게 권한을 부여한다.
소유권 가져오기 권한은 사용자나 운영자에게 주지 않도록 한다.
누가 복원 권한을 가지고 있는지에 대해 매우 신중해야 한다 - 어떤 파일이든지 덮어쓸 수 있다.
누가 백업 권한을 가지고 있는지에 대해 매우 신중해야 한다 - 어떤 파일이든지 읽을 수 있다.
"고급 사용자 권한"은 조심해서 부여한다. 어떤 사용자들이 "고급 사용자 권한"을 가지고 있는 지에 대한 로그를 종이에 보관한다.

Bypass Traverse Checking: 이 권한을 사용 하지 않도록(disable) 되어 있으면 (사용자 관리자에서), 사용자가 프로그램을 실행할 수 있기 위해서는 그 디렉토리에 대한 list 허가를 가지고 있어야 한다.

다음 테이블에서는 어떤 권한이 어떤 (NT 서버 로컬) 그룹의 속성으로 지정할지를 권고한다. 새로운 그룹 Security admins의 추가에 유의한다. 기본 규칙은: 각 그룹에 필요한 최소 권한을 부여한다.

범례:
"Yes" => NT 디폴트, 이 값을 유지
"~~Yes~~" => NT 디폴트, 이 값을 제거
"New" => 이 값을 추가

				그룹
권한	Users	Security admins	Backup oper.	Administrators	Printer oper.	Account oper.	Server oper.
파일과 디렉토리 백업			Yes	Yes			~~Yes~~
파일과 디렉토리 복원			Yes	Yes			~~Yes~~
시스템 시간 변경				Yes			Yes
네트웍에서 이 컴퓨터 액세스	Yes*[5]	Yes^**	Yes^**	Yes	Yes^**	Yes^**	Yes^**
로컬 로그온		New	Yes	Yes	~~Yes~~	Yes	Yes
감사 및 보안 로그 관리		New		Yes
원격컴퓨터에서 강제로 시스템 종료				Yes			Yes
시스템 종료			~~Yes~~	Yes	~~Yes~~	~~Yes~~	Yes
도메인에 워크스테이션 추가				Yes		New	New
디바이스 드라이버를 읽어들이거나 메모리에서 제거				Yes
파일과 다른 객체의 소유권 가져오기				Yes

고정된 권한 (변경 불가능):
사용자 계정 생성 및 관리					Yes		Yes**[6]
글로벌 그룹 생성 및 관리				Yes		Yes^**
로컬 그룹 생성 및 관리	Yes[7]			Yes		Yes^**
사용자 권한 할당				Yes
서버 잠금				Yes			Yes
서버 잠금 무효화							Yes
서버의 하드디스크 포맷				Yes			Yes
공통 그룹 생성				Yes			Yes
로컬 프로파일 생성			Yes	Yes	Yes	Yes	Yes
디렉토리 공유 & 공유 중단				Yes			Yes
프린터 공유 & 공유 중단				Yes	Yes		Yes

고급 권한:
운영체제의 일부로 동작
Bypass traverse checking (TBD: test!!)	~~Yes~~	~~Yes~~	~~Yes~~	Yes	~~Yes~~	~~Yes~~	~~Yes~~
페이지파일 생성				Yes
토큰 객체 생성
영구 공유 객체 생성
디버그 프로그램				Yes
일반 보안감사		Yes
할당량 늘리기				Yes
스케쥴링 우선순위 높이기				Yes
메모리 내의 페이지 잠금
배치 작업으로서 로그온
서비스로서 로그온
펌웨어 환경변수 변경				Yes
프로파일 단일 프로세스				Yes
프로파일 시스템 성능		Yes		Yes
프로세스 레벨 토큰 대체

Everybody 로컬 그룹은 네트웍을 통한 로그온 및 서버 잠금 권한을 가지고 있다 (비록 실제로는 로컬 로그온 가능한 사람만이 할 수 있긴 하지만). Everybody 는 또 the Bypass traverse checking 권한도 가지고 있다.

Replicator 그룹은 서비스로서 로그온 권한을 가지고 있다.

사용자 프로파일 (NT 클라이언트만)

강제적 사용자 프로파일[8] (또는 사용자 로그인 프로파일)은 다음에 대한 사용자 접근을 제한하기 위해 사용될 수 있다: 프로그램 관리자 기능, 프로그램 그룹, 제어판, MS-DOS 프?프트 접근. 강제적 사용자 프로파일은 또한 모든 사용자를 위한 새로운 아이콘 그룹을 아주 쉽게 설치할 수 있도록 해주지만, 사용자는 데스크탑 색상, 레이아웃 등등의 어떠한 "개인 설정"도 할 수 없다. 프로파일 편집기(upedit.exe)를 사용하여 프로파일을 관리하고, 사용자 관리자는 프로파일을 특정 사용자의 속성으로 만든다.

아이콘/프로그램을 전담 관리자(하나라도 있다면)들에게로 제한하려면 강제적 사용자 프로파일을 사용한다.

사용자 환경 프로파일이 특별한 보안 혜택은 전혀 주지 않지만, 이동 사용자들은 어디서나 동일한 인터페이스를 볼 수 있다. 프로파일 파일(*.usr)은 반드시 공유 디렉토리에 저장되어야 한다.

도메인 콘트롤러

가용성을 보장하기 위해 백업 도메인 콘트롤러를 설치한다. 사용자 프로파일과 로그온 스크립트가 PDC에 있다면, 각 BDC로 복제한다.
PDC는 잠겨진 서버실에 설치한다.

로그온 스크립트

NT 3.51: 로그인 스크립트가 너무 일찍 끝나는 경우, 사용자 프로파일 편집기에서 디폴트 사용자 프로파일의 프로그램 관리자를 시작하기 전에 로그온 스크립트가 끝날때까지 기다리기 옵션을 활성화한다
로그온 스크립트(root\system32\Repl\Import\Scripts)는 모든 사람이 공유하므로(NETLOGON$ 로), 누구나 스크립트를 읽을 수 있다. 로그온 스크립트에는 어떠한 기밀 정보도 들어 있지 않도록 주의한다 (e.g. 패스워드)!
NETLOGON$은 everyone에게 읽기 전용으로 공유되어야 한다 (즉 쓰기 권한이 없어야 한다).

로그온 스크립트는 다음과 같은 용도로 쓰일 수 있다:

시간 동기화 도구(NTP같은)가 없을 때 시스템 시간 설정. e.g. PDC 시간으로 시간 설정: net time \\server1 /set /yes or net time /domain /set
표준 공유 설정 (사용자 실수를 피하기 위해 표준 공유는 중요).
최신 바이러스 검사 소프트웨어가 아직 설치되지 않았으면 설치, 아니면 갱신[9]
부트 프로세스의 일부가 아닌 경우 바이러스 검사기 실행.
사용자가 조작한 흔적을 없애기 위해 특정 파일을 다운로드.
로그인 스크립트에서 다음 환경 변수를 사용할 수 있다: %HOMEDRIVE%, %HOMEPATH%, %HOMESHARE%, %OS%, %PROCESSOR%, %USERDOMAIN%, %USERNAME%. 다른 변수들은 set 명령어를 입력하면 볼 수 있다.
사용자의 로그인 스크립트에서 사용자를 위한 메시지 별명(alias)이 설정될 수 있다. E.g. net name john /add. 이것은 john의 워크스케이션에서 실행되어야만 한다.

Naming 서비스

DNS

네트웍 보안 장을 참고한다. 제어판->네트워크k->TCP/IP->DNS에서 설정할 경우 DNS는 Netbios 이름을 IP 주소로 변환하는 데도 쓰일 수 있다.

DHCP

DHCP의 일반적인 논의에 대해서는 네트웍 보안 장을 참고한다. DHCP는 기본적으로 클라이언트가 부팅해서 네트웍 상의 DHCP 서버에게 네트웍 구성 파일을 요청할 수 있게 해준다. 클라이언트는 자기의 MAC 주소를 보내고 서버는 이를 이용해서 필요한 경우 시스템을 유일하게 식별한다.

DHCP가 올바르게 작동하려면 WINS가 운영되고 있어야 할 것이다.
NT에서 제공되는 DHCP는 클라이언트에 대해 다음 파라미터들을 설정할 수 있게 되어 있어, 고도로 자동화된 클라이언트 설치를 가능하게 한다: IP 주소, 클라이언트 이름, 디폴트 라우터, DNS 서버, 도메인 이름 및 WINS 구성.

WINS

WINS는 고도로 자동화된 동적 데이타베이스를 사용하여 Netbios 이름을 IP 주소로 풀어준다. 이것은 LMHOSTS 파일의 필요를 줄인다. 구성은 "NT 서버 TCP/IP" 3.5, 5장 (105 페이지)을 참고한다. net start wins or net stop wins를 써서 서버에서 WINS를 시작/중지할 수 있다. WINS 관리 도구는winsadmn이다.

표준 로깅(standard logging)을 사용한다.
데이타베이스 백업 경로가 로컬 디렉토리 안에 있도록 지정하고 종료시 백업을 선택한다.
중요한 서버들에 대해서는 정적(static) 매핑을 지정한다.
정적 매핑이 필요한 경우, 레지스트리 파라미터 \SYSTEM\CurrentControlSet\Services\Wins\Paramaters\Datafiles에 파일 목록을 설정함으로써 시동시 데이타베이스를 초기화 하는 데 사용되는 로컬 파일에 정적 매핑을 보관할 수 있다.

IP Naming 서비스 파일

TCP/IP 는 IP 주소(hosts), 네트웍 이름 (networks), 프로토콜(protocols) 및 서비스 (services)를 알아내기 위해 DNS 레코드 뿐만 아니라 평범한 ASCII 파일도 읽는다(디폴트로 root\winnt\system32\drivers\etc에 있음). 이 데이타는 레지스트리에 보관되지 않는다.

이 파일들을 사용한다면, 변경하기 전에 백업을 만든다. 모든 서버들 간에 이 파일들을 동기화 할 것을 고려한다.

시스템 로그 & 감시

정기적으로 로그를 검사하는 시스템 관리자라면 시스템 기능에 대해 많은 것을 배울 것이고, 감소된 다운시간을을 보장할 수 있는 동시에 보안 침해 발생 시 이를 발견해야 한다. 로그를 감시하는 일은 지루한 일로 여겨져서는 안되며, 시스템의 내부를 이해할 수 있는 기회로 여겨져야 한다!

NT 이벤트 로그는 대부분의 어플리케이션에 대한 로그를 세개의 로그로 모은다: 보안 로그 (다음 "감사"절에서 다룬다), 시스템 및 어플리케이션 로그. 그러나 여러 시스템들에 대한 로그들은 모아지지 않는다 (불행히도). 이 로그들은 root\WINNT35\system32\config 에 있으며 GUI eventvwr 나 명령줄 유틸리티 dumpel를 통해 볼 수 있다.

보안 로그 secevent.evt는 보안 관리자만 볼 수 있도록 제한되어야 한다.
최대 크기가 지정되어야 한다 (예를 들면 100 MB).
이벤트 로그가 차기 시작하면, "7일이 지난 이벤트는 덮어쓰도록" 구성될 수 있다 (이것은 최소한 매주 전체 백업이 이루어지는 것을 가정한 것이다). 이벤트 보기->로그->로그 설정을 참고한다.
로그가 다 차면 시스템이 다운되는 것을 피하기 위해서는 c2config.exe를 이용하거나 레지스트리 플래그 \System\CurrentControlSet\Control\Lsa\CrashOnAuditFail을 설정한다.
등급 시스템들에 대해서는, 로그를 WORM이나 프린터에 쓰는 것을 고려해 본다. 공격당하는 동안 로그가 지워지지 않게 하는 유일한 방법이다. 로그가 저장된 디렉토리를 변경하려면, 레지스트리 항목 중 \System\CurrentControlSet\Services\EventLog\Security 를 바꾼다.
자동 분석을 하려면, 아마 맞춤 스크립트를 작성해야 할 것이다 (로그 읽기/쓰기 함수가 내장되어 있는 perl5를 사용). 다음 Perl 스크립트는 1996년 5월 4일의 이벤트를 보여줄 것이다:

dumpel -l security | perl -ne "if (/04\/05\/96/) {print ;}"
dumpel -l system | perl -ne "if (/04\/05\/96/) {print ;}"
dumpel -l application | perl -ne "if (/04\/05\/96/) {print ;}"

매일 로그 분석을 위한 더 복잡한 Perl 스크립트는 부록 D에 있다. 한가지 예는 세 개의 로그들 중 흥미있는 항목들을 보고하고 SMTP 이메일을 통해 관리자에게 보내는 (postmail 유틸리티를 사용하여) dumplog.cmd 이다. 매일 밤 스케쥴러에서 (먼저 스케쥴러가 구동되어야 한다, 제어판->서비스->스케쥴러 참조) dumplog 유틸리티를 수행해야 한다:
at 23:50 /EVERY:m,t,w,th,f,S,su c:\util\security\dumplog
다음 명령어들로부터 시스템 사용에 관한 기본 통계를 얻을 수 있다. 이들은 자동으로 관리자에게 이를 이메일로 보내는 주간 또는 월간 모니터링 스크립트에서 사용될 수 있다.
net statistics server
net statistics workstation
net share
net file
net view \\COMPUTER_NAME
net session \\COMPUTER_NAME

성능 모니터

NT는 시스템 사용에 관해 아주 많은 통계를 모은다. perfmon GUI를 이용해 이 통계자료를 정기적으로 모니터하면 이상한 시스템 행동을 감지하는데 도움이 될 수 있다. 미리 정의된 임계값에 다다르면 경고를 발생하도록 설정할 수 있다. 다음 팁은 빙산의 일각일 뿐이다!

디스크 성능 모니터를 시작하려면 (즉 성능 미터에서 논리 디스크 객체), diskperf -Y를 입력하고 재부팅한다.
디스크 성능이 아마 10%정도 감소할 것이므로, 부하가 많은 서버에서는 이따금씩 성능 모니터를 사용하여 병목구간을 알아내는 것이 더 나을 것이다.
선택된 이벤트들을 로그할 수 있다. 또한 전체 로그 파일의 부분집합만으로 sublog를 생성할 수도 있다.
큰 로그파일에서 탐색을 쉽게 하기 위해 책갈피(bookmarks)를 사용할 수도 있다.
서버 성능:
- 초당 메모리/페이지 오류를 관찰하여 한계점을 기록하고 이 한계점 + 10%에 대해 경고를 설정한다.
- 페이지파일 크기는 이 값보다 커야 한다.
- 프로세서/퍼센트 CPU가 100% 보다 작으면, 시스템은 CPU에 구속되지 않은 것이며 프로세스를 추가하더라도 성능에 도움이 안된다!
- 프로세스 객체 Working Set은 어떤 어플리케이션이 메모리를 잡아먹고 있는 지 알아내는 데 도움이 될 수 있다.
워크스테이샨 성능: 위의 서버와 마찬가지이며, 여기에 working set 크기 모니터를 더한다.

감사

NT는 꽤 괜찮은 감사 기능을 제공한다 (예를들자면 대부분의 유닉스 시스템과 비교했을 때). 사용자마다 객체들(파일, 디렉토리, 프린터 등등)에 대한 선택적 감사가 가능하다. 그러나, 높은 수준의 "큰 그림" 감사 도구가 부족하다.

c2config.exe 유틸리티를 사용하여 서버들에 대해 빠른 (그리고 간단한) 일회성 감사를 수행할 수 있다.
DumpAcl 유틸리티는 시스템 구성에 대한 일회성 감사에 유용하다 (도구 절 참조).
Regsnap 은 레지스트리 변경과 시스템 파일을 감시하는 데 유용하다.
TBD: 시스템 무결성 검사를 위한 Perl 스크립트 (DumpAcl을 써서)
NT의 복구나 reload는 로그되지 않는다. 제어판 설정, 이벤트 로그 설정도 마찬가지다.
Action들을 숨기기 위해 로그가 지워질 수 있다 ==> 자주 archive 한다.
집중적인 로깅은 성능을 저하시킨다.

이벤트 감사와 보안 로그

"사용자 관리자->정책->감사"에서 데이타 민감도에 따라 다음 감사를 활성화 한다 [10]:

사용허가(Permission)	등급		등급
	성공	실패	성공	실패
로그온/로그오프	X	X	X	X
파일 및 객체 접근				X
사용자 권한 사용		X		X
사용자 및 그룹 관리		X	X	X
보안 정책 변경		X	X	X
시스템 재시작, 종료		X	X	X
프로세스 추적				X

파일 감사

특정 중요한 파일들에 대한 접근은 감사를 활성화 해야 한다 ("파일관리자->보안->감사"). 두가지 유형의 파일들에 대해 접근 감사가 약간 다르게 주어진다.
Type 1: root\winnt35\system32\config\secent.evt, registry key files, regedt32.exe
Type 2: root\winnt35\ntsetup\config.sys, logon scripts, root, winnt35, system32.

사용허가(Permission)	Type 1		Type 2
	성공	실패	성공	실패
읽기		X		X
쓰기	X	X		X
실행	X	X		X
삭제	X	X		X
소유권 변경	X	X		X
소유권 가져오기	X	X		X

레지스트리 감사

레지스트리는 NT에게 매우 중요하며 시스템의 손상을 방지하기 위해 반드시 보호되어야만 한다. 이것은 파일시스템 트리처럼 조직되고 사용허가/감사 속성은 NTFS 파일에서처럼 잎새(leaf)마다 설정될 수 있다 (regedt32.exe를 참조). 모든 접근에 대한 로깅은 거대한 로그를 발생시키겠지만, 특별한 키들에 대한 선택적 감사는 유용할 수 있다. 보안 침해가 의심되지만 확신이 없을 때 레지스트리 감사를 활성화할 수 있다.

레지스트리 키에 대한 다음 action들의 성공이나 실패를 감사할 수 있다:
Query Value, Set Value, Create Subkey, Enumerate Subkeys, Notify, Create Link,
Delete, Write DAC, Read Control
다른 전략은 로그 항목을 최소화하기 위해 그냥 레지스트리 파일들에 대한 접근을 감사하는 것이다 (위 참조).

네트웍 연결 감사

net session, net use 와 resource kit 네트웍 모니터로 연결을 감시할 수 있다 (e.g. 이상한 이름, 자원의 신규 및 예상치 못한 사용 등)

클립북 감사

클립북을 사용하는 어플리케이션을 위해 필요한 경우 사용할 수 있다(clipbrd.exe). 많은 로그 항목들을 생성할 수 있다.

네트웍 서비스 로깅

어떤 서비스들은 이들의 action들을 로그하도록 구성될 수 있다, e.g. ftp, RAS, PPP. 네트웍 구성요소 절을 참조한다.

프린터 감사

프린터 관리자->보안->감사에서 감사를 설정한다.

기밀 정보를 인쇄하는 프린터에서는 다음 이벤트들의 실패에 대한 감사를 설정해야 한다: 소유권 가져오기, 사용허가 변경, 삭제, 전체 통제 (Full Control).
선택적으로, 프린츠, 소유권 가져요기, 사용허가 변경, 삭제의 성공적인 사용도 감사할 수 있다.

접근통제

객체들은 두가지 다른 방식에 의해 보호된다, 자격/권한 (식별/인증 절에서 논의) 과 사용허가 (또는 접근 통제 목록, 다음 절에서 논의). 권한은 사용자 계정 등록정보와 사용자가 속하는 그룹을 통해 사용자의 속성으로 부여되며, 사용허가는 NT에서 관리하는 객체에게 할당된다. 다음 페이지에서는 NT 시스템의 주요 객체들에 대한 다양한 사용허가 메카니즘을 논의한다.

NT 레지스트리

레지스트리는 NT와 어플리케이션을 위한 구성 파라미터를 가지고 있는 데이타베이스로 여러 개의 논리적 트리로 갈라지며, 물리적으로는 %SystemRoot%\system32\config 파일에 저장된다:

시스템	HKEY_LOCAL_MACHINE\SYSTEM
소프트웨어	HKEY_LOCAL_MACHINE\software
디폴트
system.alt	backup copy of system hive
보안	HKEY_LOCAL_MACHINE\security
sam	HKEY_LOCAL_MACHINE\sam (security account manager)
사용자 정의
	HKEY_USERS
	HKEY_CLASSES_ROOT, HKEY_CURRENT_USER (현재 사용자에 대한 HKEY_USERS로의 포인터)
	HKEY_CURRENT_CONFIG (HKEY_LOCAL_MACHINE\System\CurrentControlSet으로의 포인터)

위의 각각과 관련되는 LOG 파일도 있으며, 이 파일에서는 변경사항들이 체크포인트 되기 전에 쓰여진다. 레지스트리는 regedt32.exe도구를 사용해서 직접 편집할 수도 있다.

TBD: 위에 열거된 실제 이진 레지스트리 파일에 대한 NTFS 파일 사용허가(permission)는 어떻게 돼야 하나?

레지스트리는 파일시스템 트리 구조로 되어 있으며 사용허가 속성은 NTFS 파일에서처럼 잎새마다 설정할 수 있다 (regedt32.exe를 참조). 이러한 사용허가는 어떤 사용자가 어떤 항목을 접근할 수 있는지 통제한다.

NT4/SP3는 익명 사용자에 대한 레지스트리 원격 공유를 막난다 (좋은 일).
SP3에서는 디폴트로, Administrators 만 원격 접근이 가능하다. 다음 항목을 사용하여 다른 사용자를 원격 접근 허용 목록에 추가할 수 있다: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winreg\Description (REG_SZ를 입력).
같은 위치에 있는 AllowedPaths 키는 없는 레지스트리 경로를 가질 수 있다.
NT4/SP3는 또한 레지스트리에 저장된 (대개는 단지 애매한 형태로만 있는) 사용자 패스워드들이 암호화되는 것을 허용한다. KB Q143475 와 syskey.exe를 참고한다. 이것은 레지스트리에 있는 항목들에 대한 크래킹을 훨씬 어렵게 하지만, 신중한 구현이 필요하다.
Resource kit은 scanreg를 제공하는데 이는 명령줄에서 레지스트리에 대한 문자열 검사를 가능하게 하며, 다양한 레지스트리 항목에 대해 설명하는 도움말 파일 RegEntry.hlp도 포함하고 있다.

화면 접근 통제

패스워드 보호를 사용하는 자동 화면 잠금이 (말하자면) 5분 후에 활성화되어야 한다. (제어판 --> 데스크탑).

스케쥴러 접근 통제

작업 스케쥴러 (at)는 작업을 던진 사용자가 아닌 시스템 계정(또는 어떤 계정이든 스케쥴러 서비스를 실행하는데 사용되는)의 보안환경내에서 돌아간다. 디폴트로 administrators 만이 at을 사용할 수 있다 (HKEY:LOCAL_MACHINE System\CurrentControlSet\Lsa\SubmitControl을 참조. 이 값이 0x00000001이면, System Operators 도 at을 사용할 수 있다). at에 대한 ACL은 없다.

at에 대한 다른 front-end들로는 winat (GUI) 과 soon이 있는데, 둘 다 resource kit에서 제공된다. Soon는 명령어를 "곧(soon)" 실행한다.

=> at 스케쥴러는 대규모의 중요 서버들을 관리하기에는 너무 원시적이다. 심지어 유닉스의 cron 유틸리티(결함이 없지 않은)에도 접근하지 못한다.

프린터 접근 통제

프린터 ACL은 프린터 관리자->보안->사용허가. 디폴트는:

Printer Operator, Server Operator, Administrator = Full Control
Creator Owner = Manage Documents
Everyone = Print

기밀 프린터에 대해, "Print" 사용허가가 선택적으로 설정될 수 있다.
디폴트로, 프린트 스풀 디렉토리는 root\system32\spool\printers 이다. 빈번하게 사용되는 프린터 서버는 root 디스크를 채울 수도 있다. 이를 피하기 위해 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers의 DefaultSpoolDirectory에 스풀 디렉토리의 전체 경로를 추가함으로써 디폴트 스풀 디렉토리를 변경할 수 있다.
프린터에 대한 접근은 다른 모든 객체들처럼 제한되어야 한다. 프린터 관리자-> 사용허가(사용권한) 참조.
트러스트 관계 없이는 도메인을 거쳐 프린터를 볼 수 없다.

클립북 접근 통제

클립보드/클립북 어플리케이션(clipbrd.exe)은 사용자가 어떤 페이지를 다른 사용자와 공유할 수 있게 해준다. 접근 통제 목록은 NTFS ACLs (객체 사용허가) 및 Lan Manager(공유허가)와 같다. 사용자 및 사용자 그룹에게 접근이 허가/철회될 수 있다.

Note: 필자는 사실, 사용자들이 파일 시스템 공유 없이 정보를 공유할 수 있다는 것 외에 이게 무슨 소용이 있는지 모르겠다.

파일시스템 접근 통제

파일시스템에 대한 접근통제 수준은 파일시스템 유형 (FAT, HPFS, DOS) 에 따라 그리고 공유되어 있는지(그리고 공유 허가가 어떻게 되어 있는지)에 따라 다르다.

가능한 곳에서는 NTFS 를 사용한다 (FAT이나 HPFS 사용을 피한다).
모든 파일시스템에 대해 NTFS를 사용한다.
NTFS 파일/디렉토리들은 다음 사용허가를 가질 수 있다: 접근 불가 (N), 읽기 (R), 쓰기 (W), 실행 (X), 삭제 (D), 사용허가 변경 (P), 사용권 가져오기 (O) 그리고 모두.
- 특정 파일/디렉토리에 대한 개별 사용허가의 조합이 어떤 수의 사용자나 그룹에든 주어질 수 있다. 이러한 사용자/그룹 + 사용허가의 목록들을 ACLs(접근 통제 목록, Access Control Lists)라고 한다. 명령줄 유틸리티 cacls 나 파일관리자를 사용하여 이러한 사용허가들을 보거나 변경할 수 있다.
- 파일들은 표준 사용허가 N, RX (읽기), RWXD (변경), All (모든 통제)을 가지고 있다.
- 디렉토리들은 위 파일들의 표준 사용허가 및 다음을 더 가지고 있다: RX(목록), WX (추가), RX (읽기 및 추가).
- 디폴트 사용허가는 부모 디렉토리로부터 물려받는다. 복사와 이동 명령은 사용허가에 대한 영향에 있어 매우 다르다는 것에 유의한다.
- 권고: administrators 이외에게 소유권 가져오기를 부여하지 말도록 한다. 전체접근(full-access)은 생성자-소유주(creator-owner)로만 제한한다. 파일에 대한 접근을 허가할 때 everyone은 쓰지 않도록 한다.
Alpha 하드웨어: Alpha 시스템들은 부트 펌웨어가 NTFS를 이해하지 못하므로 부트 파일시스템이 FAT 이어야만 한다. 보안 위험을 최소화 하기 위해, HAL.DLL와 OSLOADER.EXE를 확보할 작은 FAT 부트 파티션을 (1MB나 그 이상) 설치한다. 디스크의 나머지 부분은 NTFS로 파티션할 수 있다.
관리자만 플로피 드라이브 사용할 수 있도록 하는 것을 고려해 본다:
instsrv FloppyLocker d:\reskit35\floplock.exe
그리고 나서 제어판 -> 서비스 -> FloppyLock -> Startup을 연다: "System account"를 선택하고,
확인 후, 제어판을 닫고, 로그오프 후 일반 사용자로 로그온 한다.
다음은 새로 설치된 NT 3.51 서버에서 Everybody이 쓰기 가능한 파일과 디렉토리를 모두 나열한 것이다:

파일	사용허가	비고
C:\	RWXD	읽기만 가능으로 해야?
c:\users\default\	RWX	OK
c:\WINNT35\repair\	All	버그?
c:\WINNT35\system32\*.fts	RWX	버그?
c:\WINNT35\system32\PASSPORT.MID	All	버그?
c:\WINNT35\system32\config\default	All	버그?
c:\WINNT35\system32\config\default.LOG	All	버그?
c:\WINNT35\system32\config\SAM	All	버그?
c:\WINNT35\system32\config\SAM.LOG	All	버그?
c:\WINNT35\system32\config\SECURITY	All	버그?
c:\WINNT35\system32\config\SECURITY.LOG	All	버그?
c:\WINNT35\system32\config\software	All	버그?
c:\WINNT35\system32\config\software.LOG	All	버그?
c:\WINNT35\system32\config\system	All	버그?
c:\WINNT35\system32\config\SYSTEM.ALT	All	버그?
c:\WINNT35\system32\config\system.LOG	All	버그?
c:\WINNT35\system32\os2\dll\netapi.dll	All	버그?
c:\WINNT35\system32\ras\	RWXD	버그?
c:\WINNT35\system32\spool\drivers\w32x86\1\	All	버그?
c:\WINNT35\system32\wins\	All	버그?

Everybody 접근은 제한적이다, 그러나 충분히 엄격한가? 위 사항들이 정말로 필요한지에 대해 문서화할 필요가 있다 (취리히에 있는 Microsoft 지원부서는 자기들도 모른다고 했다!).
TBD: system32 항목들이 Everybody에게 읽기만 가능하도록 할 수 있는가? 복제(replication)가 설치됐을 때, 가져오기(Import) & 내보내기(Export) 디렉토리들도 Everybody에 대해 RXWD이지만, 읽기 전용으로도 충분하다.

사용자/데이타 디렉토리들에 대해 올바른 권한이 부여되어 있도록 확인하고, 특히 관리자들(administrators)만 root, WINNT, REGEDT32.EXE 및 SYSTEM32에 쓸 수 있도록 한다.
로그온 스크립트는 관리자(administrator)나 관련 사용자만 수정할 수 있도록 한다.
게스트는 CONTROL.EXE에 접근할 수 없어야 한다.
데이타와 시스템 디스크를 분리한다.
TBD: 트로이 목마? \winnt\notedpad.exe 는 everyone이 쓰기 가능하다.

안전한 시스템 시동

NT 서비스들은 최소 우선순위를 가지는 특정한 차단된 사용자 계정(즉 유닉스처럼)이 아닌 시스템 계정 하에서 운영되려는 경향이 있다. 이것은 시스템 서비스에서 버그가 발견될 경우 구멍을 개방할 수도 있다.

객체 재사용

N/A

안전한 데이타 교환 / 통신

NT는 다음의 네트웍 인터페이스/프로토콜을 사용한다:

Lan Manager 3.0 over TCP/IP & NetBEUI.
Novell IPX/SPX (여기서 논의 안함)
Apple talk (여기서 논의 안함)
TCP/IP가 유일하게 라우트 가능한 프로토콜이고 따라서 NT에서 모든 WAN 링크에 대해 사용된다. 속도로 따지자면, IPX 가 보통 NetBEUI 보다 빠른데, NetBEUI는 보통 TCP/IP보다 빠르다.

특정한 TCP/IP 어플리케이션들(e.g. lpr, lpd, ftp, tftp, telnet, ftp, rcp, rsh, rexec, DNS 및 DHCP)과 Netbios 어플리케이션들(대부분의 다른 네트웍 어플리케이션) 이 NT에 들어 있지만, 다른 것들(NFS, NIS 같은)은 없다.

DCOM (distributed COM) 은 객체 통신을 위한 "corba 같은" 시스템이다. dcomcnfg을 수행하여 자신의 시스템에서 어떻게 구성되어 있는지 확인해 본다. 인증, 사용허가 등등은 이 GUI로부터 설정될 수 있다. DCOM은 필시 열려지기만 기다리고 있는 한통 가득한 벌레들(worms)일 것이다 (I must try and find time!).

네트웍 통신 상대방 인증

NT는 Lan Manager를 사용하여 상대방을 인증한다. 사용자 식별 절도 참고한다.

트러스트(NT3.5, NT4)

Lan Manager 도메인은 계층 구조가 아니며 Microsoft에서는 도메인 당 최대 5'000 사용자까지 만을 권고한다. 도메인들 간에 트러스트를 설정하여 한 도메인의 사용자들이 다른 도메인에 로그온 할 수 있게 하여, 효과적으로 도메인 크기를 늘릴 수 있다. 트러스트는 전이되지 않는다, 따라서 만약 A가 B를 트러스트하고 B가 C를 트러스트 한다고 해도, 이것은 A가 C를 트러스트한다는 것을 의미하지 않는다. 트러스트는 한방향 또는 양방향 모두로 설정될 수 있다. 각 트러스트는 패스워드로 보호된다. 트러스트 하는 (trusting) 도메인들은 트러스트 받는(trusted) 도메인으로부터의 사용자들에게 다시 인증을 요구하지 않고 받아들인다.

도메인들은 사용자 수, 마스터 및 도메인들간의 독립성에 따라 여러가지 방법으로 설정될 수 있다. 상세한 논의는 [nt4]에서 찾을 수 있다. 일반적으로 네가지 모델이 있다:

단일 도메인
마스터 도메인: 모든 (자원) 도메인들은 하나의 마스터 도메인을 트러스트한다. 이것은 관리하기가 꽤 쉽다.
다중 마스터 도메인: 가능한 사용자 수를 늘리기 위해, 서로서로 완전히 "트러스트"하는(즉 양방향으로) 여러 개의 "마스터" 도메인들을 설치할 수 있다. 자원 도메인들은 각 마스터들을 모두 트러스트한다 (하지만 반대로는 아니다)
완전한 트러스트: 모든 도메인들이 서로를 트러스트 한다. 이것은 복잡하고, 실수하기 쉬우며 관리하기가 어렵다.

일반적으로 자원 도메인들은 로그온 도메인으로의 단방향 트러스트를 가진다 (로그온 도메인들은 자원 도메인을 트러스트할 필요가 없다).

트러스트 받는 도메인의 관리자(administrator)는 트러스트 하는 도메인의 모든 사용자 계정과 상세정보를 볼 수 있지만 변경할 수는 없다. 열려있거나 취약하게 구성된 계정들을 발견하는 데는 보는 것만으로도 충분하다. TBD: NT4 및 이후 버전에 대해 확인.
트러스트는 어느 쪽 도메인에서든 중단할 수 있지만, 시스템이 재부팅될 때 까지는 실제로 트러스트가 끊어지지 않는다. TBD: NT4 및 이후 버전에 대해 확인.
해당 관리자들(administrators)이 서로를 신뢰할 때에만 도메인들이 서로 트러스트해야 한다!
대규모 조직에서는, 양방향 트러스트 수가 최소화되고 관리가 보다 단순하므로, 완전한 트러스트 모델과 대립되는 (다중) 마스터 도메인 개념을 사용한다
트러스트는 되도록 사용하지 않도록 하고, 덜 안전한 도메인에 대해서는 절대 사용하지 않는다.

네트웍 데이타 무결성

사용되느 네트웍 프로토콜에 따라 보장된다.

네트웍 데이타 기밀성

Win95/NT 클라이언트들에서는 Lan Manager 인증받는 동안 패스워드가 평문으로 보내지지 않는다. Window 3나 유닉스의 samba V2 이전과 같은 더 오래된 LM 버전들은 패스워드를 평문으로 보낸다 (ftp와 telnet 처럼).

NT4 에서는 어플리케이션이 암호화를 하거나 전자적으로 서명할 수 있도록 해주는 암호 API가 제공된다(CryptoAPI). www.microsoft.com/intdev/security/cryptapi.htm도 참조한다. 암호 작용은 CSPs(Cryptographic Service Providers)라고 알려진 모듈에 의해 수행된다. NT 4.0은 한개의 CSP(Microsoft RSA Base Provider)를 번들로 제공한다. 이는 굉장히 흥미로운 사실인데, 이것은 API를 따르는 다른 암호 도구들의 삽입을 허용해야 하지만, 이 CSP들은 Microsoft의 서명을 받아야 하고 수출 규제를 따르지 않으면 서명을 받지 못할 것이기 때문이다.

=> 이론적으로, 이것은 유럽사람들이 미국의 암호 제품 수출정책의 방해를 받지 않고 강력한 암호 루틴을 삽입할 수 있게 허용한다 (국제 PGP 버전에서 사용되는 것처럼).
=> 실제로는, CryptoAPI는 유럽에서는 제한된다.

송 / 수신 부인 방지

직접적으로 지원되지는 않는다.

네트웍 접근 통제

RPC

RPC는 접근 통제나 인증 방법은 거의 없다, 이것은 응용계층에서 일어나야 한다. RPC는 NT 시스템 도구들에서 집중적으로 사용된다. 사실, 방화벽으로 쓰기 위해 NT를 강화하려 할 때, RPC를 제거하는 것이 거의 불가능하다.

원격 구성 / 접근

몇 가지 유틸리티들이 시스템의 원격 구성을 가능하게 한다: 레지스트리 편집기, 사용자 관리자, 서버 관리자, 이벤트 표시기 등등. 도메인에서 사용자 접근 권한을 제거하든지 모든 사용자에 대해 "네트웍을 통해 이 컴퓨터레 접근" 권한을 사용 못하게 하는 것 외에는 원격 접근을 막는 어떤 방법도 없어보인다.
도메인 관리자를 신뢰하지 못한다면, 도메인에 로그인하지 말고 그냥 로컬로만 로그인하여 개별 자원에 대한 인증을 받는다, 아니면 Domain Admins 가 Local Admin 그룹에 추가될 것이므로 모든 접근을 가지게 된다. 도메인에 로그온하는 한 가지 이유가 패스워드를 변경하는 것인데, 이것은 이제 Alexander Frink가 만든 도구 wwwthep.physik.uni-mainz.de/~frink/nt.html 덕분에 도메인에 로그인 하지 않고도 가능하게 되었다.

NT 파일 공유

NTFS는 파일과 디렉토리에 대해 ACL 이 설정될 수 있게 한다. 이 ACL들은 사용자들과 그룹들을 포함할 수 있다. 그러면 Lan Manager는 이 디렉토리들을 export 할 수 있다. Exporting할 때, NT에서는 공유 ACL을 더 설정하여 어떤 사용자들이 어떤 모드로 (접근 금지, 읽기, 변경, 모든 권한) 공유된 디렉토리를 마운트할 수 있는지 규정할 수 있게 한다.

Note: 호스트 이름은 공유 ACL에 포함되지 않는다. 즉 특정 호스트들에게 공유시키는 것은 불가능하다. net use 와 net share 는 각각 디렉토리를 마운트하고 공유하는 데 쓰이는 명령어들이다. E.g. 디렉토리를 공유하려면: net share pubic=d:\ 또는 디렉토리를 마운트하려면: net use x: \\SERVER\MYDIR. 서버상에서 공유된 파일들을 감시하거나 닫는 데 net file 명령어를 사용할 수 있다.

NTFS 파일시스템만을 공유한다.(즉 FAT 나 HPFS는 말고). FAT 시스템은 자체적으로 사용허가 기능을 가지고 있지 않으므로, export 될 경우 전체 디렉토리 트리가 공유 사용허가에 따라 export 된다.
NT 시스템 파일들(이 있는 디스크)은 공유하지 말고, 데이타 디스크만 공유한다.
가능한한 읽기 전용으로, Everybody에게 읽기 허용, 특히(!) 쓰기 허용을 피해 각기 공유한다.
자기 홈 디렉토리에는 사용자만 쓰기 권한을 가져야 한다.
서버를 사용하여 WfW 3.11의 보안 파일인 wfwsys.cfg을 공유하려면, 널 세션 공유 (null session share) 가 필요하다. Set HKEY_LOCAL_MACHINE System\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionShares 를 설정하고 WfW 보안 파일의 공유 이름을 입력한다.
공유이름 끝에 "$"를 붙이면 호기심 많은 브라우저로부터 공유를 숨길 수 있다.
서버를 브라우저 목록에서 숨기고 놀고있는 연결을 자동으로 끊을 수 있다:
net config server /hidden:yes /autodisconnect:120

NFS

NFS는 NT에 포함되어 있지 않으나, 많은 3rd party 제품들이 있다. Intergraph에서 나온 NFS 서버 (Diskshare) 와 클라이언트 (PC-NFS for NT)를 간단히 테스트해 보았다 (Oct `95). 큰 파일들에는 좀 느리지만 (보통 NFS가 SMB보다 느리다) 안정적인 것 같고, NT GUI에 잘 통합된다. Chameleon 5.0도 1996년 3월에 간단히 테스트해 보았지만, 표준 NT GUI 유틸리티에 통합되지 않았다.

NFS를 사용하는 경우, 서버(유닉스)쪽에 pcnfsd가 안전하게 설치되도록 확인한다. "유닉스 보안" 장을 참조한다. NFS에게 높은 보안을 기대하지 말라.

RAS

RAS는 Netbios, NetBEUI, IPX, TCP/IP (PPP) 와 SNA를 지원하는 Microsof t의 전화접속 네트워킹 솔루션이다. 이것은 게이트웨이와 라우팅 기능이 있는 WAN을 생성하는 데 사용될 수 있고 "돌아다니는 직원"이 사내 네트웍에 접속할 수 있게 해주기 위해 사용될 수 있다. POTS Dial-in, ISDN 및 X.25 타입이 지원된다. RAS는 인터넷 접속을 가능케 하는데도 사용될 수 있다(!).

RAS는 기술적 문제점을 가지고 있어서 (특히 ISDN에), 대규모 사용자 그룹에는 적합하지 않다고 느낄 수도 있다.
일반적으로:

RAS 사용을 피한다 (통제를 거의 받지 않고 회사 네트웍을 확장할 수 있다).
RAS를 사용하지 않는다.

식별/인증:

RAS 패스워드는 Lan Manager 패스워드와 달라야 한다.
NT4/SP3: 민감한 데이타를 다루는 소규모 사용자 그룹에 대해 CHAP MD5 인증 지원의 사용을 고려한다. SP3 에서는, 레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\CHAP\MD5 에 키를 수작업으로 추가해야 한다.
되걸기(callback), 토큰 식별 메카니즘 (SecurID 같은) 또는 challenge response 시스템 등의 사용을 고려한다.

접근통제:

RAS 전용 서버를 사용한다. 사용자들에게 내부에서 RAS 서버로의 로그인을 허용하지 않는다. RAS서버에서는 자원을 사용하거나 공유하지 않는다.
클라이언트가 특정 호스트 주소를 요청하도록 허용하지 않는다 (IP spoofing 피하기).
필요할 때만 RAS를 활성화하는 것을 고려한다. E.g. at 스케쥴러와 net start remoteaccess 명령어를 사용하여 RAS응 하루의 특정 시간에 시작 (및 중단) 한다.
다이얼-인 서버로만 접속 가능하도록 하는 것을 고려한다 (전체 네트웍이 아닌).
들어오는 전화에 대해 "Preset to Call-back" 을 설정하고 다른 전화회선에서 전화를 되건다. (원격접속 관리다 Remote Access Admin -> 사용자 메뉴 Users menu -> 사용허가 Permissions -> 사용자 선택 -> 미리 설정 Preset To -> 사용자 전화번호 입력). 이것은 보안을 증대시키고 발신자의 (대개 집에 있는 직원) 전화요금을 감소시킨다.
30분 간의 휴지시간 이후 자동 단절되도록 한다. HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AutoDisconnect를 30으로 설정한다.

암호화:

가장 좋은 유형의 암호화와 교섭하기 위해 CHAP 을 사용한다: RC4, DES (Microsoft clients), SPAP (for Shiva) 또는 PAP (cleartext).
명문(clear text) 로그인 사용을 피한다.
IP 레벨이나 응용 레벨 암호화를 위해 제삼자 시스템 사용을 고려한다.

책임추적성 & 감사:

패스워드를 접화접속 스크립트에 코딩해 넣어두지 않는다 (클라이언트 측에서).
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\RasMan\PPP\Logging (마지막 자리)을 1로 설정, root\system32\ras\ppp.log으로 PPP 로깅이 되게 한다.
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\RasMan\Parameters\Logging을 1로 설정, root\system32\device.log로 RAS 로깅이 되게 한다.
RAS 로그를 정기적으로 모니터한다.

SNMP

NT에는 SNMP 클라이언트가 표준으로 제공된다 (제어판 ->네트워크->snmp). snmp를 이용해 네트웍을 감시하는 중앙 관리 팀이 없다면 사용안함으로 한다. snmp를 사용하고 싶으면:

조직에서 snmp 사용을 위한 표준을 규정하고 모든 클라이언트를 이에 따라 설치한다.
클라이언트에 읽기 전용 접근으로 허용할 것을 고려한다. 지정된 컴퓨터/IP 주소로부터만 요청을 받아들이도록 구성한다.
snmp 트랩이나 경고를 구성하지 않을 것을 고려한다.
알려지지 않은 컴퓨터로부터 요청이 왔을 때 경고를 보낼 것을 고려한다.

FTP 서버

Ftp 서버는 NT가 설치되는 동안 또는 다음에 의해 구성된다:

제어판에 있는 ftp 서버 아이콘.
네트웍 등록정보 상자에 있는 "ftp 서비스" .
Resource kit 에 있는 ftpconf.exe 유틸리티.
레지스트리 \SYSTEM\CurrentControlSet\Services\ftpsvc\parametrs:
익명(anonymous) ftp를 위한 변수 이름 샘플 값
AllowAnonymous 1
AnonymousOnly 1
AnonymousUsername Guest
ExitMessage Report problems etc. to root@my.domain
GreetingMessage R&D's NT 서버에 오신 것을 환영합니다. 관리자만 사용.
HomeDirectory E:\ [anonymous disk]
LogAnonymous 1
LogNonAnonymous 0
MaxClientsMessage 최대 초과 사용자 수.
MaxConnections 0xA [hex=10 decimal]
필요 없으면 ftp 서버를 사용하지 않는다 (NT설치 때 사용안함으로 하거나 제어판->서비스에서 Disable 한다).
시스템을 익명 ftp 서버나 일반 ftp로 사용하되, 두 가지를 동시에 사용하지 않는다 (AnonymousOnly,AllowAnonymous).
일반적인 사용을 이벤트로그에 기록한다 (LogNonAnonymous=1).
패스워드가 명문(clear text)로 네트웍을 흘러다니므로 "일반 사용자"를 위한 ftp 서버 사용을 피한다.
익명 ftp를 사용하는 경우, 홈 디렉토리는 별도의 디렉토리에 두어 꽉 차더라도 문제를 일으키지 않도록 한다.
익명 사용을 이벤트 로그에 기록한다 (LogAnonymous=1).
등급 의 어떠한 데이타도 익명 ftp를 통해 얻을 수 없어야 한다.
Ftp는 특권 계정에게는 사용되면 안된다 (e.g. Admin).
Ftp 서버를 특별한 사용자 아래서 운영되게 할 것을 고려한다 (e.g. Guest 가 아닌 ftpuser).
어플리케이션이 ftp를 사용해야 한다면

모든 액션을 root\WINNT35\SYSTEM32\FTyymmdd.LOG 에 로그한다 (LogFileAccess=2).
파일 접근을 엄격하게 제한한다 (홈 디렉토리).
접근 마스크를 엄격하게 제한한다 (제어판에서).

라우팅

기업의 네트웍에서, 라우터들만이 데이타를 라우트해야 한다, 즉, 워크스테이션이 서브넷들 사이에서 라우트하면 안된다. 작은 회사의 네트웍에서는, NT3.51 서비스팩 2나 NT 4.0에서 제공하는 새로운 동적 다중프로토콜 라우팅 (MPR, Multiprotocol Routing) 이 라우터를 경제적으로 대체할 수 있다. 그러나, 호스트가 데이타를 라우트하도록 허용하면 네트웍 가용성이 저하될 수 있고 (어쩌다) 두 개의 네트웍 인터페이스를 가지는 호스트들에 의한 우발적인 라우팅을 허용할 수도 있다.

==>디폴트 라우터로 정적 라우팅(static routing) 구성할 것을 권고한다:
제어판-> 네트워크 -> TCP/IP 에서 "게이트웨이" 가 라우터의 IP 주소가 되도록 구성한다.
각 네트웍 인터페이스에 대해 디폴트 라우터를 따로 정의할 수도 있다.

가용성

백업 및 복원

백업 인텍스를 종이나 사이트 밖의 시스템에 보관한다.
모든 매체에 대해 설명한다. Account for all media.
테이프에 백업된 데이타를 암호화한다.
백업 매체는 잠겨진 금고나 잠겨진 방에 저장되어야 한다.
백업은 안전한 방법으로만 운송되어야 한다 (현금수송처럼).
각 서버에 대해 백업 및 복원 정책이 있어야 한다. 단순한 예로, ntbackup 과 스케쥴러 winat을 사용하여:
매 주말 전체 백업을 받는다:

ntbackup backup c: d: e: f: /a /v /d "Server1 full" /b /hc:on /t normal /e /l e:\full_backup.log

그리고 매일 증량 (incremental) 백업을 받는다:

ntbackup backup c: d: e: f: /a /v /d " Server1 incremental" /b /hc:on /t Incremental /e /l e:\inc_backup.log

Exchange server 를 설치했다면,백업하기 전에 서비스를 중지 하는 것을 잊지 말도록 한다,(net stop 사용) 안그러면 파일들이 건너뛰어질 것이다.

디렉토리의 단순 백업은 xcopy을 사용하면 된다 ( /v 옵션은 verify, /d option은 마지막 백업으로부터 변경된 파일들만 복사함을 의미).
xcopy c:\mydata z:\backupdir /d /v
더욱 흥미로운 대안은 resource kit 에 있는 robocopy 유틸리티로, 변경된 파일들만 복사하는데, 진정한 복제를 위해 파일들을 삭제하기까지 하고 작업이 끝나면 요약 결과를 보여준다. 필자는 이를 이용하여 밤에 디스크 동기화와 랩탑 원격 동기화를 수행한다 :
c:\reskit40\robocopy f:\ v:\ *.* /E /R:2 /PURGE

레지스트리 백업:
레지스트리는 테이프 백업의 필수 불가결한 부분이어야 한다.
레지스트리는 다른 서버로 매일 백업 되어야 한다 :
regback \\other_serv\backups\myserver_name.reg

자원 남용 방지

NT에는 자원 할당량 관리자가 없다. 제삼자 제품이 있지만, 아직까지 진심어린 추천을 받아본 제품은 없다.

변경/릴리즈 관리

서버 설치 / 재구성

서버를 재구성할 때, 서버 서비스와 로그온을 사용하지 못하도록 한다:
net pause server
net pause "net logon"
=> 서버를 다시 사용할 수 있게 하려면:
net continue server
net continue "net logon"
NT 구성을 검사하려면:
net config workstation
net config server
NT는 설치 디스크 생성 없이 CD-ROM으로부터 설치/부트될 수 있다. CD를 마운트하고 winnt32 /b 를 실행한다. 수작업으로 NT를 부팅 & 복구하는 모든 방법을 종이에 적어 서버 옆에 두면 유용하다!
DOS 시스템을 NT로 업그레이드 하려면,
winnt /s:\\SERVER_NAME\MYPATH /t:c /I:\\SERVER_NAME\install\dosnet.inf /x/f/c.
NT 워크스테이션을 도메인에 추가하려면 net computer \\COMPUTER_NAME /add를 쓸 수 있고 제거하려면 /delete 스위치를 쓰면 된다.

변경 로그

시스템의 모든 변경에 대한 (수작업) 로그를 보존해야 한다. 누가 무엇을, 어떤 파일에, 어떤 시스템에서, 언제 했는지에 대한 기록이 필요하다 (특히 한 시스템을 한 명 이상이 관리할 때)

사용자 공지

서버 관리자를 통해 한 무리의 시스템들에 대해 관리적(administrative) 경고를 통제할 수 있다.
Alerter 서비스가 시작되었는지 확인한다.
온라인 사용자들에게 경고:
도메인 내 모든 사용자들에게 메시지 보내기:
net send /DOMAIN Warning: 서버 alpha1 이 21:00-23:00 중단될 예정입니다.
운영중인 서버에 연결된 모든 사용자들에게 메시지 보내기:
net send /USERS Warning: 이 서버는 오늘밤 21:00-23:00 중단될 예정입니다.
이메일은 여전히 사용자 공지의 가장 좋은 방법이다.

패치

NT는 패치관리가 매우 약하다. 문제가 발생하면, Microsoft는 설치가능한 패키지가 아닌 단순한 수정된 이진파일인 "hot fixes" (e.g. Technet CD 에 있는)를 발표한다. 이 hot fixes 는 공식적으로 지원되는 법이 거의 없다.
예외는 "서비스 팩" 으로 보통 fix 들을 한다발 묶어 6개월에 한번 정도 발표한다. 이러한 업데이트들은 철회될 수가 없다. 어떤 때는 서비스팩이 새로운 모듈을 추가하기도 하고, 버그 또한 말할 것도 없다. 특히 SQL 서버는 더욱, 조심해야 한다.
Technet CD 와 Knowledgebase 가 가장 좋은 버그 설명 / 패치 소스이다.
NT V3.5: 서비스 팩 2를 사용한다. 테스트 되었으며 권고된다.
NT V3.51: 서비스 팩 5 (MPR, RAS fixes, Exchange, WINS fixes) 나 그 이후를 사용한다.
NT V4.0: 서비스 팩 3이나 그 이후를 사용한다 (SP5는 랩탑 전력 관리 도구에 영향을 줄 수 있고, SQL서버를 엉망으로 만들 수도 있다).
하드웨어 드라이버와의 문제를 최소화 하려면 (NT 불안정성의 고질적 원인인), 고 가용성 시스템에서 새로운 하드웨어를 구입하여 드라이버를 설치하기 전에 www.microsoft.com/hwtes에서 승인된 드라이버 목록을 참고한다.

SMS (Systems Management Server,시스템 관리 서버) 1.1

SMS는 다음과 같은 기능을 가지고 있다:
1. 시스템들의 네트웍에 대한 자원(Inventory) 관리와 설치된 HW 및 SW 정보의 수집.
2. (SMS 패키지된) 어플리케이션들의 중앙화된 배포 및 설치.
3. 원격 진단 및 헬프 데스크 기능.
4. 네트웍 감시 기능 (기본적인 기능만, IBM Netview 나 Sun NetManager의 대체는 아님).

위의 1과 2에 대해서는 수정된 로그온 스크립트가 사용된다.

SMS 서버는 레벨 보안으로 구성되어야 한다.
SQL 데이타베이스를 "데이타베이스 보안" 장에 따라 구성한다.

접근 통제

SMS 관리자 계정은 NT 레벨에서는 어떠한 특별한 특권도 가지고 있어서는 안된다.
원격 장애처리가 가능하려면 사용자가 먼저 명시적으로 자기 pc의 통제를 헬프데스크로 넘겨야 한다.
인가된 관리자만이 헬프데스크 기능을 사용할 수 있어야 한다 (데이타베이스에서 구성됨).
네트웍 모니터 (네트웍 스니퍼)는 정말로 필요한 경우를 제외하고는 삭제할 것을 권고한다.
만약 필요하다면, 중앙 보안 기구/관리자(Central Security)가 신원을 알고 있으며 이 도구를 사용할 책임에 동의하는 서류에 서명한 사람만이 실행파일을 접근할 수 있어야 한다.
중앙, 일차 및 이차 사이트를 위한 관리자 레벨이 정의되어야 하고 정의된 각 관리자 유형에 대한 SMS 객체 접근 권한이 정의되어야 한다. 모든 권한이 모든 관리자들에게 주어져서는 안된다.

무결성

SMS 관리자는 SMSVIEW를 통해서 뿐만 아니라, 데이타베이스에 직접 접근할 수도 있다 . 이것은 데이타베이스 오염을 가져올 수 있다 (SMS 일관성 검사를 비켜가므로).

SMSVIEW 외에 어떠한 데이타 접근 유틸리티나 .MIF 파일이라도 사용된다면, 이들은 읽기 전용 계정과 결합해서만 사용되어야 한다.
가능하면 표준 .MIF 파일이 개발되어야 한다.

통신 보안

SMS 서버은 Senders 들을 통해 통신한다. Sender는 단순히 세 가지 통신 방법 중 하나이다: SNA, RAS or LAN.

=> RAS sender 사용은 피하라.
RAS (Remote Access Service, 원격접속 서비스) sender 가 사용된다면, RAS 구성이 규정되어야 하고, 아니면 RAS는 disable 되어야 한다.

가용성

SMS 아키텍쳐에는 중복성(여분,redundancy)이 구성되어 있지 않다.
SMS를 위한 백업 & 복원 정책이 작성되어야 한다: NT 파일과 SQL 데이타베이스 모두

SMS 해결되지 않은 질문

장애처리하는 동안 다른 PC가 헬프데스크 클라이언트의 통제권을 뺏는 것이 가능한가 ? (세션 하이재킹)
MS-SQL 이 SMS와 사용할 수 있는 유일한 데이타베이스인가?
윈도우 외의 클라이언트를 위한 장애처리가 없다 (NT, 유닉스).

원격 콘솔

NT 서버는 시리얼 포트에서 관리할 수 없지만 (몇몇 유닉스 시스템처럼), 원격 시스템에서 많은 명령어들이 실행될 수 있다 (e.g. 인가된 사용자라면, 사용자 관리자를 써서 다른 시스템상의 사용자를 관리할 수 있다. 다른 예로는 서버/프린터 관리자, 이벤트 표시기 등이 있다. 이들 중 어떤 것은 WfW나 Win95 클라이언트로도 사용 가능하다).

I COM 포트 상의 단말로 디버그 메시지를 보냄으로써 서버 장애처리를 개선할 수 있다. boot.ini의 [operating systems] 부분에서, /NODEBUG, /DEBUG 그리고 /DEBUGPORT=COMx, /BAUDRATE=xxxxx, /CRASHDEBUG, /SOS 스위치들을 사용할 수 있다.

중복성(여분, Redundancy)

NT는 RAID, 미러링 및 이중화[Duplexing] (디스크 콘트롤러 분리) 을 직접 지원한다.

파일이나 프린터 서버에는 RAID 5 나 미러링을 권고한다.
하드웨어 (즉 내장이 아닌) RAID 5를 사용할 것을 권고한다. RAID 5 세트에 이쓴ㄴ 두 개의 디스크가 손상되면, 복구 시간이 매우 오래 걸린다 - 따라서 미러링 (또는 이중화면 더 좋음) 이 바람직하다.
가능하다면 핫 스페어(Hot spares)가 있어야 한다.
NT 미러링, 이중화, striping with parity (RAID5) 및 UPS 제어에 관한 상세한 내용은 [nt6] 7장 (155 페이지) 를 참고한다. 복구 절차도 설명되어 있다.

NTFS 는 볼륨과 볼륨 셋 크기의 확장을 허용하지만, 미러링되거나 RAID된 셋은 아니다. 볼륨이 확장되면, 모든 사용자들이 시스템에서 로그오프된다 (그러나 데이타는 보존된다).

파일 복제

각 NT 서버는 다른 NT 서버로부터 복제된 파일을 받거나 다른 NT 서버로 복제하기 위한 가져오기(import) 와 (단 하나의) 내보내기(export) 디렉토리를 가질 수 있다. NT 워크스테이션은 복제된 파일들을 받기만 한다.

복제자 계정을 생성하여, 패스워드를 부여하고 이 계정이름 아래서 replicator 서비스를 시작한다 (제어판 ->서비스 ->디렉토리 복제자->시작옵션).
어떤 그룹이 복제된 디렉토리에 쓸 수 있는지 매우 신중하도록 한다 (*매우* 제한적이도록 한다, 즉 복제자 계정이 export 디렉토리는 읽기만 그리고 import 디렉토리는 모든 권한을 가지도록 한다).
큰 데이타 디렉토리(사용자 홈 디렉토리 같은)를 위한 백업 메카니즘으로 복제를 사용하지 않도록 한다, 네트웍을 포화시킬 수 있다. 거의 변경되지 않는 데이타에 대해서만 사용한다.
민감한 데이타는 복제하지 않는다 (데이타 디렉토리를 잠근다)

재난 복구

표준 NT 서비스인 마지막으로 알려진 올바른 구성, 잘못된 레지스트리 구성을 간단하게 롤백시킬 수 있게 해준다. [필자는 아직까지 이게 그다지 쓸모있는지 모르겠지만].
3 개의 NT 부트/설치 디스켓들을 가까이 둔다, 긴급 복구 디스켓으로부터 설정을 복원할 때 필요하다. 긴급 복구 디스켓은:
1. 잠겨진 방화 금고에 보관한다.
2. 쓸모가 있으려면 주기적인 업데이트가 필요하다(특히 사용자 계정을 생성/삭제한 이후에). Resource Kit 에 있는 rdisk.exe /s 유틸리티는 이 디스켓을 손쉽게 업데이트할 수 있게 해준다 (/s 옵션을 잊지 않도록 한다).
긴급 복구 디스켓을 잃어버리더라도, NT는 중요한 레지스트리 파일들을 \winnt\repair 에 복사해 두고 있으므로, 달리 아무것도 기댈 데가 없으면 이 디렉토리로부터 특정한 레지스트리 가지를 복원해 보도록 한다.
요즘은 디스크가 싸기 때문에, RAID나 미러링을 사용하거나, 또는 단순히 부트 디스크를 두번째 디스크에 주기적으로 복사하고 boot.ini를 조정하여 어디에서든 부트할 수 있게 해 둘 것을 권고한다. 부트 디스크를 복사하려면 Direveimage 같은 도구를 사용해야 할 것이다. 추천.
디스크 구성은 구성이 변경될 때마다 폴로피 디스크로 백업되어야 한다. (선택: 디스크 관리자 -> 파티션 -> 구성 -> 저장). 이 플로피 디스크는 긴급 복구 디스켓들과 함께 보존되어야 한다.
추가적인 장애처리 디스켓: 긴급 복구 디스켓은 어떤 상황에서는 잘 되겠지만 안될 때가 있을 것이다. 레지스트리 백업/복원 유틸리티와 chkdsk가 있는 부트 가능한 디스켓을 가지고 있을 것을 권고한다. 디스켓을 포맷할 때, 어떻게 하면 부트 가능하게 할 수 있는가? (no sys command) TBD: instructions (R276)
시스템 장애 이후, NT는 "제어판 ->시스템-복구"에 설정된 옵션에 따라 행동할 것이다. 이 옵션들은 다음을 할 수 있게 한다: 자동 재부팅, 재부팅 전 디스크에 메모리를 덤프, 이벤트 로그에 항목 쓰기 및 관리자에게 경고. 이 옵션들은 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl.에 설정될 수도 있다.
시스템 진단 도구 winmsd.exe는 장애 처리에 유용할 수 있다. 이것은 하드웨어, 드라이버, 인터럽트, DMA, 메모리 등등에 대한 정보를 제공한다. 명령줄 버전 winmsdp.exe 가 resource kit 에서 제공된다.
정전: 고가용성 시스템들은 UPS나 보호된 전원에 연결되어야 한다. NT는 UPS에 직접 인터페이스할 수 있고 전력 손실시 graceful shurdown을 할 수 있게 한다. UPS 인터페이스는 "제어판 ->UPS"에서 구성된다.
NTFS 파일시스템은 저널링(journalling)을 사용하므로 갑작스런 전력 손실후 소프트웨어 정지에 대해 뛰어난 복구를 제공한다.
NT 소프트웨어 구성요소들이 에러 메시지를 만들 때, 종종 에러 번호도 포함된다. NT CD에는 메시지 데이타베이스를 온라인으로 볼 수 있게 해주는 도구가 들어있다 (winntmsg). 이 데이타베이스가 설치되어 있으면, 명령어 net helpmsg MESSAGE_NUMBER 가 특정 에러에 대해 보다 상세한 정보를 제공할 수 있다.
디스트에서 원시 데이타 항목을 검색하려면 ftp.winmag.com 에서 ntdt02.zip를 써본다.

Footnotes:

[1] [nt1] 페이지 80-81 참고.
[2] [nt1] 페이지 83 참고.
[3] NT resource kit.
[4] [nt2] Chap.3, customising setup. 참고
[5] Everyone & Administrator 그룹이 `네트웍으로부터 접근' 권한을 가지고 있다.
[6] Operators 계정은 Administrators계정, Domain Admins 글로벌 그룹 또는 로컬 그룹: Administrators, Servers, Account Operators, Print Operators, Backup Operators 를 수정할 수 없다.
[7] 사용자가 로컬에서 로그온 권한을 가지고 있을때만, 또는 도메인 사용자 관리자 프로그램에 접근할 수 있을 때.
[8] [nt6] 페이지 87 참고.
10] [nt1] 페이지 110 참고.

Previous Next Top Detailed TOC IT Security Cookbook, Last Update: 28 Jul 2000