티스토리 뷰
흔히들 윈도우 보안은 취약하다고 한다. MS에서는 하나도 안 취약하다고 한다.
누구 말이 맞는 것일까?
"MS가 제공하는 Windows System은 취약하지 않겠지만 일반적으로 사용되는 OS 수준은 취약하다."가 맞는 답인 것 같다.
특히나 Active Directory 환경에서는 Domain Admins 그룹에 속해 있는 계정 하나만 갖게 되면 모든 시스템을 취득한거나 다름없다고 봐야 한다. 이런 Domain Admins 그룹 계정에 대한 MS의 입장은 짧고 간결하다. "Domain Admins 계정으로 서버에 접근하지 마시오."
여러가지 이유가 있을 수 있다. 관리 대상 서버에서 Domain Admins를 접속 하면 계정 해쉬값이 남아서.. 블라블라..
또는 키로거가 Domain Admins 패스워드를 저장할 수 있어서.. 블라블라..
또또는 Domain Admins 계정이 노출 되면 공격 시도 있을 수 있어서.. 블라블라..
그렇다 닥치고 Domain Admins는 관리 대상 서버에 접속 하지 않으면 된다.
윈도우 서버 보안에 대해 고민한 이후로 머릿속에 박힌 잣대 하나는 Domain Admins 사용 제한이다.
그렇다면 Domain Admins 계정 없이 서버 관리는 어떻게?
별거 없다 관리 대상 서버의 Administrator 그룹에 관리용 계정을 입력하고 사용하면 된다.
그 계정이 털리더라도 DC 서버에는 접근을 못 하면 된다.
AD의 Bulletin Administrator 그룹에서 빼버리자.
AD의 Event Log가 궁금한다. 원격으로 Domain Admins 쓰지 말라며? 어떻게 해? 라고 말한다면...
AD 2008에 있는 Event Log readers라는 보안 그룹에 넣으면 Event Log 읽기는 가능하다.
사실 위 내용은 "AD와 그외 윈도우 서버들" 두 종류의 서버 군으로 나눴을 때 얘기지만 여기에 복잡한 관리 서버들이 있다고 해서 크게 변경될 만한 정책은 없다. 윈도우 서버 보안은 닥치고 계정 관리에서부터 시작 된다. 특히 Domain Admins 계정;;;
다른 건 알아서 하되 위에 있는 내용만 잘 기억해 두자.
Domain Admins 계정은 AD 서버에서만;;;
- Total
- Today
- Yesterday