윈도우 서버

원격 데스크톱 사용자 

 

작업 스케쥴러

CER과 PFX는 원래 다른 곳에 저장해야 한다.

.cer 파일은 X.509 디지털 인증서를 나타내며, 주로 공개 키를 포함하고 있다. 

반면에, .pfx 파일은 개인 키와 관련된 개인 인증서와 함께 사용되는 파이고, 이 파일은 개인 키와 인증서를 보호하기 위해 비밀번호로 암호화되어 있다. 

CER 파일은 공개적으로 공유되는 경우가 많으므로 일반적인 저장소에 보관하면 되지만, pfx 파일은 개인 키와 관련된 중요한 정보를 포함하고 있으므로 안전한 곳에 보관하는 것이 좋다. 

 

성능 모니터 

 

파일 암호화

파일 암호화 인증서 및 키 백업

남이 만든 암호문은 못읽는다. 

하지만 인증서가 있으면 읽을 수 있다.

  Windows 서버도 Linux 서버처럼 DNS, DHCP, WEB, FTP, ... 등 서버를 설치해서 서비스할 수 있다.  
  현재 조직에서는 Server 2016~2018을 점차 사용하는 추세이고 2012 정도까지는 일부 사용 중에 있다. 


1) Windows Server의 특징
  Windows 서버는 Linux처럼 다중 사용자 시스템, Software RAID 지원, 강력한 네트워크 지원, 데이터 백업, 외부에서의 서버 접속, 데이터베이스 설치(MS SQL 서버), IIS(Internet Information System)을 통한 HTTP와 FTP 서버 설치, DNS 서비스(Active Directory 설정 시 도메인 필요), E-mail 서비스(무료 hMailServer나 MS Exchange 서버), DHCP 서버, 파일 서버, 도메인 설정(AD(Active Directory)를 통한 Group, OU(Organizational Unit)) 등이 가능하고, 가상화(Hyper-V), Server Core(Linux runlevel 3처럼 그래픽 없이 Windows 서버 핵심만으로 운영하므로 리소스를 매우 적게 사용하고, 보안이 좋다) 등과 Windows 2018에서는 Nano Server를 사용해서 클라우드 서버로 활용한다)가 특색이다. 그리고 RoDC(Read only Domain Controller) 개념도 있다. 또 Windows 7부터 내장된 Power Shell(Linux의 Shell Scripts와 유사)이 내장되어 있어서 강력한 스크립트로 시스템 운영을 가능하게 해준다.

=>Linux와 비교해서 Windows Server만의 정점으로는  
∎ 모든 도메인 내의 노드들에 적용되는 GPO(Group Policy Object) 설정 
∎ 여러 Domain 구축 및 확장 및 연계가 편리해서 도메인 간 Trust 관계 설정이 용이
∎ Terminal 서비스를 구축해서 하나의 서버 소프트웨어를 여러 클라이언트들이 공유해서 사용할 수 있다. 하지만 이 서비스는 원격 데스크탑으로 점차 대체되었음

  도메인이 없는 처음 Windows Server는 Standalone(단독) Server(Local Server)가 되고, 나중에 kahn.edu와 같은 도메인을 생성해서 이 서버를 도메인에 가입시키면 Windows Server는 Domain Controller(Domain Server)가 된다.
=>로컬 서버에서의 사용자와 도메인 서버에서의 사용자는 구별된다!!!!! 
=>하지만 도메인 사용자는 도메인에 가입된 도메인 로컬 호스트를 통해서 도메인 서버로 접속할 수 있다.
    단독 서버였을 때의 로컬 사용자는 단독 서버가 도메인 컨트롤러로 바뀌면 도메인 사용자로 자동 마이그레이션이 된다!!!!   

*** 사용자 암호에 대한 최선의 방어는 복잡성(숫자, 대소문자, 특수기호)도 중요하지만 가장 중요한 것은 
     '암호의 길이를 길게(16자 이상)하는 것'이다!!! 
     <=고성능 해커의 컴퓨터로도 패스워드를 크랙할 때 시간이 오래 걸리게 하는 것이 중요하다.

로그온 시 Ctrl+Alt+Del 키를 눌러야 로그온 창이 뜨지만 VMware에서는 Ctrl+Alt+Ins 키를 눌러주어야 한다.

  Windows에 로그온 때마다 'Ctrl+Alt+Delete'(OR Insert) 키를 누르는 것과 
서버를 끌 때마다 끄는 이유를 묻는 '이벤트 추적기'가 귀찮으면 GP(Group Policy)로 조절하면 된다. 
GP는 도메인의 DC(Domain Controller)에서 설정해두면 도메인에 가입된 모든 서버들과 워크스테이션(도메인에 가입된 클라이언트 호스트들)에 일괄적으로 적용되는 규칙이다. GP에서의 하나하나 설정을 GPO(Group Policy Object)라고 하는데 내장된 항목들과 사용자 정의 항목이 있을 수 있다. 
=>당연히 내장 객체가 있으면 그대로 사용하면 되고 사용자 생성 객체를 별도로 생성할 필요는 없다. 
=>로컬 그룹정책(GP를 설정하는 곳)과 로컬 보안 정책(계정 등을 설정하는 곳)은 성격이 다르다.

  그룹정책은 '사용자'와 '컴퓨터'에 걸 수 있는데 둘이 충돌되면 컴퓨터 설정이 우선한다. 
예를 들어서 Win7 컴퓨터에 로그온 할 때 바탕화면을 
'사용자'로 설정 ->사용자별로 바탕화면이 달라지고 
'컴퓨터'로 설정 ->사용자와 무관하게 해당 컴퓨터의 바탕화면은 일정해진다.

  그룹정책 변경은 디폴트로 30분이 지나야 적용되는데 콘솔에서 
gpupdate /force 명령어로 즉시 적용시킬 수 있다.

 

Registry

=>변경이 즉시 적용되는 것은 Registry 변경(regedit)이다. 
    이들 무수한 '레지스트리(registry)' 설정 값에서 요긴한 것들만 모아서 편리하게 변경하게 한 곳이 '제어판'이다. 
   ** '레지스터(register)'는 CPU에 있는 핀으로 이 핀은 각 메모리 영역과 연계되어 있다. 

 

숨김 파일/폴더

Windows에서는 숨김 파일/폴더를 'file/folder_name$'로 만들어 둔다. 

Windows에서 디폴트로 생성되어 있는 Guest 계정을 사용 하지 않음 으로 해두거나 삭제해야 하는데
사용자들의 SID가 500이 Administrator인데 이 관리자의 SID를 알기 위해서 보안이 없는 Guest의 SID를
알아낸 뒤 +1 해서 Administrator의 SID를 알아낼 수 있기 때문이다. 
=>Windows 시스템에서는 시스템이 실행되고 있을 때에는 사용자의 이름과 해시된 패스워드 정보가 들어 있는 SAM 파일이 막힌다.  이 SAM 파일은 'SYSTEM 키'로 막혀있기 때문인데 사용자의 SID를 알면 이 SYSTEM 파일을 크랙해서 SAM 파일로 접근할 수 있기 때문이다.  
   또한 Windows 시스템에서는 일반 사용자로 로그온 한 뒤 관리자로 권한상승하는 것을 막기 위해서 UAC(User Access Control)을 만들어 두었지만 UAC를 무력화 할 수 있다. 

  Linux에서처럼 Windows 에서도 그룹을 생성할 수 있는데 
  그룹을 생성한 뒤 > 그룹에 사용자들을 넣고 > 그룹에 권한을 주는 과정으로 진행한다. 
  해당 그룹에 속한 사용자들은 모두 같은 권한을 가지게 된다.
==>별도로 지정된 그룹도 있는데 domain local group, global group, 그리고 universal group도 있다. 
      이들은 도메인 간(AD로 trust 관계로 연결된 여러 도메인 사이) 자원에 대한 접근을 설정할 때 사용된다. 

  최근에는 원격 데스크탑 연결을 많이 사용하는데 
원격의 호스트에 문제가 있을 때 이를 원격에서 관리하거나 
서버에 프로그램을 두고 클라이언트들이 원격으로 연결했을 때 특정 프로그램이 실행되게 할 수 있다. 서버에 오피스를 설치해두면 원격 연결하는 클라이언트들이 모두 이 오피스 프로그램을 실행할 수 있게 된다.
<=이런 설정은 GP로 설정해주어야 한다.
*** Windows Server 2008에 내장된  Terminal Server의 기능이 무력화 되었다. Windows Server 2016~ 부터는 이 터미널 서버 서비스가 없어 졌다!!!

  사용자의 패스워드 변경은 
사용자는 반드시 이전 패스워드를 넣은 뒤 신규 패스워드를 재설정할 수 있고, 
관리자는 어느 사용자의 이전 패스워드를 몰라도 신규 패스워드를 지정해 줄 수 있다!!!!!
예를 들어서 naver, daum 포털 사이트에서 사용자가 패스워드를 잊었다면 
1) 해당 포털 사이트에서는 관리자가 임시 패스워드를 만들어주고 
2) 사용자가 임시 패스워드로 로그온 한 뒤 패스워드를 변경하게 해준다.  

  폴더 보안을 위해서 Linux에서 shred 도구처럼 복원이 안 되게 완전 삭제를 해보자. 
  Windows에서는 생성한 파일/폴더를 휴지통에 버리고, 휴지통 비우기도 하지만 복원 도구로 쉽게 복원되기 때문에 복원 불가한 완전 삭제가 보안상 중요하다. 복구를 위해서는 복구 키를 생성해서 작업해야하는데 일종의 
Windows 11에 들어있는 TPM(bit locker)과 같은 원리이다.  
=>마더보드에서 물리적인 모듈을 끼우거나 소프트웨어적인 모듈을 설정해서 
    해당 호스트에 연결된 저장장치(HDD, USB, SD-card, ....)는 모두 암호화 되게 한다. 이 호스트에서 해당 저장장치를 빼도 암호화 키가 없으면 해당 저장장치의 데이터를 읽을 수 없다.
    <- 해킹으로 이 bitlocker 키를 추출할 수도 있다!!!   

Windows 운영체제에서 제공하는 여러 도구들이 있지만 솔루션 회사들은 이들 도구들을 더욱 정밀하게 만들어서 
배포한다. Windows Performance Monitor도 있다. 

  A 사용자가 생성한 암호문은 관리자라도 Windows 시스템에서는 읽을 수 없다.
  B 사용자나 관리자가 읽으려면 암호화 키가 있어야 한다.