관리자 계정은 항상 해커들의 공격대상이 돼 왔으며, 윈도우 관리자 계정은 특히 골칫거리가 되곤 했다. 많은 사람이 전체 시스템 보안에서 관리자 계정이 중요한 역할을 하고 있다는 것을 이해하고 있긴 하지만, 이 관리자 계정을 잠그는 문제에서 몇 가지 오해하고 있는 부분이 있다. 이 기사에서는 관리자 계정에 대한 두 가지 오해에 대해 설명한다. 계정을 사용하는 컴퓨터 시스템의 경우, 모든 해커들의 목표는 관리자 계정 혹은 루트 계정을 얻는 것이다. 윈도우 시스템에서 이 계정이 ‘administrator’ 라는 기본 아이디로 돼 있고 암호가 설정돼 있지 않을 경우 특히 문제가 될 수 있다. 많은 사람이 전체 시스템 보안에서 관리자 계정이 중요한 역할을 하고 있다는 것을 이해하고 있긴 하지만, 이 관리자 계정을 잠그는 문제에서 몇 가지 오해하고 있는 부분이 있다. 이제 윈도우 관리자 계정에 관해 오해하고 있는 두 가지 점을 살펴보자. 오해 1 : 관리자 계정 아이디를 해커들이 찾지 못하도록 바꾸면 될까? 윈도우 2000의 경우 바꾸어도 소용이 없다. 윈도우 2000 관리자 계정은 500번 이하의 기본 SID 값을 가지고 있다. 따라서 해커들은 액티브 디렉토리나 로컬 SAM을 이용해 이 SID를 아이디로 바꾸어 계정을 공격하는 것이 가능하다. 그러나 다음의 방법을 사용하면 SID를 이용하는 것을 막을 수 있다. 1. 관리 도구에서 ‘액티브 디렉토리 사용자와 컴퓨터’를 선택한다. 2. 도메인을 눌러 확장하고 오른쪽 마우스 버튼을 클릭한 후 속성을 고른다. 3. ‘그룹 정책’ 탭을 클릭한 다음 ‘기본 도메인 정책’을 클릭하고 편집을 선택한다. 4. ‘컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션’으로 이동한다. 5. ‘익명 연결 제한’을 더블클릭하고, 옵션을 선택한다. 6. 옵션 중에 ‘SMA 계정 및 공유 열거 허용 안함’을 선택한다. 7. 확인을 클릭하고 콘솔 창을 닫는다. 8. 윈도우 메뉴의 ‘시작\실행’에서 cmd를 실행한다. 9. ‘gpupdate’라는 명령어를 치고 창을 닫는다. 윈도우 서버 2003은 관리자 아이디를 바꿈으로써, 해커들이 관리자 아이디를 찾을 수 없도록 만들 수 있다. 윈도우 2003은 내부적인 관리자 계정이 완벽히 비활성화돼 있다. 하지만, 계정을 비활성화 하기 전에, 우선 SID를 얻어올 수 있는 기능 역시 비활성화돼 있어야 한다. 윈도우 서버 2003도 위와 거의 같은 방법으로 설정을 하면 된다. 단 한 가지 "익명 연결 제한" 대신 "네트워크 액세스:익명 SID/이름 변환" 기능이 비활성화돼 있는지 확인한다. 추가로 관리자 계정을 비활성화하기 전에, 새로운 관리자 계정을 만들어야 한다. 그 다음 아래와 같이 기존의 계정을 비활성화한다. 1. 새로운 계정으로 로그인 한 후, ‘액티브 디렉토리 사용자와 컴퓨터’를 선택하고 도메인 하위에 있는 ‘Users’ 항목을 선택한다. 2. 기본 관리자 계정을 선택하고 마우스 오른쪽 버튼을 클릭해 속성을 선택한다. 3. 계정 탭을 선택하고, 계정 옵션에 계정 사용 안함을 선택한 후 확인을 클릭해 빠져나온다. 이제 전체 관리자 권한을 가진 계정은 새로 만든 계정 단 1개이며, 해커들은 SID로 그 계정이름을 찾을 수 없을 것이다. 오해 2 : 여러 번 로그인에 실패하면, 계정이 자동으로 잠기도록 할 수 없을까? 윈도우 2000의 경우, 계정 자동 잠금 기능이 있다. 만약 계정 잠금에 대한 보안 옵션이 설정되어 있다면, 네트워크 로그온시에 이 계정을 더는 사용하지 못하도록 잠글 수 있다. 하지만, 콘솔 로그온에도 해당하는 것은 아니다. 정해진 횟수의 로그온 실패 후 계정이 잠기도록 설정하려면 Passprop.exe라는 프로그램이 필요하다. 이 프로그램은 윈도우 2000 프로페셔널 리소스 킷이나 윈도우 2000 서버 리소스 킷안에 있는 Netmgmt.cab 파일 안에 들어 있다. 윈도우 서버 2003의 경우도 마찬가지로 이런 기능이 있다. 윈도우 2000처럼 Passprop.exe 프로그램을 이용해 정해진 횟수의 로그온 실패 후 관리자 계정을 잠글 수 있도록 설정할 수 있다. 그러나 이 프로그램의 윈도우 서버 2003 버전은 기본 관리자 계정도 일반 계정과 마찬가지로 잠기게 된다는 것을 명심하자. 이 잠긴 계정을 해제하려면 다른 방법을 이용해야만 한다. 계정 보안은 가장 기본적인 보안 방법이다. 때문에 위와 같은 방법을 이용해 관리자 권한을 안전하게 하는 것이 중요하다.@ |
'.net expert > windows 2003' 카테고리의 다른 글
windows 2003 설치 후 해야 할 일 (0) | 2007.03.01 |
---|---|
윈도우 2003 설치 후 해야 할 일!! (0) | 2007.02.25 |
windows server 2003 -5day (2) (2) | 2007.02.24 |
windows server 2003 -5day (0) | 2007.02.24 |
windows server 2003 -4day(2) (0) | 2007.02.23 |