[정보보안기사 필기] 윈도우 보안 정리

NTFS 의 특징

FAT 파일 시스템 대체를 위해 등장하 였으며 사용자마다 서로 다른 NTFS보안 적용 가능

Everyone 그룹에 대해서 모든 권한을 허용하고 개별적인 권한 설정으로 강력한 보안 정책 설정이 가능하다 .

MFT ( 마스터 파일 테이블 ) 레코드

FAT 파일 시스템에 없는 보안속성 정보를 내장

파일 압축 및 암호화를 위한 구조 

하나의 파일이 4gb 이상의 크기를 가질수 있도록 설계 

( 핸드폰이나 SD 카드에 FAT 파일 시스템에서 4gb 이상의 데이터가 들어가지 않는 것을 말한는듯 ) 

NTFS의 주요 기능에는 파일 및 폴더 보안 , 디스크 압축 , 디스크 할당 ,파일 암호화가 있다.

NTFS 암호화 방법으로는 EFS ( Encryption file system)이 있다. 

EFS 는 cipher 명령을 이용해 암호화 상태 표기및 변경 가능 하다 .

윈도우 백업

확장가는 . bkf로 저장되며 보조기억 장치 및 LAN 환경에서도 원격 백업과 복구를 지원

종류는 복사본 백업 , 매일 백업 ,일반 백업, 차등 백업 ,중분 백업이 있다 .

복사본 백업	선택한 모든 파일을 복사 , 파일 백업 상태를 표시 안함
매일 백업	수행되는 날짜에 수정된 모든 파일 복사
일반 백업	선택 파일 모두 복사 , 백업상태로 표시(기록 특성이 지워짐)
차등 백업	일반 백업이나 증분 백업을 마지막에 수행하고 이후에 생성,변경된 파일을 복사
중분 백업	마지막 , 증분 백업 이후 생성, 변경된 파일들만 복사

디스크 할당량 (Quota) 

hard Quota : 디스크 공간의 한도를 넘으면 사용할 수 없고 로그를 남김

soft Quota:  디스크 공간의 경고 수준을 초과하면 로그를 남김

fsutil 명령을 이용하여 제어 가능 

이벤트 뷰어 ( Event viewer) (내 컴퓨터 - 관리 - 로컬 사용자 및 그룹 - 사용자 에서 확인 가능)

윈도우 로그 관리를 하는 관리 도구로 응용프로그램, 보안 , 시스템 로그 3가지를 기본 로그로 사용한다.

이벤트 뷰어에 이벤트 로그는 엑셀로 열어볼 수 있다 .

응용 프로그램 로그	응용 프로그램에서 기록한 이벤트 들이 있다. C:\Windows\system32\config\appEvent.Evt 에 저장
보안 로그	잘못된 로그온 시도 이벤트로 이벤트 유형은 관리자가 지정 C:\windows\system32\config\secevent.Evt에 저장
시스템 로그	윈도우 구성요소에서 기록한 이벤트 C:\windows\systen32\config\secEvent.Evt에 저장

로컬 사용자 계정

Administrator	관리자 계정은 삭제는 불가능 하지만 이름 수정은 가능
Guest	익명 계정으로 삭제는 불가능 하지만 이름 수정은 가능
로컬 사용자 계정	사용자를 정의하는 정보 포함
도메인 사용자 계정	사용자 이름 , 전체 이름 ,이메일 주소 등 정보 포함 (모든 정보는 Active Directory에 저장 )

로컬 그룹 관리( 내 컴퓨터 - 관리 -로컬 사용자 및 그룹 - 그룹 에서 확인 가능)

글로벌 그룹	같은 네트워크 사용자들을 조직화 , 다른 도메인에 있는 자원에 접근
도메인 로컬 그룹	자원에 대한 허가를부여할 목적으로 하나의 도메인에 대한 자원 접근 지원
유니버설 그룹	복수의 도메인 환경에서 상호 관련된 자원에 대한 허가 부여
내장된 로컬 그룹	해당 컴퓨터의 모든 관리 권한과 사용 권한을 가진다.
내장된 글로벌 그룹	Domain Admins 는 디폴트로 관리자 계정이 포함된다.
내장된 도메인 로컬 그룹	관리자 는 도메인을 관리 할 수 있는 모든 관리 권한과 사용 권한을 가진 계정으로  기본적으로 사용자 계정과 Domain Admins를 포함

공유폴더 

공유폴더의 종류에는 Admiin$ , C$, D$, IPC$ 등을 기본적으로 공유

IPC$ 컴퓨터 간 넷 바이오스 통신을 위해 사용 (Windows 서버 클라이언트의 초기 해킹 사건이 있음 ) 

바이러스는 실행가능한 부분에 복제가능한 명령어들의 조합으로 사용자 몰래 복제 , 악성 프로그램 통합

(요즘은 악성코드로 통합해서 부르죠 ...바이러스라고 들어본지 오래된듯 ) 

부트 바이러스	부트 섹터를 손상시키는 바이러스 ex) 브레인 , LBC, 미켈란젤로 등
파일 바이러스	EXE을 손상 시키는 바이러스 ex)Dark avenger, 예루살렘 , CIH 등
부트/ 파일 바이러스	부트섹터와 실행파일을 손상시키는 바이러스  ex) invader, natas ,tequila 등
매크로 바이러스	엑셀 등 매크로 손상 바이러스 ex) Laroux, Melissa, 등

바이러스의 특성

자기복제	파일을 복제하여 새로운 PC를 감염시키는 기능
자기은폐	시스템 내에서 자신을 숨김 ( 프로세스 상에서)
실행코드	코드 암호화 및 다양한 기법으로 실행코드를 숨겨 인코딩 , 디코딩 함
트리거	동기로 실행 되며 날짜며 특정 프로그램 다운등 실행에 방아쇠가 되는 계기를 말한다.

바이러스 용어

악성코드	다른 사람에게 피해를 주기 위해 만든 악으적인 프로그램
스파이 웨어	정상적인 프로그램이나 일부 개인정보를 빼내는것이 문제가된 프로그램
조크	농담용 바이러스로 실질적인 피해는 입히지 않는다 (다만 당신의 멘탈을 흔든다)
인젝터	사용자 몰래 바이러스 ,악성코드, 웜 등을 설치하는 프로그램
악성 스크립트	스크립트를 이용해 레지스트리, 키파일 ,파일 시스템등을 훼손한다.
메일 폭탄	메일을 수만 수천 통을 보내 업무 마비
스팸메일	Hoax/Myth로 불리며 스팸메일로 통용

바이러스의 명명법 

바이러스 업체 마다 다른 명명법을 가지고 있어 사용자들에게 혼란을 준다. ( 통합할 생각 따윈 없다 .. 이게 다 돈이니 )

CARO 라는 명명법은 MS-DOS에 국한된 명명법이다 .

(별로 중요할 것 같지 않아서 CARO에 대한 자세한 설명은 생략)

레지스트리 

윈도우 환경에서 프로그램 작동에 필요한 매개 변수 집합으로 모든 시스템 정보를 백업, 복구 하기 위해서는 

USER.DAT, SYSTEM , SYS-TEM.INI , WIN.INI 등 파일이 꼭 필요하다 .

(REGEDIT.EXE로 실행가능하며 내용은 system32에 config 폴더에 여러개 파일로 저장 )

HKEY_CLASSES_ROOT	파일 확장자에 대한 정보와 파일과 프로그램간 연결 정보가 저장
HKEY_CURRENT_USER	윈도우가 설치된 컴퓨터의 환경설정 정보가 저장
HKEY_LOCAL_MACHINE	하드웨어에 설치 드라이버 설정에 대한 정보 저장
HKEY_USERS	Desktop 설정과 Network 환경에 대한 정보가 저장
HKEY_CURRENT_CONFIG	Display와 프린터에 관한 정보 저장