0604 보안템플릿 감사 및 보안로그

9장 보안템플릿적용. 보안정책 테스팅, 감사설정, 보안로그 관리

사용자권한설정

mmc > 스냅인추가제거 > 그룹정책편집기 추가 > 컴퓨터 구성 > 윈도우설정 > 로컬정책 > 사용자관리권한

보안템플릿( c: windows/security/templates / .....  )

기존에 전체적으로 적용되는 보안정책을 일일이 수정하려면 힘드니까 미리 정의된 틀 같은것을 사용하는 것.

되돌리기가안되니까 덮어쓰기 쓰기 전에 백업해야 한다. 

보안정책을 수정했을때, 기존의 보안정책과 다른 점을 비교 분석해야 하므로 분석도구를 사용해서 비교한다. 

감사설정

현재 시스템을 모니터링, 이벤트가 발생했고 결과가(로그) 어떻게 되었고 어떻게 관리하겠다. 

기준을 적용해서 해킹 전과 해킹 후의 변화점을 파악가능. 

감사정책은 로그 기록으로 한다.   >>> 이벤트 유형에 따른 로그기록

전부다 기록하지말고 , 유형에 상황에 따라 성공, 실패 둘다 같은 어떤것을 로그에 기록할지 결정해야 한다. 모두다 기록하면, 성능과 용량에 안좋다. 

폴더 우클릭에 보안에 고급보안에 가면 감사 탭에 설정가능

확인 은 관리도구의 이벤트 뷰어에 남아있다. 보기에서 필터 , 검색이 있다.            

이게 좀 불편하므로 이벤트 뷰어에 저장하고 싶은 메뉴(ex > 보안)에 우클릭후 저장

저장을 *. csv파일로 한다. (실제로 Windows/system32/Config/ 아래 있다. )    

실제로 이렇게 로그 분석하는건 보여주는 식이고 잘 하지 않지만,,,, 그래도 팁이다

MS의 로그파서라는 프로그램을 다운받아 sql형식으로 관리가능하다. 

10 파일시스템

새로운 하드 추가해서 문자 이름으로 하지말고 C 밑에 포인팅 개념으로 붙여넣을 수 있다. 

MBR : 

GPT : 아이태니엄 64비트 CPU 에 제공되는 윈도우에만 적용된 디스크 파티셔닝

윈도우 2003서버에서도 가능(서비스팩 1이상설치시에)

인텔의 서버용 CPU인 아이태니엄에만 제공되었으나 지금은 x86버전에서도 지원됨

주파시셔닝 128개까지 가능

기본디스크 : 그냥 디스크 .    동적 디스크로 변환가능

동적디스크 : 레이드 구성을 위한 디스크 .  기본 디스크로 변환하면 손실위험있다. 하지마라

동적디스크의 단순볼륨(심플볼륨이) 되어야 한다.

레이드 : 성능적 향상과 데이터 보존의 안정성(내결함성)

* 컨케이트네이트에서 growfs를 하면 확장가능

단순불롬 : 기본적인 파일 볼륨

확장불륨 : 윈도우에서는 스팬볼륨(확장볼륨2000 이상) 이라고 컨케이트네이트를 부른다.  

NT4.0에서는 Volume set   ,    
리눅스에서는 LVM(레이드라고 여기지 않음)

* LVM : 100+ 100 = 150+50

윈도우에서 디스크관리자
> 추가된 하드디스크가 보일것임

> 디스크 2 라고 표시된 부분 우클릭 디스크 초기화> 여기서 그냥 디스크 포멧해서 써도 되고 디스크 문자 할당하지 않고 c:\ 하위에 폴더형식으로 합류시킬수있다.( 비어있는 NTFS 폴더에 탑재)

> 다시 디스크 2라고 표시된 부분에서 동적디스크로 할당 선택
> 옆에  그래프 부분에 가서 우클릭 새 볼륨할당
> 볼륨마법사에서

단순, 스팬, 스트라이프, 미러 선택가능

단순은 그냥 일반 디스크
스팬은 단순 확장(컨케이트네이트)
스트라이브는 두개의 드라이브를 번갈아가며 저장
미러는 단순 복제 ( 2중 복제임)

> 다음으로 넘어가면 각 선택에 따른 디스크를 선택할 수 있는데, 마찬가지로 동적할당이 되어 있는 디스크여야만 함