본문 바로가기
dev/windowServer

OS 및 MS-SQL 보안에 관한 기본적인 설정 내용 문서.

by Kelvin™ 2011. 2. 10.


오늘 SQLER 에서 진행하는 보안 세미나중 중요하다고 생각되는 내용을 정리합니다.

회사에서도 보고를 해야해서리.. 간략하게만 정리를 해 봅니다.


1. OS 단 처리

  - 관리 공유 해제 : 관리의 목적으로 설정되어 있는 드라이브 공유 목록을 모두 제거합니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
      에서 값데이터를 0 으로 수정하면 관리목적으로 공유된 드라이브는 모두 삭제 됨.

  - 터미널 서비스 포트 변경 : 터미널서비스의 기본 포트인 3389 포트를 변경합니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      단위를 10진수로 변경 후 포트번호를 변경합니다.
      이때, 포트 번호는 윈도우즈 방화벽과 시스템 그룹 방화벽에서 허용으로 셋팅을 해두고 3389 포트는 막아두는 방법을 권장합니다.

  - 주요계정 명칭 변경 : 윈도우에서 기본적으로 제공하는 기본적인 시스템 계정의 명칭을 변경 합니다.
      발표자님께서는 필히 변경해야 한다고 말씀 하셨는데 저흰 그대로 사용 하고 있었습니다.
      윈도우에서 기본적으로 제공되는 Administrator 계정과 Guest 계정의 명칭을 변경하거나 삭제하고
      다른 계정명칭을 사용하는 방법 입니다.

  - Windows 방화벽 사용
      Windows 2003 시스템에서는 기본적인 내용만으로 방화벽을 제공하나.. 
      Windows Server 2008 에서는 인바운드와 아웃바운드 연결을 제어하여 사용이 가능하게끔 해줍니다.
      보통은 인바운드만 신경을 쓰게 되는데.. 발표자님께서는 아웃바운드 연결도 상당히 중요하다고 하셨습니다.

  - MBSA : Microsoft Baseline Security Analyzer 
      마이크로 사이트 에서 제공해주는 기본적인 보안 취약성 평가 도구 입니다.
      아직 사용해 보진 않았지만 새로운거 하나 배웠습니다. ^^

  - 발표자님께서 정의한 SQL Server 보안 10계명
     . 가능한 윈도우 인증을 사용한다.
     . sa 계정 사용을 주의한다.
     . BUILTIN/Administrator 그룹을 제거한다.
     . 서비스 시작 계정을 변경한다.
     . 실패한 로그인과 거부된 로그인을 감사한다.
     . 확장 저장 프로시져를 보호한다.
     . SQL 서버 포트를 변경하고 보호한다.
     . 저장 프로시져를 통한 접근을 제어한다.
     . 응용프로그램 서버와 분리한다.

2. MS-SQL 서버단에서의 처리

  - 기본 포트 변경
     MS-SQL의 기본포트인 1433을 변경합니다.
     변경 후 방화벽 포트 확인 하고 1433 포트는 아에 방화벽에서 막아버리는 방안도 좋을 것 같습니다.

  - SA 계정 명 변경 
     사실 sa 계정명까지 변경한다는 사실은 이번에 알았습니다.
     이것도 변경해서 공유하는 방향으로 해야 할 듯 합니다.

3. 그리고 추가사항들.
  - 침해사고 대응 절차 매뉴얼 제작.
  - 상시 백업 : 현재 2차 백업까지 적용하여 서비스 하고 있음.
  - 각 서버별 오픈된 포트리스트 문서화및 방화벽 오픈 포트 문서화.
  - 네트워크 모니터링, 로그분석을 통한 과도한 접속시도 분석.
    ( 과도한 접속시도분석시 꼭 아이피를 확인 할 것. )
  - 내부보안 강화 : 개인적으로 중요하다고 생각되나 가장 지켜지지 않는 것으로 생각합니다.

4. 개인적인 의견.
   - 직원 퇴사가 결정되면 퇴사 일 이후 모든 보안작업을 완료.
   - 군에서 비문계에 있을당시 각 컴퓨터 패스워드 변경문서가 하달되어 일정기간동안 변경해야할 비밀번호가 전달되었습니다.
     ( 6개월 단위로 비밀번호 변경 스켸쥴을 문서화 하고
        그 문서가 노출 되었을때에 대한 내용( Plan B ) 도 정리하여 비문함에 넣어놓는 것은 너무 오버일까요?   ^^  )


오늘 세미나 내용을 1차적으로 이정도로 마무리 하고 실제 적용 사례를 정리해 봐야겠습니다.



    
 
저작자표시 비영리 변경금지

'dev > windowServer' 카테고리의 다른 글

FileZilla Server Admin 비밀번호 분실했을때 찾아내는 법..  (0) 2011.08.31
서버 OS 설치시나 설정시 지켜야할 준비사항들. - 보안관련  (0) 2011.02.14
홈페이지 운영시 참고해야 할것.  (0) 2011.01.11
DM 발송시 고려할 사항 리스트.  (0) 2010.10.21
기본 가상 디렉터리를 다시 설정하는 방법 Exchange Server 2003 서비스  (0) 2010.06.23

관련글

티스토리툴바