서버 #23

* bitlocker 드라이브 암호화

 

하드 자체를 암호화하는 기술이다. 하드를 도난당해도 암호키없이 읽을 수 없음.

TPM이라 불리는 마이크로칩이 메인보드에 내장되어 있어야함.

바이오스에서 TPM 기능을 제공해줘야함.

가상에서는 하드웨어 방식인 TPM 사용할 수 없고 소프트웨어 방식으로 해야함.

 

* 암호화 적용

windows도 사용 가능한데 얼티밋이나 엔터프라이즈 에디션이어야함.

윈도우즈 서버 2대에서 실습해봄

 

1번과 2번 PC 준비함.

1번 pc에 서버 기능 추가에서 Bitlocker drive encryption 추가

관리도구포함은 체크 해제.

 

1번 pc에 bitlocker로 쓰일 SCSI 하드를 하나 추가함.

디스크를 온라인시킴 - 디스크 초기화 진행.

새볼륨으로 하나 만들어준다.

볼륨 레이블에 bitlocker를 적어주자.

 

gpedit.msc 실행

컴퓨터 구성 - 관리 템플릿 - windows 구성요소 - bitlocker 드라이브 암호화

드라이브 암호화 및 수준(win10버전이상) 선택에서 사용.

(드라이브 암호화 사용할 것을 선택한 것)

 

bitlocker 드라이브 암호화 아래에 운영체제 드라이브 선택.

운영체제 드라이브에 드라이브 암호화 종류 - 전체 암호화 적용 사용.

 

운영체제 드라이브 - 시작 시 추가 인증 요구 사용.

호환 TPM이 없는 bitlocker 허용 체크

 

고정 데이터 드라이브 - 고정 데이터드라이브에 드라이브 암호화 종류 적용 사용.

전체 암호화 적용.

이동식 데이터 드라이브도 동일하게 적용.

1번 pc 재부팅함.

 

재부팅 후 제어판 - 시스템 및 보안 - bitlocker 드라이브 암호화

아래쪽에서 암호화 켜기

암호를 사용하여 드라이브 잠금해제 체크, 암호 입력.

 

복구키를 백업할 방법 선택에서 파일 저장하여 아무데나 저장함.

사용할 암호화 모드에서 기본 값인 새 암호화 모드 선택.

새 암호화 모드가 강력한 암호화지만 windows server 2016 또는 win 10을 써야함.

암호화 시작을 함. 

다시 재부팅

암호화된 드라이브 열려고하면 암호 쓰라고함. 

열리는지 확인 후 1번 pc 종료.

 

* 디스크 옮겨서 읽기

 

2번 pc에서 use an exsting virtual disk로 해당 디스크를 가져옴.

온라인 시켜도 아무런 반응이 없다.

위에서 적용한 것들을 동일하게 해줘야한다.

 

복구키를 통해서 기타옵션에서 복구를 테스트해보자

 

* 감사정책

감사는 사용자의 작업이나 시스템 활동을 추적하고 감시하는 것이다.

이벤트를 지정하여 그 이벤트가 발생 시에 컴퓨터에 기록하게 된다.

CCTV와 비슷하다고 생각하면 됨.

 

PC의 로그온 시간, 로그오프시간, 정책변경 시간 등 기록 가능.

이벤트 뷰어에서 확인 가능함.

 

감사정책 사용하면 

1. 외부 공격 찾을 수 있음

2. 외부 공격에 대한 피해를 확인할 수 있음.

3. 피해 예방이 가능함.

4. 시스템 성능에 나빠지는 기준 정할 수 있음.

 

* 테스트

aaa.com 서버의 그룹 정책 관리 - 디폴트 도메인 폴리시 편집

-> 컴퓨터 구성 - 정책 - windows 설정 - 보안 설정 - 로컬 정책 - 감사 정책

계정관리감사 - 성공

 

ad 사용자 및 컴퓨터에서 계정 몇 개를 생성함.

이벤트 뷰어에서 확인해보자

windows 로그 - 보안

한 작업에 여러 이벤트가 발생했단 것을 확인했다.

 

* ad 도메인 개체에 접근 시에 기록 남는 감사 정책은?

개체 엑세스 감사에서 성공

 

c드라이브 아래 폴더 하나 만들고 auth만 모든 공유를 해준다.

보안에 들어가서 고급 - 감사 - 추가에서 auth 대상으로

유형 성공 - 고급 권한 표시 - 파일 만들기, 폴더만들기, 삭제 체크 후 나머지 해제

명령 프롬프트로 즉시 업데이트.

 

클라이언트 pc에서 \\ip또는 pc명\방금 만든 연습파일명

들어가서 폴더 생성도 해보고 삭제도 한다.

이벤트 뷰어에 생성된 내용을 확인함.

 

참고할 내용

https://www.microsoft.com/en-us/download/details.aspx?id=50034

Windows security audit events

This spreadsheet details the security audit events for Windows.

www.microsoft.com