gedit.msc: 그룹정책
그룹 정책(GP)은 Computer와 User 별로 설정 할 수 있음 두 설정이 충돌하면 Computer 설정이 우선
보안정책이 일부 만들어져있음을 확인 가능
로그인 시 지속적으로 묻는데, 필요 없음을 사용하게 되면 로그온 시
ctrl 하지않아도 되고, 그룹정책은 즉시 적용된다는 장점이 있음
전체적으로 도메인에서는 30분이 지나야 변경사항이 적용되기도 함
명령어 프롬프트에서 즉시 실행 하도록 할 수 있음
서버에서 뭘 하나 정하면 모든 클라이언트에게 동시 적용, 클라이언트들마다 다르기 때문에 실행
그룹은 그룹에 권한을 설정한 뒤 그룹에 사용자들을 넣으면 해당 사용자들은 해당 그룹에 정해진 권한을 자동으로 가짐
그룹생성 -> 그룹에 권한 설정 ->사용자 그룹 지정
내장 그룹
Administratorts Backup Perators, Event Log Readers, IIS_IUSRS, Network Configuration Operators, Performance Log Users, Power Users, Remote Desktop Users, Reploicator, Users 등은 역할을 그룹이름으로 유추할 수 있고, 이미 그룹에 해당 권한이 설정되어있음
Boot
Booting 과정
Power on -> MBR -> BootMGR -> Windows Loader -> Login screen -> 시작 프로그램 실행 -> 바탕화면으로 진행
정상 부팅이 되지 않을 경우
- 부팅 시 F8
Safe mode, Safe Mode with Networking, Safe mode with Command Prompt, Lask Known Good Configuration, Start Windows Normally 등을 확인 할 수 잇음 - 시작> 실행 > msconfig 입력 > 시스템 구성차이 뜨면 일반 텝에는 정상,진단, 선택 모드
부팅 탭으로 가면 하단에 부팅 옵션을 확인 가능, 안전부팅에 체크해두면 여러 옵션이 다음처럼 활성화되므로 선택해서 부팅이 가능
멀티부팅
시작할 때 특별하게 어떤 프로그램을 실행할 경우
해당 위치에 저장 > 시작프로그램에 악성코드를 넣어 둘 경우 시작 할 때 실행하게 됨
'hack'$ 파일을 생성해두면 보이지 않으나, 시작 시 실행됨 Windows 파일/폴더$ 식으로 하여 숨김파일과 폴더를 생성 함
시스템 구성에서 확인해보면 startup 프로그램이 시작에 들어가 있음을 확인 할 수 있음
도메인 서버에는 일반 사용자도 로컬 사용자 이기 때문에 administrator의 정책이 가능
그러나 정책을 수정하거나 삭제하는 등의 작업은 할 수 없음
원격 데스크탑 접속
제어판> 시스템>원격설정
모든 버전의 원격 실행 시 방화벽 예외 사용
Windows 7 등의 원격으로 접속이 가능
원격데스크탑으로 서버에 접속할 일반 사용자를 추가
administrator는 별도의 사용자 설정하지 않아도 원격데스크탑 접속이 가능
방화벽 설정에서 예외에 원격데스크톱 설정되어있는지 확인
방화벽을 통해 원격 데스크톱 접속이 가능
외부사용자에서 원격으로 접속
그룹을 설정하여 사용자 지정이 되지 않은 사용자도 원격 접속이 가능하게 설정이 가능
그룹은 그룹에 권한을 설정 한뒤 사용자를 넣으면 해당 사용자들은 해당 그룹에 정해진 권한을 자동으로 가지게 됨
패스워드 변경
관리자는 어느 사용자의 패스워드를 변경할 때 해당 사용자의 이전 패스워드를 몰라도 새롭게 패스워드를 지정할 수 있음
사용자는 자신의 이전 패스워드를 알고 있어야 새롭게 패스워드를 변경할 수 있음
관리자라도 일반 사용자의 패스워드는 알 수 없음
서버관리자
폴더 옵션
제어판 > 폴더 옵션 숨김파일을 해제 할 수 있음
스케줄링
반복적인 작업을 하는 것을 작업을 설정해 줄 수 있음
Defrag를 확인하면 주기적인 작업을 확인 할 수 있음
트리거에서 설정 변경
백업 프로그램 주기적 실행
작업스케줄러>동작>새로 만들기> 일반과 트리거 동작 등을 새로 생성
동작에서 Windows백업 프로그램 설정
완전한 파일 삭제
복구키와 인증서를 생성한 뒤 PFX 파일을 생성
cipher를 사용하여 파일을 암호화 키 생성 하여 testt파일을 보호
PFX: 퍼스널 파일
: 인증서와 개인키
생성된 키로 파일 암호화
인증서와 키가 생성된 것을 확인할 수 있음
안정성 및 성능 모니터
머신의 처리 속도 향상 시
하드웨어적으로 RAM을 추가하거나, CPU를 빠른 것으로 교체하는 방법
소프트에어적으로는 드라이브의 조각 모음을 클릭하거나,
파일 색인 생성해서 검색을 빠르게 할 수 있음
데이터 생성 암호화
파일을 생성한 뒤 파일 속성 > 고급 특성에서 암호화
암호화 실행 시 알림
암호화된 파일은 초록색으로 변해져있는 것을 확인 할 수 있음
암호화한 인증서를 내보내기 마법사를 통해 파일에 대한 키를 생성하고 할 수 있고,
남의 파일은 관리자라도 읽을 수 없음
만든키를 뿌려 주는 것이 위험, 동일한 키를 가지고 사용하는 것이 위험
키도 함께 전달해줘야되는 문제
일회용 암호 생성
암호화문장을 생성한 사용자가 A가 평문장을 암호화하고 암호화에 사용된 키를 함께 생성한 뒤
키와 암호문을 사용자 B에게 전해주어야 사용자가 암호문을 전달 받은 키로 풀 수 있음
생성한암호문 키와 해독하는 키가 동일하기 때문에 대칭키 구조
Administrator의 패스워드를 암호화해서 USB등 다른 저장소에 저장해두고, 로그인할 때 키로 로그인하면 HDD에 암호화 키를 저장하지 않음으로 보안적 우수
이동식 디스크를 사용하여 암호화 재설정
이 후 재부팅하여 디스크를 선택하고 부팅
일회용 암호인 이유는 암호를 재 설정하여 패스워드를 변경할 수 있음
