ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • [산대특] Windows Server 2008/2008 R2, 시작 프로그램, 작업 스케줄러, 성능 모니터, Administrator 패스워드
      [산대특]클라우드기반 빅데이터 활용 정보 시스템보안과정/Windows Server 2024. 9. 23. 20:10

      0923

       

        Windows Server 의 특징

        Windows 서버는 Linux처럼 다중 사용자 시스템, Software RAID 지원, 강력한 네트워크 지원,

      데이터 백업, 외부에서의 서버 접속, 데이터베이스 설치(MS SQL 서버),

       

      IIS(Internet Information System)을 통한 HTTP와 FTP 서버 설치, DNS 서비스(Active Directory 설정 시 도메인 필요), E-mail 서비스(무료 hMailServer나 MS Exchange 서버), DHCP 서버, 파일 서버, 도메인 설정(AD(Active Directory)를 통한 Group, OU(Organizational Unit)) 등이 가능하고, 

       

      가상화(Hyper-V), Server Core(/리눅스처럼 용량 줄이자아~/) 등과 Windows 2016에서는 Nano Server(/서버 코어 보다 더 줄인 애/)를 사용해서 클라우드 서버로 활용한다)가 특색이다. 

       

      PDC(Primary Domain Controller), BDC(Backup Domain Controller), RoDC(Read only Domain Controller)

      개념도 있다.  

       

      Windows에 내장된 cmd보다 강력한 Windows 7부터 내장된 Power Shell(Linux의 Shell Scripts와 유사)을

      사용해서 Linux의 Shell Script처럼 강력한 스크립트로 시스템 운영하게 해준다.

       

      =>Linux와 비교해서 Windows Server만의 장점으로는  

      모든 도메인 내의 노드들에 적용되는 GPO(Group Policy Object=GP, 매우 중요) 설정 

      여러 Domain 구축 및 확장, 그리고 연계가 편리해서 도메인 간 Trust 관계(양/단방향 있다) 설정이 용이

      ∎ Terminal 서비스(Very 리거시, 이젠 안써)는 원격 데스크탑으로 대체.

       

        도메인없는 처음 Windows Server는 Standalone(단독) Server(Local Server)가 되고,

      나중에 kahn.edu와 같은 도메인을 생성해서 이 서버를 도메인에 가입시키면

      Domain Server(기능면에서 보면 Domain Controller)가 된다.

      => 도메인 서버가 되는 것이 도메인 컨트롤러(역할)가 된다. 


       단독 로컬 서버에서의 사용자도메인 서버에서의 사용자는 구별된다!!!!! 

        단독 서버였을 때의 로컬 사용자는 단독 서버가 도메인 컨트롤러로 바뀌면 도메인 사용자로 자동 마이그레이션이 되지만 도메인 컨트롤러의 사용자는 자동으로 단독서버의 사용자가 되지 않는다!!!!    

      (요런게 어려워잉~)

       

      =>Standalone Server에서 paul 사용자를 생성,

      추후 서버가 Domain Server가 되면 paul 사용자는 자동으로 domain 사용자가 된다.

      Domain Server에서 mary 사용자를 생성하면 도메인 사용자, 로컬 사용자는 안됨. 로컬 서버에 로그인할 수 없다

      <= 도메인 로그인로컬 로그인이 다르다.

       

      도메인 사용자도메인에 가입된 어느 로컬 호스트(워크스테이션)에서도 도메인 서버로 접속할 수 있다!!!

      이 경우 워크스테이션은 하나의 터미널에 불과하다. 

       

        Windows에서의 hostname(Linux)을 NetBIOS Name이라고 한다.

       

        IE(internet Explorer)에서 각 사이트에 들어갈 때마다(https) 보안 예외, 

      이를 '서버 관리자'에서 IE ESC(Enhanced Security Configuration)에서 설정하면 해결 가능.

       

        주기적으로 관리자 패스워드 변경요청.  

      '컴퓨터 관리'에서 관리자 계정 > 암호 변경 없음, 암호 사용기간 제한 없음 등에 체크. 

       

        관리자는 여러 사용자를 생성한 뒤, 각 사용자의 계정 속성으로 가서 '다음에 로그온 할 때 패스워드 변경'에 체크

      => 사용자별로 자신만의 패스워드를 설정 가능

       

      로컬 보안정책으로 가서 계정정책으로 가서 암호정책에서 설정을 변경가능.

       

        로그온/오프 Event Tracer가 작동, GP(Group Policy)로 없애기 가능.  

        그룹 정책(GP)컴퓨터 구성사용자 구성 이 있다. 두 설정이 충돌하면 컴퓨터 구성 설정이 우선.

       

      =>Win7 컴퓨터에 로그온 할 때 바탕화면을 

      '사용자'로 설정하면 -> 사용자 별 바탕화면이 달라지고 

      '컴퓨터'로 설정하면 -> 사용자와 무관하게 해당 컴퓨터의 바탕화면은 일정해진다. 

       

      그룹정책시작 > gpedit.msc를 입력 - '로컬그룹정책 편집기'가 실행

      => 컴퓨터나 사용자로 가서 내장된 GPO 설정을 보고 설정

       

      그룹정책은 설정한 뒤 30분이 지나야 자동 적용

      콘솔에서 gpupdate /force 해주면 바로 적용.

       

        Windows Server 부팅 과정 

      전원 -> POST(Power On Self Test) -> MBR(Master Boot Record) 

      -> BOOTMGR(멀티부팅이면 원하는 OS 선택) -> Windows Loader (win.ini, sys.ini) 

      -> Login screen -> (로그인) -> 시작 프로그램 실행 -> 바탕화면

       

      혹은 Windows Server가 정상 부팅이 되지 않으면

      1) 부팅 시 F8을 누르고 

      Safe Mode, Safe Mode with Networking, Safe Mode with Command Prompt, 

      Last Known Good Configuration (advanced), 그리고 Start Windows Normally 등이 보이면

      여기서 Safe Mode로 들어가서 작업을 해줄 수도 있다. 

      OR 

      2) 시작 > 실행에 msconfig를 입력하면 안전모드로 들어갈 수도 있다. 

       

       

      서버 시작 시 특정 프로그램을 실행 = > 시작 프로그램 폴더에 넣으면 된다. 

      == Linux에서 /etc/rc.local 디렉터리와 비슷

       

      Windows에서는 악성 코드 등을 숨기기 위해서 파일/폴더에 hack$(Linux에서 .hack 하듯이)하면 숨김

      ls -a 하듯이 파일/폴더 보기 속성에서 *.*로 해주어야 볼 수 있다.  

       

        원격 데스크탑을 이용해서 서버에 로그인하게 하려면 

      제어판 > 원격설정에서 로그인하게 해주고 > 사용자를 지정

        =>개별적인 사용자를 일일히 지정하지 않고 '원격 연결 그룹'을 생성한 뒤

      사용자들을 여기에 넣어주면 이들은 원격으로 연결할 수 있다. 

       

      제어판에서 원격 데스크 탑의 방화벽이 열려 있는지 확인한다. 

       

        원격 데스크탑 연결 시 특정 프로그램 실행은 서버에서 GPO로 설정.

      => 이 부분이 이전의 Terminal Server의 역할을 대신하는 부분이다.

       

        ** 관리자는 목적별로 그룹을 생성하고, 그룹에 권한을 주면, 일괄적으로 권한 실행 가능. 

      Windows Server에는 Domain Local group, Global group, Universal group이 목적별로 만들어져 있다.  

        

        Windows 머신의 처리 속도를 빠르게 하려면

      하드웨어적으로 RAM을 추가하거나, CPU를 빠른 것을 교체하는 방법,

      소프트웨어적으로도 두 가지 방법 

        디스크 조각모음파일 인덱스(index)기법.

       

        Windows에서의 작업 스케줄러 

        작업 스케줄러는 작업 시간이 오래 걸리는 Disk DefragBackup 등을

      자주 작업해야 할 때 미리 스케쥴링 해서 한가한 시간에 수행되게 하는 기법. Linux에서의 Crond/At와 유사한 기능이다.

       

        폴더 보안을 위해서 완전 삭제를 할 수 있어야 하고,

      폴더를 보호하기 위해서 TPM이나 BitLocker와 같이 암호를 소프트웨어적으로 걸 수도 있다. 

       

        명령어 콘솔에서 특정 testt 폴더에 대해서 cipher W:C:\testt 해서 0x00, 0xFF,

      그리고 난수를 생성한 뒤, 두 키를 USB 등에 넣어두고 이제 testt 폴더를 열려고 하면 키를 묻는다.

      키를 지정하고 암호 문구를 넣어야 폴더가 열리게 된다. 

       

        데이터를 생성해서 암호화로 보호하기 

        데이터를 생성한 뒤 암호로 데이터를 보호할 수 있다. 

       

        성능 모니터

        서버 성능의 문제나 오류 등을 확인하려면 성능 모니터를 사용하면 된다. 여기서 보고서를 작성할 수도 있다.

       

        Administrator의 패스워드 따로 관리하기

        Administrator의 패스워드를 암호화해서 해시를 USB 등 다른 저장소에 저장해두고 로그인할 때 이 키로 로그인하기로그인 시 매번 패스워드를 변경하게 해서 들어가기.



      '[산대특]클라우드기반 빅데이터 활용 정보 시스템보안과정 > Windows Server' 카테고리의 다른 글

      [산대특] Windows Server 마지막 날, WDS, WinSer2016, Hyper-V, Nano Server  (0) 2024.09.28
      [산대특] Windows Server, Domain Local Group, Global Group, GP 그룹 정책, Audit 감사 정책  (0) 2024.09.26
      [산대특] Windows Server, Domain Controller Server  (1) 2024.09.26
      [산대특] Windows Server 공유폴더 권한/NTFS 권한/파일 권한, 개체 소유권, 서버 서비스 [Telnet, Backup & Restore, SSH, VNC, IIS(HTTP, FTP)], HDD 조작[LVM, RAID]  (0) 2024.09.24

      관련글 관련글 더보기

    연의 취업 도전기.

    티스토리툴바