Admin 사용자 추가 및 변경
서버 관리자 - 구성- 로컬 사용자 및 그룹 - 사용자 에는 기본으로 2개의 사용자가 등록되어 있다.
사용자 아이콘 중 Guest 에는 화살표가 아래로 되어 있다. 이것은 '계정 사용 안함' 으로 설정되어진 것이니 확인만 해보면 된다. 결국 현재 사용자는 Administrator 뿐인데 admin 계정을 다른 것으로 만들고 Administrator는 사용 아나함으로 설정하려고한다. 먼저 새 사용자를 만들어 준다.
사용자 이름과 '다음 로그온 할 때 반드시 암호 변경'을 해제 하면 '암호 변경 할 수 없음'과 '암호 사용기간 제한 없음'이 활성화 된다. 이 두 개만 체크하여주고 만들기를 클릭한다.
사용자 계정은 1개만 만들고 나중에 Administrator를 Rename하여 2개를 보유한다. 1개는 용도, 관리 별로 매번 틀린 이름이고 나머지 1개는 어떠한 서버건 계정이 동일하다. ( 단 암호는 특정한 규칙에 의해 서로 연관은 되어 있지만 서버마다 조금씩 틀리다.)
이렇게 필요한 사용자를 등록 후 닫기를 누르면 사용자가 만들어진 것을 확인 할 수 있다. 여기까지가 일바나 사용자를 만든 것이고 새로 만든 사용자를 Administarator 그룹에 넣어줘야 하겠다.
먼저 만들어진 사용자의 속성을 연다. 그리고 소속 그룹 탭에서 기존 User 그룹은 제거하고 추가 버튼을 눌러 고급 버튼을 누르고 지금 찾기 버튼을 누르면 그룹이 나온다. 이 중 맨 위 Administrator란 그룹을 선택하여 확인한다.
여기까지 설정이 완료되면 재시작을 해준다.
재부팅 후 새 사용자로 로그인 후 정상 로그인이 되면 기존 Administrator 사용자는 이름 변경으로 Administrator란 알려진 이름말고 Admin~으로 시작하는 다른 이름으로 변경하여 준다. 이렇게 하면 admin 계정은 두 개가 된다.
시작 메뉴를 예전 메뉴로 바꾸기
Windows Server 2008 설치 후 메인 바탕화면 맨 아래의 바(Bar)에서 마우스 오른쪽 버튼을 눌러 속성에서 바탕화면 시작 메뉴를 이전 시작메뉴로 선택 적용한다.
시스템 속성 변경, (서버 명, 작업 그룹 변경)
네트워크 환경 설정, 원격 데스크톱 설정
바탕화면 컴퓨터 오른쪽 버튼을 클릭하고 관리를 클릭하면 서버 관리자가 뜬다. 서버 요약부문에 시스템 속성변경을 눌러 컴퓨터 이름과 작업그룹을 변경 후 적용한다. 재시작을 해야 바꾼 내용으로 적용된다. 변경할 사항을 한 번에 바꾼 후 재시작을 하는 것이 시간적으로 효율이 높기 때문에 아직 재시작을 하지 않고 네트워크 연결 보기를 눌러 네트워크 연결 그룹을 열어 연결할 네트워크를 클릭하여 속성을 연다. 네트워크 장치가 여러개일 경우 어떤 네트워크 아이콘인지 모를 경우는 빠진 랜선을 잠깐 꼽았다 뺏다를 반복하면 아이콘의 변화로 어떤 네트워크인지 구분이 갈 것이다. 서버의 벤더 및 종류마다 또는 O/S마다 특히 (Linux 계열) 물리적으로 표시된 LAN CARD와 실제 O/S에서의 랜카드 번호가 서로 틀린 경우가 종종 있다. 그래서 확인을 하고 해당 네트워크 속성을 연다.
이중에서 파일 서버나 프린터 서버일 경우 또는 기타 특이한 용도 (Qos / 네트워크 모니터 관리 등)가 아니면 다른 것들은 선택 해제 하고 '인터넷 프로토콜 버젼4)TCP/Ipv4)만 설정을 한 후 속성에서 IP address, SubnetMask, Gateway의 정보를 입력한다. DNS나 Wins도 경우에 따라서 넣어준다. (대부분 DNS만 넣어준다.)
Wins는 hosts와 같은 개념이다. DNS 정보 전에 먼저 참작을 한다. 서버의 용도이다 보니 IP도 자동으로 받는 DHCP가 아니라 Static으로 입력을 대부분 해준다. 위의 설정도 사용자의 환경이나 서버의 용도 등에 따라 약간씩 차이는 있을 것이다.
그리고 원격 데스크톱 구성을 클릭하여 원격데스크톱에서 아래의 그림처럼 '모든 버전의 원격 데스크톱을 실행 중인 컴퓨터에서 연결 허용' 란을 체크하여 준다.
이 컴퓨터에 대한 연결 허용 안함은 말 그대로 원격 데스크톱을 사용하지 않을 때 체크 하는 것이며, 맨 아래에 있는 '네트워크 수준 인증을 가진 원격 데스크톱을 실행중인 컴퓨터에서만 연결 허용'은 터미널 라이센스나 원격을 허용하는 상대 컴퓨터의 O/S 버젼의 특수를 타기에 다른 곳에서 보안 설정을 높여주면 되므로 '모든 버젼~' 만 체크하여 주고 설정을 마친다.
시각효과 최적 성능으로
바탕화면 - 컴퓨터 - 속성 - 고급시스템 설정 - 고급 탭 - 성능 - 설정 클릭 - 최적 성능으로 조정에 체크.
고급탭에서 성능 설정버튼 클릭 → 시각효과 최적성능으로 조정 체크.
시작 및 복구 설정버튼 클릭 → 운영체제 목록을 표시할 시간 10초로 단축 → 확인
Microsoft 자동 업데이트 시간 설정
제어판 - Windows Update - 설정 변경에서 업데이트 자동설치(권장) (백업 스케쥴이나 서버의 용도에 따라 조정)
권장 업데이트에 중요 업데이트를 받을 때와 가타은 방식으로 권장 업데이트 제공란을 체크한다.
익명 접근 거부 설정
다음은 레지스트리를 수정하여 익명 (anonymous 나 guest)으로 access 하는 것을 막는다.
시작 - 실행 - 'regedit' 을 입력해서 레지스트리 편집창을 연다.
내 컴퓨터 밑에 5개의 서브 항목이 뜨는데 재 각기 역할이 다르다.
내 컴퓨터 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa에 오른쪽 항목에 restrictanonymous 값이 있다. 더블 클릭하여 값 데이터를 '2'로 바꾸어 주면 된다. 2란 값은 16진수나 10진수나 동일하기에 굳이 10진수에 체크할 필요는 없다.
내 컴퓨터 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters 위치에 DWORD 형식 또는 QWORD 형식으로 AutoShareServer 값 데이터를 0으로 추가 등록한다.
방법은 그 트리 밑에서 마우스 오른쪽 클릭 새로 만들기 → 32bit 용일 땐 DWORD 값을. 64bit로 설치시엔 QWORD 값을 선택하여 이름에 AutoShareServer를 입력 (대소문자 구분)하여 더블 클릭하여 값이 0임을 확인하면 된다.
여기까지가 익명 계정을 제한하는 설정이다. 레지스트리를 닫고 레지스트리를 적용하기 위해선 재부팅을 하여야 하나 나중에 다른 설정으로 레지스트리를 수정해주어야 하므로 모두 마친 후 재부팅 하도록 하겠다.
원격 접속 포트 (default 3389 port에서 임의의 Port 번호로 변경하기) - 터미널 포트 변경
윈도우 서버 또는 유닉스 리눅스 서버 등 관리를 위해서는 원격으로 접속하여 서버의 상태 및 설정등을 변경하곤 한다. 윈도우 서버의 경우 서버에 접속하기 위해서 '원격데스크탑 연결' (실행 : mstsc 실행)을 사용한다.
윈도우 서버 터미널 포트가 잘 알려져 있다시피 3389포트를 사용한다.
이 포트를 변경하는 목적은 관리를 위함도 있거니와 기본적인 보안 설정을 위해서도 필요한 부분이다.
본 터미널 포트 변경 이미지는 윈도우 서버 2003 R2에서 캡쳐를 하였으나 2008에서도 동일한 경로로 (이미지는 틀림) 설정 변경을 할 수있다.
이제 본격적으로 터미널 포트 변경 방법을 알아 보겠다.
서버에서 시작 - 실행 - 'regedit' 을 입력후 레지스트리 창을 띄운다.
레지스트리 편집기에서 'HKEY_LOCAL_MACHINE' 밑에 있는 디렉토리 2군데만 변경해주면 된다.
그 경로는 [내컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CureentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 의 PortNumber의 값을 3389 → 임의의 값 을 입력해주면 된다. (임의로 5555로 변경)
여기서 DWORD 값 변경시 10진수로 변경을 해주어야 우리가 흔히 말하는 숫자로 보낸다.
16진수에서 변경하면 전혀 다른 숫자가 된다.
마찬가지로 [내컴퓨터\HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]의 PortNumber의 값도 3389 → 임의의 값 (저는 5555로 변경) 을 입력해주면 된다.
이 두가지 값을 변경하였으면 모두 변경 된 것이다. 그러나 레지스트리를 변경하였으므로 변경된 값을 적용하기 위해서는 재부팅을 해주어야 된다.
※ 만일 현재까지의 셋팅을 원격 터미널로 접속하여 셋팅 하는 것이라면 재부팅 하면 안된다. Windows 2008의 경우 방화벽 사용이 기본이므로 터미널 기본 Port 3389는 허용되어 있으나 변경한 새로운 임의의 Port는 허용이 안되어 있으니 재시작시 접속이 되질 않는다. 따라서 밑의 Windows 방화벽 설정에서 새로운 원격 접속 포트를 먼저 허용한 후 재부팅하기 바란다.
재부팅 후 원격 데스크탑 연결을 실행 후 서버 IP 뒤에 :5555(임의의 포트)를 입력하시면 연결이 될 것이다. 확인을 위해 :(포트번호) 입력없이 연결도 해본다. 포트번호 입력없이 연결은 당연히 안되어야 정상이다.
원격 접속 포트 변경을 한 후,
Windows 방화벽 구성에서 원격 포트 추가 하기
원격 접속 포트를 레지스트리에서 변경하면 윈도우 방화벽에서도 변경한 Port를 추가해 주어야 한다. Winodws 2008의 경우 자동으로 윈도우 방화벽이 작동되게끔 되어 있으니 관리의 목적으로 해제를 하지 않았ㄷ면 Port를 추가해주어야 한다. 이 때 <서버관리자>에서 윈도우 방화벽으로 이동하게 되면 인바운드와 아웃바운드에 대한 기본 지식이 있어야 하는 고급 방화벽 설정으로 들어가게 된다.
기본 지식이 있다면 여기서의 Port 추가가 가능하겠지만 그림을 담아 설명하듯이 기초자들이 쉽게 접근하여 추가하는 방법을 해보도록 하겠다.
바탕화면 - 네트워크 - 속성 - 왼쪽 프레임 밑에 Windows 방화벽을 클릭하거나 제어판 - Windows 방화벽을 클릭하면 아래의 심플한 화면이 뜬다.
설정 버튼을 클릭하면,
여기에 예외 탭으로 들어가서 포트 추가 버튼을 누른다.
위와 같이 이름에는 '원격 데스크톱 사용자 지정' 이라고 입력하고 포트번호는 임의의 번호 5555를 입력하고 TCP에 체크를 확인한다. 이렇게 만들어 준 예외탭에서 기존 default 로 설정되어져 있던 '네트워크 검색', '원격 데스크톱', '핵심 네트워킹'등 기존 체크를 모두 해제하고 위에 새롭게 추가 등록한 '원격 데스크톱 사용자 지정'만을 체크를 남긴 후 적용 확인한다. (물론 서버의 용도에 따라서 유연한 환경 설저을 해주어야 한다.)
Port의 종류는 다양하고 웹서핑하면서 쉽게 찾을 수 있다.
기본적으로 몇 가지 정리해보자면 (거의 모든 서비스 Port는 사용자가 조정 할 수 있다.)
기본 값
HTTP : TCP 80, TCP 8080
FTP : TCP 21
SSL : TCP 22
SMTP : TCP 25
POP3 : TCP 110
DHCP Server : UDP 67
DHCP Client : UDP 68
MS-SQL : 1433
My-SQL : 3306
Oracle : 1521
대략 이런 것들이 있고 변경은 가능하지만 대부분 기본 port 번호 근처에서 변경한다.
추가 정보는 1025 ~ 5000번 까지의 port는 Application에서 사용하나는 Rule이 있고 5000~65,535까지 사용자가 맘대로 지정 할 수 있다. 포트가 아닌 프로그램도 예외에 등록 할 수 있다.
윈도우 서버에서 제공하는 기본 서버 역할 추가 하기
서버의 용도에 따라역할을 추가 할 수 있는데 서버 관리자 - 역할 에서 추가 할 수 있다.
그림을 보듯이 AD서버 또는 DHCP, DNS, 배포서버, 파일/프린터 서버, 팩스 서버, IIS 서버 (웹, Mail, FTP등) 등 Microsoft Windows Server에서 기본 제공하는 서버 툴 들이며 이것을 사용하여도 무방하고 별도의 Application을 사용하여도 무방하다. 단, 별도의 Application의 경우 위의 서버 역할에서 굳이 선택을 하지 않아야 된다.
대부분의 APP 설정 시 알아서 사용하는 Port를 열어 준다. 만일 위의 기본 역할도 올려주고 APP을 구동 시 사용하는 default Port가 같아서 서비스가 원활하지 않다.
로컬 보안 설정 최적화 하기
로컬 보안 저액을 수정한다.
시작 - 프로그램 - 관리도구 - 로컬보안정책을 연다.
로컬 보안 설정 창이 뜨면 보안 설정 밑에 로커 정책 - 감사정책을 선택한다.
계정 관리 감사
계정 로그온 이벤트 감사
로그온 이벤트 감사
시스템 이벤트 감사
정책 변경 감사
위의 5개항목에 대하여 더블 클릭하여 성공과 실패 모두 체크하여 준다. (기본은 감사 안함으로 설정되어져 있다.)
이것은 나중에 관리시에 시스템 이벤트 뷰어에 보면 보안 밑에 로그를 남기도록 체크하는 것이다. 여러 접근 및 설정 변경에 관련된 사항을 로그 분석을 통하여 관리를 할 수 있다.
보안설정 - 로컬 정책 - 사용자권한 할당에 들어가서 우측에 '로컬 로그온 허용에서 Users 그룹을 삭제하고, Backup Operators 그룹도 있다면 마저 삭제하여 Administrators 그룹만 남긴다.
보안 설정 - 로컬 정책 - 보안 옵션에서
네트워크 보안 : LAN Manager 인증 수준 : NTLM2 응답만 보내기 및 LM 거부
네트워크 액세스 : SAM 계정과 공유의 익명 열거 허용 안함 : 사용
네트워크 액세스 : 원격으로 액세스 할 수 있는 레지스트리 경로 : 모두 삭제
네트워크 액세스 : 원격으로 액세스 할 수 있는 레지스트리 경로 및 하위 경로 : 모두 삭제
네트워크 액세스 : 익명으로 액세스 할 수 있는 공유 : 모두 삭제
네트워크 액세스 : 익명으로 액세스 할 수 있는 명명된 파이프 : 모두 삭제
대화형 로그온 : 마지막 사용자 이름 표시 안 함 : 사용
도메인 구성원 : 고급 세션 키 요청 (Windows 2000 또는 그 이상 ) : 사용
과 같이 설정하면 된다. 이미지는 아래와 같다.
위 사항들은 내용 설명이 좀 복잡하나 한 가지만 예를 들어 설명을 하자면 운영체제 Windows Server2008 부팅을 하게되면 등록되어진 사용자가 사용자 이름과 아이콘이 등록되어진 갯 수 만큼 화면에 보여준다. 여기서 필요한 계정을 클릭하여 암호를 넣고 로그온을 하게 되는데 계정을 감추고자 위에 보안설정을 한 것에 위배 된다. 로그온전에 사용자 계정이나 그 갯수를 보여지지 않게하는 설정이 '네트워크 액세스 : SAM 계정과 공유의 익명 열거 허용 안함 : 사용' 이다. 이것을 사용으로 설정하면 운영체제 접속 시 사용자 계정까지 그때 그때 입력을 해주어야 한다. 물론 여러 해킹 툴에 의해서 등록되어진 사용자 검출도 되지 않는다. (보안 등급을 높이는 기본)
IP보안 정책 설정으로 고급 보안 적용하기
위 그림에서도 보이지만 왼쪽 프레임에 IP보안 정책 (위치 : 로컬 컴퓨터) 가 보일 것이다.
이 설정은 ip 필터 설정으로 특정 IP 차단과 허용 뿐 아니라 그 로그를 관리자에게 보여준다.
기본으로 3개의 설정이 되어있다.
서버 (보안요청)
클라이언트 (응답만)
보안 서버 (보안필요)
여기서 마우스 오른쪽 버튼을 누르면 IP 필터 목록 미치 필터 동작 관리가 있다.
추가 마법사 사용이 체크 되어 있으므로 IP 필터 마법사가 시작된다.
다음 → 설명을 기입 → 원본 주소 (특정 IP주소) → 대상 주소 (모든 IP주소) → IP 프로토콜 종류 (모두) → 마침
위와 같은 방법으로 특정 IP를 차단 또는 허용하는 리스트를 만든다.
다음 → 설명을 기입 → 원본 주소 (모든 IP주소) → 대상 주소 (모든 IP주소) → IP 프로토콜 종류 (모두) → 마침
위와 같은 방법으로 특정 ip를 차단하는 리스트를 만든다.
로컬 보안 정책에서 IP 보안 정책 (IP 보안 정책 만들기) 에 들어가서 마법사를 시작한다.
다음 → 이름, 설명을 기입 → 기본 값으로 다음 → 기본 값으로 다음 (경고 무시) → 마침
그러면 오른쪽에 4번째 새로 만든 IP 보안 정책이 등록 되어 있다. 클릭하여 등록정보를 연다.
추가 버튼을 누르면 IP 보안 규칙 만들기 마법사가 시작 된다.
다음 → 기본 값으로 다음 → 기본 값으로 다음 → IP 필터 목록이 나오는데 미리 만들어 둔 필터를 선택한다.
다음 → 거부 또는 허용을 선택한다. 다음 → 마침
위의 절차로 허용 또는 차단을 등록시켰다면 적용하면 된다. 해당 IP 보안 정책을 선택하여 오른쪽 버튼을 클릭하여 정책 할당을 해주고 정상적으로 작동 되는 지를 확인한다.
IIS (Internet Information Server) 사용하기
다음은 서버의 용도에 따라 FTP나 Mail 또는 Web Server 용도일 때 별도의 APP를 사용하지 않고 Windows에서 지원하는 IIS (Internet Information Server)를 사용할 때의 설정이다. 아래의 설정은 용도에 따라 설정 적용이 필요 없는 경우가 많다.
서버 관리자 - 역할에서 역할 추가를 클릭한다.
서버 역할에서 웹서버 (IIS)를 클릭하면 아래의 기능을 추가하겠습니까 ? 란 창이 뜬다.
'필요한 기능 추가' 버튼을 누르고 다음 - 다음 버튼을 눌러 필요한 서비스를 선택하여 주면 된다.
이 때 FTP 서비스도 추가하려고 한다면 항목에서 FTP 게시 서비스를 선택하여야 한다.
- ASP.NET 사용 체크 → .NET 확장성 / ISAPI 확장 / ISAPI 필터 자동으로 체크 된다.
- FTP 게시 서비스 체크 → FTP 서버 / FTP 관리 콘솔 자동으로 체크 된다.
이 외에도 서버 역할이 다양하게 있다. 역할 추가 시 마다 Windows 2008 Source CD 를 물어보는데 이런 것들에 대비해서 여유있는 디스크 공간에 Source CD에 있는 sources 폴더를 copy 해 놓는 것이 좋다. (매번 번거롭게 CD를 넣을 필요 없게 ex) C:\source\Win2K8에 복사해 놓는다.)
Mail, FTP, Web 서버를 IIS로 사용 할 때 다운로드왕 ㅓㅂ로드의 용량이 기본
다운로드 4M / 업로드 2M에서 아래와 같이 용량을 늘려 준다.
※ 다운로드 및 업로드 용량 제한 설정 방법
C:\\windowssystem32\inetsrv\Metabase.xml 파일 수정.
- 수정하기 전에 'IIS → 로컬 컴퓨터(속성) → 메타베이스 직접 편집 허용' 체크하고 수정 후 없애기
- AspBufferingLimit : 4194304에서 209715200으로 변경 (200M로 다운로드 제한)
- AspMaxRequestEntitiyAllowed : 204800에서 20971520으로 변경 (20M로 업로드 제한)
언급하엿듯이 수정이 끝났으면 'IIS → 로컬 컴퓨터(속성) → 메타베이스 직접 편집 허용' 체크 해제하기.
다시 한 번 말하면, 이 필드는 서버의 용도에 따라 필요한 부분일 수도 또는 PASS해야 하는 부분일 수도 있다.
IIS를 이용한 서비스를 할 때에만 이 필드가 필요하다.
불필요한 서비스 중지하기
서버관리자 - 구성 - 서비스에서 사용하지 않는 서비스를 중지하거나 사용 안함으로 설정 할 수 있다.
사용 안함으로 하면 재부팅하여 적용되는 것이고 중지 버튼까지 누르면 재부팅 없이도 서비스를 내리는 것이므로 중지를 누른 후 사용 안함 버튼을 연계된 오류 등을 체크해야 한다.
기본, 공통적인 것은
Computer Browser
DHCP Client (IP가 DHCP로 받아오지 않을 때 불필요)
DNS Client
IKE and AuthIP IPsec Keying Modules
Internet Connection Sharing (ICS)
Net. Tcp Port Sharing Service
Offiline Files
Print Spooler
Remote Registry
Routing and Remote Access
TCP/IP NetBIOS Helper
Telephony
Terminal Services Configuration
Terminal Services UserMode Port Redirector
UPnP Device Host
Windows Audio
Windows Audio Endpoint Builder
WinHTTP Web Proxy Auto-Discovery Service
이렇게 18가지 서비스를 중지하고 사용 안함으로 변경 한다. 이외에도 서버의 용도에 따라 약간 틀릴 수 있다. 그 반대로 자동 시작 설정은 예를 들어, 웹서버를 ASP.NET으로 서비스를 하고자 한다면 ASP.NET State Service를 시작하고 자동으로 변경해주면 재부팅시 자동으로 시작된다.
터미널 서비스 구성 수정하기
시작 - 프로그램 - 관리도구 - 터미널 서비스 - 터미널 서비스 구성을 클릭하면 위의 그림이다.
화면 가운데의 RDP-Tcp의 속성을 연다. 일반 탭 - 암호화 수준 [높음] 으로 변경.
세션 탭 - 사용자 설정 무시 체크후에 유휴 세션 제한 [1시간] 으로 변경하고 바로 밑에 사용자 설 정 무시 체크.
나머지는 기본으로 설정 유지하고 적용 버튼을 클릭한다. 여기까지가 터미널 접속시 보안 설정을 높여 주는 것이다.
Windows 2008 Server의 기본적인 설정을 마친 상태이고, 여기서 서버 백신 프로그램을 설치하여 준다. 별도의 USB나 CD로 설치를 한 후 재부팅을 하여 준다. 재부팅 후 랜선 (네트워크) 연결하여 백신 프로그램 업그레이드와 O/S 업그레이드를 진행하면 된다.
댓글 없음:
댓글 쓰기