Embed Size (px)
Citation preview
보안 관점에서 살펴본Windows Server 2003 vs. Windows Server 2012
Seung Joo Baek
Sr. Technical Evangelist
Microsoft Korea
Windows Server 2003, How to migrate
Security
오늘의 게스트 스피커
2009.11.02 @ Windows Server 2008 R2 Launch
1st Point
Patch
매월 2주차 수요일이면…
업데이트를 안하게 되면 어떤 결과가…
2nd Point
Basic Security
가장 기본적인 차이, 커널
• Windows Server 2003• NT Kernel v5.2
• Windows Server 2012 R2• NT Kernel v6.3
• SDL(Security Development Lifecycle)이 초기 시점부터 반영되었는지
• 보안에 대한 기본 골격이 갖춰져 있는지
사용자 계정 컨트롤 (UAC)
보안의 기본, Permission, 그리고 Windows 리소스보호
Windows Integrity Mechanism
• 개별 프로세스의 보안 토큰에 IL이 부여
• IL의 예• Low – 보호 모드의 Internet Explorer(IE)와 해당 IE에서 실행된 프로세스
• Medium – Standard User 프로세스
• High – 권한이 상승된 Administrator 프로세스
• System – System 서비스
• IL 역시 상속
• IL을 확인할 방법 – Whoami, Process Explorer, AccessChk, Icacls
Windows Integrity Mechanism
Windows Integrity Mechanism
Medium IL
Process
High
Medium
Low
High
Medium
Low
읽기
쓰기
Low IL
Process
프로세스 개체
Internet Explorer, 그리고 보호 모드
세션 0 고립
• Windows Server 2003• 모든 Windows 관련 서비스가 로그온한 사용자와 같은 세션으로 동작
• Windows Server 2008 이후• 서비스를 Session 0에 고립시킴
• 첫번째로그온한 사용자를 Session 1에 배정
• Session 0와 Session 1간에 상호 작용 금지
부트 영역에 대한 보호, 보안 부팅
보안 구조 개선, 그 나머지
• 커널 패치 보호
• 코드 무결성
• DEP/NX (Data Execution Protection)
• ASLR (Address Space Layout Randomization)
• 액티브 디렉터리의 커베로스 v5 이후 지원
• http://technet.microsoft.com/en-us/library/cc771361(v=ws.10).aspx
3rd Point
Service Security
Windows Server의 시스템 계정• Local System
• 가장 권한이 높은 내장 계정• NT AUTHORITY\SYSTEM
• Local Service• Users 그룹과 같은 권한• 네트워크 접근시 계정 정보를 가지지 않은 Null 세션• NT AUTHORITY\LOCAL SERVICE
• Network Service• Users 그룹과 같은 권한• 네트워크 접근시 컴퓨터 계정으로 인증• NT AUTHORITY\NETWORK SERVICE
서버 코어
4th Point
Scanning
옛날에는
랜 케이블을 연결하지 않고 운영 체제를 설치한 적이 있었습니다.
Windows Server 2003 SP2에서
지금은
포트가 열렸다는 것은
단순하게 무엇을 하고 있다는 것만 의미하지 않습니다.
5th Point
WebServer
모듈 기반의 설치
기본 보안 기술
• IIS 관리자 인증 및 위임
• IP 주소 및 도메인 제한
• 권한 부여 규칙
• 요청 필터링(URLSCAN)
• 그리고 보안은 아니지만 이기종에 대한 지원
IIS 6 vs. IIS 8
IIS 6 vs. Apache Tomcat 7.x
오늘의 게스트 스피커
6th Point
Security with Client
End-Point Security
End-Point Connectivity with Secure
7th Point
IDentity with Security
Enterprise IDentity
• Windows Server의 액티브 디렉터리• 인증 : Kerberos
• 관리 : 그룹 정책
• 그러나, 액티브 디렉터리의 범위를 외부로 안전하게 넓히는 방법에 대한고민
D+S 시대에 적절한 IDentity꼬알라 동물원
Federation Trust
내부 클라이언트컴퓨터
리소스Federation Server
계정Federation Server
웹 서버
Active Directory
1
3
4
5
6
7
8
9
10
11
2
사용 권한관리에 대한 편의성 – 그룹
정적인 그룹 관리에 대한 한계
• 비즈니스 변화에 따른 반복적인 변화 필요
• 실수 및 미파악으로 인한 보안 문제 발생 가능성
• HR(인사) 데이터베이스와의 연계적 측면 한계
동적 액세스 제어(DAC)
1st Point
Patch
2nd Point
Basic Security
3rd Point
Service Security
4th Point
Scanning
5th Point
WebServer
6th Point
Security with Client
7th Point
IDentity with Security
MICROSOFT CONFIDENTIAL
본 자료는 Microsoft의 영업비밀을 포함하고 있습니다. 본 자료는 합리적으로 보아 귀사 내부에서 알아야 할 필요가 있는 담당자만이 접근할 수 있으며, Microsoft가 동의하지않는 한 제3자에게제공, 공유하거나 복제할 수 없습니다.
본 자료는 정보제공만을 목적으로하며, 본 자료에 포함되어 있는 모든 정보는 자료 작성시점의 Microsoft의 견해를 반영한 것입니다.
본 자료에 포함된 내용은 변경될 수 있습니다. 본 자료안의 모든 내용(계약조건 포함)은 오직 귀사와 유효한 계약을 체결하는 시점에 최종 결정되므로, 유효한 계약을 체결하기 전에는 그러한 내용(계약조건 포함)은 최종적인 것이 아닙니다. 따라서 최종 계약에 포함된 계약조건은 본 자료에 포함된 내용과다를 수 있습니다. 달리 언급되어 있지 않는한, 본 자료에 언급되어 있는 가격은 참고용이며, 최종 구매 가격은 귀사의 리셀러가 결정할 것입니다. Microsoft는 본 자료에 포함된 내용에 대하여 명시적, 묵시적 또는 법적인 보증을 하지 않습니다.
© 2014 Microsoft Corporation. All rights reserved.
