PC 보안점검및설정 Windows를안전하게사용하기위해서, 보안에관련하여취약한사항들을점검하고, 올바르게설정하는방법에대해서설명하고자합니다. Windows 95, 98, ME는보안에취약하기때문에 Windows XP,2000 로업그레이드하는것을권장하며 Windows XP/2000을기준으로하여설명을진행하고자합니다. 1. 사용자계정관리 1 Guest 계정사용중지 Guest 계정은사용자의시스템에대해서인증없이타인의접근을허용하므로그사용을중지하도록한다. Windows XP 의경우 그림 1.1 과같이작업표시줄의 [ 시작 ]>[ 설정 ]>[ 제어판 ] 을선택하면, 제어판 대화상자가나타난다. 그림 1.2 에서사용자계정을선택하면, 그림 1.3 과같은대화상자가나타난다. 그림 1.3 의 사용자계정 } 대화상자에서 Guest 계정을확인하였을때, 만약 "Guest 계정사용 " 이라고 - 1 -
표시되어있으면, Guest 계정이활성화되어있는것이다. 이런경우 Guest 계정을선택하면그림 1.4와같은대화상자가나타난다. 거기에서 Guest계정끄기 를클릭하면아래의그림1.5와같은대화상자가나타나며, Guest계정사용안함 } 표시를확인할수있다. Windows 2000의경우그림1.6과같이작업표시줄의 [ 시작 ]>[ 설정 ]>[ 제어판 ] 을선택하면, 제어판 } 대화상자가나타난다. 위의그림 1.7 에서 [ 사용자및암호 ] 를선택하면, 그림 1.8 과같은대화상자가나타난다. 위의그림 1.8 에서고급버튼을클릭하면그림 1.9 가나타나며, Guest 계정위에서마우스오른쪽버튼을 - 2 -
클릭하면나타나는팝업메뉴에서등록정보를선택하면, 그림 1.10 과같은대화상자가나타난다. 여기에서 [ 계정사용안함 ] 체크박스에체크표시를한후, 확인버튼을누르면, 그림 1.11에서보이는바와같이사용자계정에 X자형표시가나타나는것을확인할수있다. 사용하지않는계정이라는의미이다. 2 불필요한사용자계정사용중지또는삭제한사용자가갖는중복된여러개의계정, 테스트목적으로만든임시계정, 여러사용자가공유하기위한계정을삭제한다. 이러한계정들은소유자가불분명하고, 패스워드와같은보안관리가소홀하여침입자가사용할수있다. Windows XP의경우 Guest계정사용중지에서와같이 제어판 } 대화상자에서사용자계정을선택하여현재시스템에활성화된사용자계정들을확인한다. 여기에서는 테스트 } 계정이불필요한계정이라고가정한다. 그림 1.12에서삭제하고자하는 테스트 계정을클릭하면, 그림 1.13의대화상자가나타난다. 여기에서 계정삭제 를클릭하면그림 1.14가나타난다. - 3 -
그림1.14에서만약테스트계정에대한바탕화면등의설정파일들을삭제하고자하는경우파일삭제버튼을클릭한다. 그러면그림 1.15가나타나며, 계정삭제버튼을클릭하면된다. 이와같이불필요한사용자계정들을위의순서대로반복하여삭제하면된다. Windows 2000의경우 Guest계정사용중지에서와같이 제어판 } 대화상자에서 [ 사용자및암호 ] 를선택하여고급버튼을누르면아래의그림 1.16이나타나며, 현재시스템에활성화된사용자계정들을확인한다. 여기에서는 테스트 } 계정이불필요한계정이라고가정한다. 그림 1.17 에서 [ 삭제 ] 를선택하면그림 1.18 과같이테스트계정이사라진것을확인할수있다. - 4 -
2. 패스워드보안 1 모든계정에안전한패스워드사용취약한패스워드는패스워드추측공격에약하기때문에패스워드는알파벳과특수문자를포함한 8자이상의복잡한패스워드를사용하고, 최소 1일에서최대 42일의주기로변경하는것이바람직하다. 패스워드를변경하는방법은아래와같다. Windows XP의경우 제어판 에서사용자계정을선택하면그림 1.19가나타난다. 그림1.19에서패스워드를변경하고자하는계정을선택하면, 그림 1.20이나타난다. - 5 -
그림 1.20에서 암호변경 선택하면위와같은대화상자가나타난다. 그림 1.21에서새로운패스워드와이전패스워드를입력한후, [ 암호변경 ] 버튼을클릭하면새로운패스워드로변경된다. Windows 2000의경우 제어판 에서 [ 사용자및암호 ] 를선택하면그림 1.22가나타나며, 고급버튼을클릭하면나타나는그림1.23에서패스워드를변경하고자하는계정을선택한다. 그림 1.23에서 사용자1 의패스워드를변경하기위해서는그림 1.24와같이해당계정의팝업메뉴에서 [ 암호설정 ] 을선택한다. 그림 1.25에서새로운패스워드를입력하고확인버튼을누른다. - 6 -
2 CMOS 패스워드사용 CMOS는 ROM 바이오스에내장되어있는하드웨어설정관련프로그램을말하며, 여기에패스워드를설정하여불법적인시스템설정변경을방지한다. 패스워드를설정하기위해서는컴퓨터부팅과정에서 F2 또는 Delete 키를눌러서그림 1.27과같이 CMOS 설정으로들어가서패스워드를설정한다. 그림 1.28 은시스템부팅시에 CMOS 패스워드를입력하는화면이다. 3 화면보호기패스워드사용화면보호기의패스워드를활성화시킨다. 화면보호기의패스워드를활성화하기위해서는바탕화면에서마우스의오른쪽버튼을클릭하면아래그림1.29가나타난다. 여기에서속성부분을클릭하면그림 1.30이나타난다. - 7 -
그림1.30의 [ 디스플레이등록정보대화상자 ] 에서 다시시작할때암호로보호 라는체크박스에체크표시를한다. 또한화면보호기가활성화되는시간도적절하게설정한다 3. 공유제한 1 불필요한공유폴더의제거불필요한공유폴더는인터넷웜의침입을허용할수있으며, 자료유출의통로가되므로삭제한다. Windows XP의경우공유폴더들을모두확인하기위해서는그림1.31에서명령프롬프트를선택하면그림 1.32의명령창이나타나며, net share 명령어를치면현재공유된자원에대한정보를확인할수있다. 여기에서 IPC$ 는시스템이사용하는디폴트공유이며, print$ 는프린터가사용하는부분이다. 여기에서 공유폴더 라는공유된폴더를확인할수있다. 그림1.33에서보이는것과같이공유폴더는아래쪽에손모양이표시되어있다. D: 공유폴더 의공유를해제하기위해서는그림1.33에서해당폴더의팝업메뉴에서 공유및보안 을선택하면, 그림 1.34가나타난다. - 8 -
그림 1.34에서 네트워크에서이폴더공유 라는체크상자의체크표시를그림 1.35와같이없애고확인버튼을클릭한다. 탐색기에서확인하려면그림 1.36과같이 공유폴더 아래에손모양의공유표시가사라진것을확인할수있다. Windows 2000의경우공유폴더들을모두확인하기위해서는아래의그림1.37에서 [ 실행 ] 을선택하면그림 1.38의실행창이나타난다. - 9 -
그림 1.38 에서 cmd 라고입력한후, 확인을누르면그림 1.39 가나타난다. 그림 1.39에서 net share 명령어를치면현재공유된자원에대한정보를확인할수있다. 여기에서 C$, ADMIN$, IPC$ 는시스템이사용하는디폴트공유외에 공유폴더 라는공유된폴더를확인할수있다. - 10 -
그림 1.40에서보이는 C: 공유폴더 를제거하기위해서는해당폴더위에서마우스오른쪽버튼을클릭하면나오는팝업메뉴에서 [ 공유 ] 를선택하면, 그림 1.41이나타난다. 위의그림 1.42에서 [ 이폴더를공유하지않음 ] 체크박스에체크표시를한후, 확인버튼을누르면, 그림 1.43과같이탐색기에서 공유폴더 아래에손모양표시가사라진것을확인할수있다. 2 공유폴더에접근권한제한웜의침입이나, 불법적인자료의변경을방지하기위해서공유폴더의접근권한은읽기전용으로설정하는것이좋다. Windows XP의경우 - 11 -
그림1.45에서 공유폴더 의네트워크공유및보안에서 [ 네트워크사용자가내파일을변경할수있음 ] 체크박스에체크표시를삭제한다. 위의그림 1.46 에서 [ 공유폴더 ] 의팝업메뉴에서 [ 공유 ] 를선택하면, 그림 1.47 이나타난다. - 12 -
위의그림 1.48 에서 사용권한 에서 [ 변경 ] 체크박스를 거부 로설정한다. 4. 파일시스템보안 파일과폴더에대한접근권한을제어하기위해서되도록 NTFS 파일시스템을사용한다. 시스템설치시모든파티션의파일시스템을 NTFS로선택하여설치한다. 각파티션별로파일시스템을확인하기위해서는아래의그림 1.49와같이탐색기에서확인할수있다. 확인하고자하는파티션의팝업메뉴에서속성을선택하면, 그림 1.50이나타난다. 그림 1.50에서 파일시스템 이라는항목에서해당파티션에대한파일시스템의종류를확인할수있다. 만약 FAT 파티션이포맷가능하면 NTFS로포맷하여사용한다. 5. 개인방화벽사용 개인방화벽을설치하여해킹을차단하고, 웜, 트로이목마로인한피해를방지한다. 공유자원감시와데이터암, 복호화를통해내부보안설정을강화한다. 6. 바이러스백신사용 바이러스백신소프트웨어를설치하고, 주기적으로업데이트하여새로운바이러스로인한피해를방지한다. 본교바이러스백신설치 URL : http://211.114.146.7/install/ 클릭하면아래의 [ 그림1.56] 과같이사이트가열립니다. 설치시주의사항 1. Internet Explorer 버전 5.5 이상을사용해야합니다. 2. 타백신 (Norton제품군포함 ) 을사용하고계신상태에서설치할시에 OS 에치명적인오류가생길수있으므로반드시 [ 시작 ] - [ 설정 ] - [ 제어판 ] - [ 프로그램추가 / 제어 ] 에서타백신을삭제하고설치하시기바랍니다. - 13 -
그림 1.56 7. 불필요한서비스중지 시스템설치시기본적으로설치되는여러서비스들중에서필요없는서비스는중지시킨다. Windows 2000/XP는그림 1.51과 1.52에서와같이 [ 시작 ]>[ 실행 ] 을선택하면, 좌측의그림 1.53과같이명령창이나타나며, "services.msc" 라고입력한후, 확인버튼을클릭하면, 그림 1.54 서비스관리대화창이나타난다. - 14 -
서비스관리대화상자에는시스템에등록된서비스들을볼수있으며, 상태정보를보면각서비스의현재상태를알수있다. 특정서비스를중지하기위해서는위의서비스관리대화상자에서해당서비스의팝업메뉴중에서 [ 속성 ] 을클릭하면, 그림 1.55가나타난다. 해당서비스를멈추기위해서는중지버튼을누르면된다. 단, 시작유형을 수동 이나 사용안함 으로설정하면, Windows 재시작시해당서비스는시작되지않으며, 자동 으로선택하면, 자동으로시작된다. 8. Windows 최신패치설치 Windows 시스템과 Explorer, Outlook, RPC 등의 Windows 응용프로그램에는버그들이존재하며, 이러한버그들은해킹공격에서이용될수있으므로최신패치가나오면항상업데이트하도록한다. 9. 중요문서암호화 중요문서에대하여암호화를함으로서다른사람에게노출이되더라도쉽게그내용을알수없게한다. 한글파일그림 1.57 과같이문서암호화를설정할수있다. 그림 1.57-15 -
엑셀파일 그림1.58 과같이엑셀의상위메뉴의 [ 파일 ] - [ 다른이름으로저장 ] - [ 도구 ] - [ 일반옵션 ] 을클릭하면그림 1.59와같이설정한다. 그림 1.58 그림 1.59-16 -
PC 보안 10 계명 1) 정기적으로백업하라 = 하드디스크는어떤이유이건데이터가손상될수있는저장매체이다. 최악의상황을항상대비해서중요한데이터는정기적으로백업해야한다. 2) 정품프로그램을써라 = 출처가불명확하거나성능이검증되지않은프로그램은쓰지말아야한다. 간혹정품도악성코드에감염되는경우가있다. 3) 최신백신으로검사하라 = 모든새프로그램은반드시최신버전의백신프로그램으로검사한뒤이상이없을때만써야한다. 4) 시스템감시기능을써라 = 백신프로그램은항상최신버전을쓸수있도록수시로업데이트해야한다. 시스템감시 ( 예방 ) 기능을항상활성화해야한다. 5) 첨부파일을조심하라 =e메일의첨부파일은아는사람이보낸메일이라할지라도반드시최신버전의백신프로그램으로검사한뒤이상이없을때만쓴다. 발신자가명확하지않은전자메일이나스팸메일등은읽어보지말고바로삭제한다. 6) 아웃룩보안패치를써라 = 아웃룩등의보안허점을이용해 e메일첨부파일이자동으로실행되는경우가많다. 이때는 office.microsoft.com/korea/downloads/2000/outlctlx.aspx( 아웃룩2000 사용자의경우 ) 나 office.microsoft.com/korea/downloads/2002/olk1003.aspx ( 아웃룩2002 사용자의경우 ) 에들어가최신보안패치파일을다운받아쓴다. 7) 보안패치는반드시업데이트하라 = 윈도우나웹브라우저, MS오피스프로그램등많은사용자를갖고있는프로그램들의보안허점을악용하는악성프로그램이늘어나고있다. 정기적으로관련제품제작사의홈페이지를정기적으로방문하여최신보안패치파일을다운받아써야한다. 8) 보안정보를확인하라 = 정기적으로보안관련사이트 (www.ahnlab.com 또는 www.certcc.or.kr 등 ) 를방문해보안관련각종정보를확인한다. 9) 공유폴더엔암호를써라 = 공유폴더를사용할때는반드시암호설정을한뒤사용하며, 접근자에게읽기권한만줘야한다. 공유한목적이달성된뒤에는공유해제한다. 10) 부팅용디스켓을준비하라 = 시스템이부팅되지않는긴급한경우를대비해부팅용디스켓을 만들어둔다. - 17 -