윈도우 시스템 보안 설정 ( 윈도우 서버 2008)

1. 10 윈도우 시스템 보안 설정(윈도우 서버 2008)

2. 학습목표 • 윈도우의 계정 관리를 이해한다. • 윈도우에 설정 가능한 보안 설정사항을 이해한다. • 윈도우에서 운영되는 네트워크 서비스의 취약점을 이해한다. • 윈도우에서 운영되는 네트워크 서비스의 취약점에 대한 보안 설정할 수 있다. • 윈도우에서 네트워크 및 파일 시스템에 대해 접근 제어 설정할 수 있다. • 내용 • 계정 정책 • 로컬 정책 • 데몬 관리 • 접근 제어 • 파일과 디렉터리 관리 • 패치

3. 계정 정책 • 계정 관리 • 보안의 기본, 패스워드 관리 • 패스워드 : 보안의 첫번째 방벽 • 주기적으로 크래킹, 취약한 패스워드를 가진 계정 체크 • 계정 생성 반드시 문서화 기록, 불필요한 계정 주기적 삭제 • 윈도우에서 Administrator가 윈도우의 기본 계정임을 알고 있어 계정을 변경 필요 • [제어판]-[관리도구]-[컴퓨터관리]의 사용자 목록이나 명령 창‘net user’명령 이용 확인 • [제어판]-[관리도구]-[컴퓨터 관리]의 사용자 관리 창 Administrator 계정 이름 바꾸기 • 암호 정책 • 계정에 대한 정책 적용 : [제어판]-[관리도구]-[로컬 보안 설정]에서 설정 • 암호 정책 : 최소 암호길이와 사용 기간 설정 • 계정 잠금 정책 • 계정 잠금 임계값 : 일정 수 이상의 잘못된 로그인 시도시 계정 사용 금지토록하는 • 횟수(보통 5회로 설정) • 계정 잠금 기간 : 잘못된 로그인 시도로 계정이 잠기는 기간 • 다음 시간 후 계정 잠금 수를 원래대로 설정 : 이 값을 2일로 지정하면 2일 후 시스템에 지정된 잘못된 로그인 시도 값이 0으로 초기화

4. 로컬 정책 • 사용자 권한 할당 • 네트워크에서 이 컴퓨터 엑세스/ 엑세스 거부 • 기본 설정 : [네트워크에서 이 컴퓨터 액세스] 속성 창에는 현재 시스템의 모든 그룹에, • [네트워크에서 이 컴퓨터 액세스 거부] 속성 창은 비움 • 하나의 사용자가 액세스에도 액세스 거부에도 존재 시 윈도우의 설정 대부분 거부 우선권 • 거부 설정 시 : ‘네트워크에서 이 컴퓨터 액세스’등록여부 관계없이 원격 로그인 불가능 • 로컬 로그온 허용/거부 • ‘네트워크에서 이 컴퓨터 액세스 거부’ 설정 : 원격에서만 접속 불가능 • ‘로컬 로그온 거부’ : 원격 접속가능 하지만 로컬에서 접속 불가능 • 둘 다 설정 : 계정 사용 중지와 동일 • 시스템 종료/원격에서 강제로 시스템 종료 • 윈도우 서버 2008 :Administrators, Backup Operators 그룹만 로컬에서 시스템 종료 • 윈도우 서버 2003 : 윈도우 서버 2008과 동일 • 윈도우 서버 2000 : Power Users 그룹도 가능 • 시스템 원격 강제 종료 가능 그룹 : Administrator뿐(그룹관리에 유의) • 윈도우 서버 2008에서는 각 속성 설정 창에서 설명 탭 제공

5. 로컬 정책 보안 옵션 감사 : 보안 감사를 로그할 수 없는 경우 시스템 종료 감사(Auditing) 로그가 꽉 차거나 정상적 로그인 시행할 수 없을 때 시스템 재부팅하는 설정 시스템 운영보다는 사용 기록이 중요하다면 감사 옵션 활성화 사용 기록보다는 정상운영이 중요하다면 비활성화 로그인 절차 관련 대화형 로그온 : 마지막 사용자 이름 표시 안 함 - 윈도우 서버 2000과 윈도우 서버 2003 : 마지막 로그인한 사용자 계정 로그인 창에 뜸 - 윈도우 서버 2008 : 계정 목록 뜸 - 이런 설정은 해당 시스템에 어떤 계정이 존재하는지 알 수 있게 함 - 계정 노출 방지 위해 ‘로그인 스크린에 마지막 사용자 이름 표시 안함’을 ‘사용’으로 바꿈 대화형 로그온 : 로그온 시도하는 사용자에 대한 메시지 제목/텍스트 - GUI 환경의 터미널 접속에서 경고 창 생성해 로그인 시도자에게 알려주기 위한 설정 - 경고 창 : 해커에게 심적 부담을 줌으로써 경고 시스템 종료 : 로그온하지 않고 시스템 종료 허용 - 윈도우 NT : 기본 활성화 - 윈도우 서버 2000부터 : 기본 설정 금지된 옵션 - 이 항목을 사용으로 바꾸면, 오른쪽 아래에 <시스템 종료> 버튼 활성화

6. 로컬 정책 인증 관련 네트워크 보안 : LAN Manager 인증 수준 - 윈도우 : 패스워드 인증 시 LM, NTML, NTMLv2 등의 인증 프로토콜 사용 - 윈도우 서버 2008 : ‘네트워크 보안:LAN Manager 인증 수준 속성’에서 네트워크 로그인에 사용되는 시도/응답 인증 프로토콜 설정 - 기본 값 : ‘NTLMv2 응답만 보내기’로 NTLMv2만 인증 프로토콜 허용 ‘네트워크 보안:LAN Manager 인증 수준 속성’ 항목 - LM 및 NTLM 응답 보내기 - NTLMv2 응답만 보내기/LM 거부 - NTLMv2 응답만 보내기/LM 및 NTLM 거부 네트워크 보안 : 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함 - LM 해시는 NT 해시에 비해 약하기 때문에 공격에 노출 용이 - LM 해시가 보안 데이터베이스의 로컬 컴퓨터에 저장되므로 보안 데이터 베이스 공격 받으면 암호가 노출 가능 - 윈도우 비스타 이후의 시스템에서는 LM 해시 값을 시스템에 기본 저장하지 않는다. 네트워크 보안 : 로그온 시간이 만료되면 강제로 로그오프 - 로컬 컴퓨터에 연결된 사용자가 사용자 계정의 유효한 로그온 시간이 지난 경우 사용자의 - 연결을 끊을 것인지 여부에 대한 설정

7. 데몬 관리 동작 중인 서비스 확인 [그림 10-18] 윈도우 서버 2008 nmap 스캔 결과 주요 서비스 보안 설정 FTP(File Transfer Protocol, 21) [제어판]-[관리도구]-[IIS(인터넷정보서비스) 6.0 관리자]에서 설정 확인 FTP 사용하지 않으면 보안을 위해 중지 가장 일반적인FTP 취약점 : 익명 계정(Anonymous)의 로그인 허용(윈도우 시스템에서는 익명 계정이 기본 허용)

8. FTP 보안 : [제어판]-[관리 도구]-[IIS(인터넷 정보 서비스) 6.0 관리자],[속성] 메뉴 세션 설정 FTP 속성의 [FTP 사이트] 탭에서FTP 서버 IP 주소와TCP 포트 번호 세션에 대한 제한 설정 [그림 10-21] FTP 속성의 [FTP 사이트] 탭 실습 10-1 윈도우 FTP 서비스 보안 설정하기 1

9. 로그 정책 설정 기본 값 : ‘로깅 사용’, W3C(World Wide Web Consotium) 형식 로그 기본 사용 [그림 10-22] FTP 로그에 대한 속성 창 로그 파일 디렉터리(C:\Windows\system32\LogFiles) [그림 10-23] 2011-02-26일자 FTP 로그 파일 확인 실습 10-1 윈도우 FTP 서비스 보안 설정하기 2

10. 익명 연결 허용 여부 설정 익명 계정을 사용 않으면 ‘익명 연결 허용’ 체크하지 않는 것이 좋음 [그림 10-24] FTP 속성의 [보안 계정] 탭 실습 10-1 윈도우 FTP 서비스 보안 설정하기 3

11. FTP 배너 출력 FTP에서 접속 시에 배너 출력 가능 배너 : FTP 서비스의 내용에 대한 안내, 불법적인 접근에 대한 경고 포함 [그림 10-25] FTP 속성의 [메시지] 탭과 배너 설정 실습 10-1 윈도우 FTP 서비스 보안 설정하기 4

12. FTP 홈 디렉터리 권한 설정 FTP 속성의 [홈 디렉터리] 탭 : FTP 기본 디렉터리 지정, 디렉터리에 대한 FTP 계정의 권한 설정(기본 권한은 읽기만 가능) [그림 10-26] FTP 속성의 [홈 디렉터리] 탭 실습 10-1 윈도우 FTP 서비스 보안 설정하기 5

13. FTP 서비스 접근 제어 설정 FTP 서비스에 대한 접근 제한 설정 : [디렉터리 보안] 탭 [그림 10-27] FTP 속성의 [디렉터리 보안] 탭 실습 10-1 윈도우 FTP 서비스 보안 설정하기 5

14. 데몬 관리 SMTP(Simple Mail Transfer Protocol, 25) 텔넷을 이용한 배너 그래빙(Banner Grabbing) : SMTP 버전과 운영체제 예상 [그림 10-28] SMTP 버전 확인 필요치 않으면 중지 [그림 10-29] SMTP 서비스 확인 • telnet 192.168.75.129 25

15. 데몬 관리 SMTP는 기본적으로 로깅하지 않도록 설정 이용하려면 ‘로깅 사용’을 체크하여 <속성> 버튼 활성화 [그림 10-30] SMTP 속성의 [일반] 탭

16. 데몬 관리 <속성> 버튼 클릭하면 FTP처럼 로깅에 대한 여러 속성을 선택 SMTP에는 기본 로깅 항목이 설정되어 있지 않아, 필요에 따라 로깅 항목 결정, 선택 [고급] 탭‘확장된 로깅 옵션’에서 로깅으로 설정 가능한 항목 목록을 확인, 각 항목별 선택 로깅 항목 설정 항목 중 날짜,시간, 클라이언트의 IP 주소, 사용자 이름, 서버 IP 주소는 필수 로깅 SMTP의 로그 파일 C:/Windows/system32/logfiles/smtpsvc1에 저장 [그림 10-31] SMTP 로그 스케줄 설정과 로깅 옵션 선택

17. 데몬 관리 SMTP 속성의 [액세스] 탭 : FTP 서비스처럼 특정 IP와 네트워크에 대해 접근 제어 설정 릴레이 제한 : 자신에게 전달되는 메일을 다른 메일 서버로 전달해주도록 설정 [그림 10-32] SMTP 속성의 [액세스] 탭과 연결 제어와 SMTP 릴레이 제어

18. 데몬 관리 HTTP(HyperText Transfer Protocol, 80) IIS 관리자 실행 : [제어판]-[관리도구]-[IIS(인터넷 정보 서비스) 관리자] [그림 10-33] ‘Default Web Site’에서 설정 메뉴 확인

19. 데몬 관리 기본 문서 설정 - 기본 문서 :www.wishfree.com과 같이 URL로 웹 사이트에 접근시 기본으로 선택되는 웹 문서 - 기본 문서 설정 : Default.htm과 같이 사용하지 않는 기본문서 제거 SSL(Secure Socket Layer) 또는 HTTPS 설정 - SSL(HTTPS)은 443번 포트 사용, 암호화된 웹 접속 가능케 함 - 40비트 또는 128비트 선택 디렉터리 목록화 금지 설정 - 디렉터리 검색 : 해당 디렉터리 목록 일괄적으로 출력 로깅 설정 - W3C 형식의 로그 사용

20. 데몬 관리 LOC-SRV(135), NETBIOS-SSN(139), SMB(Server Message Block, 445) NetBIOS 프로토콜 : 윈도우 랜상에서 윈도우 시스템 이름 확인, 폴더 및 파일 공유 [표 10-1] 윈도우 NetBIOS 관련 프로토콜 NetBIOS 관련 취약점 :Null 세션과 관리자 공유 - 레지스트리 편집기에서 HKEY_ LOCAL_MACHINE\Syste\CurrentControlSet\Control\Lsa의 restrictanonymous 값을2로 설정하면 Null 세션을 생성 불가 관리자 기본 공유 제거 : [제어판]-[관리도구]-[컴퓨터 관리]의 [시스템 도구]-[공유 폴더] NetBIOS를 이용한 원격 셀 생성 - 윈도우 서버 2008은 psexec(Process Execution)를 사용하여 생성 불가 - 윈도우 서버 2000과 2003에서는 생성 가능 로그인 : psexec 툴 이용 원격 시스템에 관리자 권한을 가진 계정(wishtobefree)으로 시도

21. 데몬 관리 레지스트리 관련 보안 설정 사항 - 가장 강력한 방법 : NetBIOS 프로토콜 사용 않는 것 - 제어판의 네트워크 설정에 대한 등록정보에서 ‘Microsoft 네트워크용 클라이언트’프로토콜만 남겨두고,‘ Microsoft네트워크용 파일 및 프린터 공유’프로토콜 사용 않는 것. 이렇게 설정하면 본인의 시스템에서 NetBIOS 프로토콜 이용 다른 시스템 접근 가능, 다른 시스템에서는 본인의 시스템에 NetBIOS 프로토콜 이용 접근 불가, 또한 psexec를 통한 셸 생성 역시 불가능

22. 데몬 관리 MS Terminal Service(3389) MS-Term-Service 포트 : GUI(Graphic User Interface) 기반 윈도우 터미널 서비스제공 윈도우 터미널 서비스 - 윈도우 서버 2008이후 버전부터 새로운 보안 옵션 제공 - [내 컴퓨터]에서 마우스 오른쪽 버튼 [속성] 메뉴 선택 ‘원격 설정’항목 클릭 해당 옵션 확인 ‘원격 데스크톱’에 대한 설정 ➊ 이 컴퓨터에 대한 연결 허용 안 함 ➋ 모든 버전의 원격 데스크톱을 실행 중인 컴퓨터에서 연결 허용(보안 수준 낮음) ➌ 네트워크 수준 인증 가진 원격 데스크톱 실행 중인 컴퓨터에서만 연결 허용(보안수준 높음) - 터미널 서비 사용 조건 •터미널 서비스 클라이언트 : ‘원격 데스크톱 연결 6.0’이상 사용 •클라이언트 컴퓨터 :CredSSP(Credential Security Support Provider) 프로토콜 지원하는 윈도우 서버 2008/비스타/XP 서비스 팩3 등의 운영체제 사용 •서버 컴퓨터 : 윈도우 서버 2008 이상 버전의 운영체제 실행

23. TCP Wrapper 암호화 및 세션 관리 설정 터미널 서비스 보안 설정 : [제어판]-[관리도구]-[터미널 서비스]-[터미널 서비스구성] [그림 10-47] ‘터미널 서비스 구성’에서 터미널에 대한 속성 열람 실습 10-2 윈도우 터미널 서비스 보안 설정하기 1

24. ‘연결’항목 ‘RDP-Tcp’에서 마우스 오른쪽 버튼 눌러 [속성] 메뉴 선택 [일반] 탭에서 보안과 관련한‘보안 계층’과‘암호화 수준’ 설정 ‘네트워크 수준 인증’이 가능한 클라이언트만 접속할 수 있게 제한하는 체크 박스 확인 [그림 10-48] RDP-Tcp 속성의 [일반] 탭 실습 10-2 윈도우 터미널 서비스 보안 설정하기

25. [표 10-2] ‘보안 계층’항목 내용 실습 10-2 윈도우 터미널 서비스 보안 설정하기

26. [표 10-3] ‘암호화 수준’항목 내용 RDP-Tcp 속성의 [세션] 탭 : 터미널 서비스 세션에 대한 보안 정책 적용 ‘사용자 설정 무시’체크 한 후 세션에 대해 강제적 적용 ‘활성 세션 제한’ 설정: 사용자가 터미널을 이용할 수 있는 최대 시간에 대한 설정 ‘유휴 세션 제한’ 설정: 사용자가 터미널을 통해 데이터를 보내지 않을 때의 세션 유지 시간설정 실습 10-2 윈도우 터미널 서비스 보안 설정하기

27. 원격제어 권한 관리 [원격제어] 탭 : 터미널 이용한 접근 권한 설정 사용자 기본설정 사용 ‘원격 제어’로 설정 : 로그인한 사용자 계정의 권한 따름 ‘원격 제어할 수 없음’으로 설정 : 로그인한 계정에 관계없이 원격 제어 불가능 ‘다음 설정을 사용하여 원격 제어’로 설정 : 터미널접속 허용한 서버에 접속 허용 필요 [그림 10-49] RDP-Tcp 속성의 [세션]과 [원격 제어] 탭 실습 10-2 윈도우 터미널 서비스 보안 설정하기 2

28. 원격 제어 인터페이스 제한 RDP-Tcp 속성의 [네트워크 어댑터] 탭 : 터미널 접속 위해 접근해야 하는 네트워크 어댑터 설정 [그림 10-50] RDP-Tcp 속성의 [네트워크 어탭터] 탭 실습 10-2 윈도우 터미널 서비스 보안 설정하기 3

29. 터미널 서비스 사용자 제한 [보안] 탭 : 터미널 사용 가능한 사용자에 대한 접근 권한 설정 [그림 10-51] RDP-Tcp 속성의 [보안] 탭 실습 10-2 윈도우 터미널 서비스 보안 설정하기 4

30. 터미널 서비스 연결 세션(사용자) 확인 터미널 서비스의 현재 사용자 목록 [제어판]-[관리도구]-[터미널 서비스]-[터미널 서비스 관리자]에서 확인 [그림 10-52] 터미널 연결에 대한 속성 설정 실습 10-2 윈도우 터미널 서비스 보안 설정하기 5

31. 터미널 서비스 포트 변경 터미널 서비스는 3389 포트 기본 사용 서비스 포트를 임의의 다른 포트로 바꿔 보안 포트 번호 레지스트리 편집기 이용 변경 레지스트리키 값 :‘HKEY_LOCAL_MACHINE\System\CurrentControlSet \Control\TerminalServer\Wds\Rdpwd\Tds\Tcp\PortNumber’ [그림 10-53] 터미널 서비스 포트 번호 설정 실습 10-2 윈도우 터미널 서비스 보안 설정하기 6

32. 데몬 관리 기타 서비스 보안 설정 SNMP(Simple Network Management Protocol, 161) NMS(Network Management System)가 사용 프로토콜, 네트워크 및 네트워크상의 장비 관리 계정 목록 및 세션 정보 등 너무 많은 정보 노출시켜 해킹에 자주 이용 [제어판]-[관리도구]-[컴퓨터 관리]-[서비스]에서 서비스 중단 PRINTER(515) : 프린터와TCP/IP 이용 연결할 때 사용 IIS(1025) 윈도우 서버 2000과 2003 : IIS 시스템에서 DCE(Distributed Computing Environment) 운영 위한 포트로, 메신저 서비스 운영 메신저 서비스 운영하는 시스템에 특정 메시지 전송 메신저 서비스 [제어판]-[관리 도구]-[컴퓨터 관리]-[서비스]에서 중지 LSA 또는 nterm(1030) (1030) 포트는 BBN(Bolt, Beranek and Newman) IAD(Interface Access Device)라고 함 브리지 또는 라우터와 IP 이용 통신할 때 조절 역할 MSDTC(3372) : 설정 변경에 대한 클러스터링 시스템 간 동기화

33. 접근 제어 윈도우 서버 2008의 방화벽 [제어판]-[관리 도구]-[서버 관리자]의 [구성]-[고급 보안이 설정된 Windows 방화벽]의 인바운드/아웃바운드 규칙을 통해 설정 인바운드 : 시스템의 네트워크 인터페이스를 통해 시스템 외부에서 시스템 내부의 서비스 방향, 또는시스템의 클라이언트 방향으로 흘러들어오는 네트워크 트래픽 아웃바운드: 인바운드의 반대 개념 방화벽은 일반적으로 인바운드/아웃바운드의 규칙을 별도로 설정

34. 새 규칙 생성 마법사 시작 윈도우 서버 2008 : [서버 관리자]의 [구성]-[고급 보안이 설정된Windows 방화벽]- [인바운드 규칙]을 선택 ‘작업’창에서‘새 규칙’ 선택 규칙을 설정할 수 있는‘새 인바운드 규칙 마법사’가 실행 [그림 10-57] 서버 관리자에서 새 인바운드 규칙 마법사 시작 실습 10-3 윈도우 방화벽 규칙 적용하기 1

35. 생성 규칙 선택 ‘새인바운드규칙마법사’실행 후,‘규칙종류’선택 • 프로그램 : 윈도우에 설치된 프로그램별로 접근 권한을 설정한다. • 포트 : 포트 번호별로 접근 권한을 설정한다. • 미리 정의됨 : 미리 정의된 프로그램 또는 포트 번호별(서비스)로 접근 권한을 설정한다. • 사용자 지정 : 프로그램별로 특정 포트에 대한 접근 권한을 설정한다 ‘포트’ 선택 [그림 10-58] 포트 번호별 접근 권한 설정 실습 10-3 윈도우 방화벽 규칙 적용하기 2

36. 프로토콜 및 포트 선택 프로토콜의 종류와 포트 번호 선택 [그림 10-59] TCP 프로토콜의 8080 포트에 대해 접근 권한 설정 실습 10-3 윈도우 방화벽 규칙 적용하기 3

37. 연결 허용 및 차단 여부 설정 연결 허용은 일반 허용과 IPSec으로 보호된 연결에 대한 허용 [그림 10-60] 연결 허용 및 차단 설정 실습 10-3 윈도우 방화벽 규칙 적용하기 4

38. 방화벽 규칙 적용 네트워크 선택 도메인, 개인, 공용 중 네트워크 환경 선택 [그림 10-61] 방화벽 규칙 적용 환경 설정 실습 10-3 윈도우 방화벽 규칙 적용하기 5

39. 방화벽 접근 제어 규칙 이름과 설명 입력 설정한 접근 제어 규칙의 이름과 설명 입력 [그림 10-62] 방화벽 접근 제어 규칙에 대한 이름과 설명 입력 실습 10-3 윈도우 방화벽 규칙 적용하기 6

40. 설정한 규칙 목록에서 확인 [그림 10-63] 설정한 인바운드 규칙 확인 실습 10-3 윈도우 방화벽 규칙 적용하기

41. 방화벽 접근 제어 규칙 확인 설정한 인바운드 규칙에서 마우스 오른쪽 버튼 눌러 [속성] 메뉴 선택 설정한 인바운드 규칙에 대한 사항 확인 [일반] 탭 : 포트 이름과 그 규칙이 연결 허용에 대한 것인지 차단에 대한 것인지 확인 [그림 10-64] 설정한 인바운드 규칙 속성의 [일반] 탭 실습 10-3 윈도우 방화벽 규칙 적용하기 7

42. IP 단위로 접근제어 가능 시스템 설정 [사용자 및 컴퓨터] 탭에서는 접근이 가능한 특정 컴퓨터와 사용자를, [영역] 탭에서는 접근이 가능한 컴퓨터를 IP 단위로 설정 [그림 10-65] 설정한 인바운드 규칙 속성의 [사용자 및 컴퓨터]와 [영역] 탭 실습 10-3 윈도우 방화벽 규칙 적용하기 8

43. 파일과 디렉터리 관리 관리 NTFS에서 설정한 디렉터리 및 파일에 대한 접근 권한 설정 규칙 규칙 1. NTFS 접근 권한은 누적 - 개별 사용자가 여러 그룹에 속한 경우 특정 파일이나 디렉터리에 대한 접근 권한 누적 규칙 2. 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선 - 파일이 포함된 디렉터리의 권한보다 파일에 대한 권한 설정이 우선 규칙3‘. 허용’보다‘거부’가 우선 - 중첩 권한 중 명백한‘거부’설정이 있으면‘허용’보다‘거부’가 우선 적용

44. 디렉터리에 대한 기본 권한 설정 임의의 폴더(디렉터리)에서 마우스 오른쪽 버튼 눌러 [속성] 메뉴 선택한 후 [보안] 탭 선택. <편집> 버튼을 누르면 접근 권한 편집 [그림 10-66] 생성한 wishfree 폴더의 [wishfree 속성]-[보안] 탭과 권한 편집 실습 10-4 파일과 디렉터리 권한 설정하기 1

45. NTFS에서 설정할 수 있는 디렉터리 권한의 종류 •모든 권한 : 디렉터리에 대한 접근 권한과 소유권 변경, 서브 폴더와 파일 삭제 •수정: 폴더 삭제‘, 읽기및 실행’과 ‘쓰기’가 동일 권한 •읽기 및 실행 : 읽기 수행, 디렉터리나 파일 이동 •폴더 내용 보기 : 디렉터리의 파일이나 서브 디렉터리의 이름 볼 수 있다. •읽기 : 디렉터리의 내용 읽기만 가능 •쓰기 : 디렉터리의 서브 디렉터리와 파일 생성, 소유권이나 접근 권한 설정 내용 확인 실습 10-4 파일과 디렉터리 권한 설정하기

46. 디렉터리에 대한 특정 권한 설정 [그림 10-66] 왼쪽 화면의 <고급> 버튼 눌러 설정 [그림 10-67] 고급 보안 설정 창의 확인 실습 10-4 파일과 디렉터리 권한 설정하기 2

47. <편집> 버튼 눌러 사용자 계정과 그룹 추가하여 개별적으로 권한 설정 다시<편집> 버튼 누르면 상세한 권한 목록 확인 [그림 10-68] 고급 보안 설정 창에서 사용 권한 편집창 확인 실습 10-4 파일과 디렉터리 권한 설정하기

48. 6가지 권한과 맵핑 [표 10-4] 기본 권한별 상세 권한 맵핑 실습 10-4 파일과 디렉터리 권한 설정하기

49. 유효 권한 확인 방법 윈도우 서버 2008 : ‘유효 권한’확인 기능(실직적 권한 확인 용이) 고급 보안 설정 창에서 [유효 사용 권한] 탭 선택 계정 및 그룹별 유효 사용 권한 확인 특정 사용자 계정 및 그룹의 유효 권한을 확인하려면 확인 할 계정이나 그룹 선택 [그림 10-69] 고급 보안 설정 창에서 [유효 사용 권한] 탭 실습 10-4 파일과 디렉터리 권한 설정하기 3

50. <고급> 버튼 누르고 일반 계정인 user 계정 선택 [그림 10-70] 사용자 또는 그룹 선택 화면 실습 10-4 파일과 디렉터리 권한 설정하기