GP(Group Policy)
관리자는 GP를 통해서 AD내의 사용자나 컴퓨터에 대해서 일괄적으로 어느 정책을 부여할 수 있는데 사용 가능한 프로그램만 지정해서 사용을 제한하거나, 로그온 시 바탕화면 등이 일괄되게 적용되게 하거나, 제어판을 사용자들이 조작하지 못하게 하거나, IE를 숨기거나, DVD/USB를 사용하지 못하게 할 수 있다.
- 그룹정책(GP)을 생성한 뒤에 그 그룹정책들을 묶은 객체가 GPO(GP Object)이다.
- GPO는 사용자와 컴퓨터에 대해서 적용할 수 있다. 예를 들어서 학교에서 학생들 컴퓨터와 교직원 컴퓨터를 각각 따로 관리되도록 GP를 적용할 수 있다.
- 사용자 GP와 컴퓨터 GP가 충돌하면 컴퓨터에 대한 GP가 우선한다.
- GP는 여러 도메인에서 같은 기준으로 설정될 수 있다(GPO는 복사나 이동이 가능하다).
- GP는 도메인 단위로 GC(Global Catalog)에 저장된다. Windows Server 2008에 내장된 GP는 현재 2,000개가 넘고 계속 늘어나는 추세이다. 마치 C, C++, Python, Java 등에서 include, import로 모듈을 불러서 사용하는 것과 유사하다.
- 여러 GPO가 있을 때 local GPO > site GPO > domain GP > OU GPO 순서대로 적용된다. OU는 GP를 걸 수 있는 최소 단위이다.
- 일반적으로 학생, 컴퓨터, 프린터, ...를 OU로 구분한 뒤 각 OU에 GP를 적용시킨다.
- GP는 폴더처럼 상속 개념이 있어서 부모에게 정한 GP는 자식에게 GP 정책이 상속된다. 하지만 상속에서처럼 GP의 상속을 재정의하거나 차단할 수도 있고, 강제로 상속시킬 수도 있다.
- PG가 반영되는 시점은 사용자가 로그온 할 때, 컴퓨터를 재부팅할 때, 사용자가 강제로 그룹정책을 갱신할 때(gpupdate/force) 그리고 정책을 갱신한는 주기적인 시간(90분)이 되었을 때이다.
- 생성한 GPO는 C:\Windows\SYSVOL\sysvol\kahn.edu\Policies 폴더에 저장된다.
- GP는 도메인에 적용되기 때문에 로컬 컴퓨터나 사용자 계정에는 개별적으로 적용되지 않는다.
- GP를 제거하려면 시작 > 관리도구 > 그룹정책 > 좌측 창에서 해당 OU를 선택하고 > 우측창에서 해당 정책을 우클릭한 뒤 > 삭제를 클릭하면 삭제된다. 메시지 창에서 확인을 클릭한다.
관리자는 GP를 통해서
-
보안설정 : 보안 강화를 위해서 도메인의 모든 사용자에 대해서 사용자의 암호 및 계정 잠금 방식 등을 지정할 수 있다.
-
스크립트 지정 : 사용자의 로그온/로그오프 시, 또는 컴퓨터 부팅/종료 시 자동으로 실행되는 스크립트를 지정할 수 있다.
-
폴더 리디렉션 : 사용자가 도메인내의 어느 머신에서 로그온 하더라도 자신의 설정이나 폴더가 동일한 환경으로 지원되게 하는 home folder나 roaming profile 방식 등을 지정할 수 있다.
-
소프트웨어 설정 : 도메인 사용자들이 사용할 소프트웨어에 대해 설치, 삭제, 백업, 업데이트 등을 일괄 적용시키는 일 등을 수행 할 수 있다. 특정 사이트 규제, 바탕화면이나 제어판 변경 금지등도 가능하다.
-
하드웨어 제한 : USB, DVD, FDD등을 사용하지 못하게 할 수도 있다. ZIP driver 등을 물리적으로 제거하지 않아도 GPO로 규제할 수 있다.
변경된 그룹정책은 바로적용되지 않고 90분 마다 적용되기 때문에 족므 기다려야 할 수도 있지만, 그룹정책이 적용되는 머신에서 콘솔을 열고 gpupdate/force하면 바로 적용된다.
OR 그룹정책 창에서 Default Domain policy 마우스 우클릭 > 편집 > 그룹정책 편집기에서 컴퓨터 구성 > 정책 > 관리 템플릿 > 시스템 > 그룹정책 항목을 클릭하고 우측창에서 '컴퓨터에 대한 그룹정책 새로 고침 간격' 속성창에서 갱신 기간을 별도로 설정해 줄 수도 있다.그룹정책은 강제로 적용되고 사용자가 변경할 수 있다. 하지만 기본 설정은 이와 다르게 설정한 내용이 그룹정책으로 적용은 되지만 사용자가 변경할 수 있는 항목들이다. 예를 들어서 시작 > 관리도구 > 그룹정책 관리 > 좌측 창의 사용자 구성 > 기본 설정 > 제어판 설정 > 인터넷 설정으로 가서 변경을 해주고 > IE의 보안 탭에서 보면 이 설정이 반영되어 있다.
=> 기본설정은 사용자가 변경할 수도 있다는 의미이다.
GPO는
사용자나 컴퓨터에서 GP를 설정하는데 기존의 모듈을 적용시켜도 되고 사용자 정으로 적용시켜도 된다. 마치 프로그래밍에서 함수를 사용할 떄 내장함수(built-in function)이나 사용자 정의 함수(user defined function)을 적용하는 것과 동일한 개념이다.
'사용자'에게 GPO를 걸면 사용자 별로 GPO가 적용되고,
'컴퓨터'에게 GPO를 걸면 무조건 해당 컴퓨터는 사용자와 무관하게 GPO에 적용된다.
GPO에서는
상속을 하거나, 상속을 거부해서 설정할 수 도 있다.
그룹정책 백업과 복원을 알아보자.
설정한 GPO는 백업을 해두거나 다른 도메인으로 복사해서 그곳에서 적용시킬 수도 있다. 이럴 때에는 starter GPO를 사용하면 되는데 간단히 복사/붙여넣기 해도 된다. starter GPO 하면 파일이 ~.cab 확장명이 된다.
BitLocker 보안설정
Windows 11부터 적용되는 이 기능은 Windows Server에서도 BitLocker를 걸어서 하드 디스크를 전체를 암호화 해두고, 초기 부팅구성요소의 무결성 검사를 통해서 손실, 도난, 또는 부적절하게 서비스가 해제된 컴퓨터를 보호한다. 일반적으로 TPM(Trusted Platform Module)으로 부르는 마이크로 칩이 마더보드에 내장되어 있어야 BitLocker가 가능하다. 따라서 서버용 마더보드 구매 시 BitLocker나 무인설치용 PXE가 가능한 여부를 보고 구매한다.
=> 하지만 현재 Windows 11에는 BitLocker 보안이 자동으로 들어 있기 때문에 이 실습은 건너 뛰어도 된다.
실습하려면 TPM이 장착되어 있는 마더보드를 사용하거나 USB나 HDD 2개(하나는 메인, 또 하나는 BitLocker용으로 사용할 1.5G 이상)를 사용해서 할 수 있는데, TPM 대신 USB를 사용하고, 암호화 키저장은 FDD를 사용하면 된다.
BitLocker를 적용하려면 미리 BitLocker를 예상하고 Windows 운영체제를 설치해야 한다. BitLocker는 Windows Vista, 7, Server 2008, 2008 R2이상에서 가능하다. 다음으로 진행하는데 미리 HDD를 암호화 할 것을 예상하고 Windows OS를 설치해주는 과정이다.
Audit(감사) 정책
감사라는 것은 사용자의 작업이나 시스템의 활동을 추적하고 감시하는 일이다. 감사 정책은 관리자에게 통지할 이벤트를 지정해서 해당 이벤트가 발생되면 그 내용을 기록하는 시스템이다. 관리자는 이런 이벤트를 모니터링하고 문제를 파악해서 시스템에서의 문제 발생 소지를 미리 차단할 수 있다. 일종의 Linux에서의 Log 파일 검토와 같은 경우로 볼 수 있다.
이벤트의 종류는 계정 로그온, 계정 관리, 디렉터리 서비스, 로컬 로그온, 개체 액세스, 그룹정책 변경, 권한 변경/사용, 프로게스 추적 이벤트 등을 설정할 수 있다. 하지만 이벤트 종류가 너무 많기 때문에 필요한 이벤트만 추려서 감사하는 식으로 운영한다. 각 이벤트는 하위 이벤트 목록을 가지고 있는데 예를 들어서 특정 파일/폴더에 접근한 사용자 계정이나 사용자가 사용한 컴퓨터에 로그온/로그오프 시간, 정책 변경과 적용 시간 등의 기록을 모두 볼 수 있다.
=> 감사정책을 통해서 외부 공격을 찾을 수 있고, 외부 공격에 대한 피해를 확인할 수 있으며, 향후 피해를 예방하는 정책을 수립할 수 있고, 시스템이 더 이상 성능 저하게 없게끔 유지할 수 있다.
